Intelligente Helfer verrichten mittlerweile in vielen Haushalten unbeaufsichtigt ihre Arbeiten. Die Frage nach der Vertrauenswürdigkeit vernetzter Produkte rückt damit immer weiter in den Mittelpunkt. Wohnungsgrundrisse werden von Saugrobotern ausspioniert und Überwachungskameras zeigen Einbrechern, ob jemand zu Hause ist.
Wie sicher sind IoT-Endgeräte?
Um sich in einer Wohnung zu orientieren und autonom bewegen zu können, sammeln z. B. Saugroboter mit ihrer Kamera und anderen Sensoren Daten über den Grundriss einer Wohnung. Wie wichtig dabei ein durchdachtes Konzept für die IT-Sicherheit im IoT-Bereich ist, zeigte das Modell von Mi Robot, bei dem Sicherheitsforscher der TU Darmstadt Schwachstellen fanden, über die es gelang, ein schädliches Update einzuspielen. Auch bei anderen Saugrobotern wurden Sicherheitslücken gefunden und veröffentlicht. Bei verschiedenen Geräten konnten Hacker die Kontrolle übernehmen oder Kamera und Mikrofon auslesen. Die TU Darmstadt hat weitere Geräte getestet, wie den weit verbreiteten Tesvor X500, der erhebliche Sicherheitsmängel offenbarte.
Saugroboter gibt den Wohnungsstatus preis
Vernetze Geräte in Kombination mit Sensoren und miserablen oder gar fehlenden Sicherheitsvorkehrungen bieten daher große Angriffsflächen für Hacker. Beim oben angesprochenen Gerät Tesvor erlaubt die festgestellte Sicherheitslücke einem Angreifer, überall auf der Welt beliebige Saug- und Wischroboter des Typs an- und fernzusteuern, um aktuelle Informationen über die jeweilige Wohnung bzw. deren Grundriss abzurufen. Es ist nichts weiter nötig, als die sogenannte MAC-Adresse zu kennen und über diese Hardware-Adresse das Gerät eindeutig zu identifizieren – was praktisch keine Hürde darstellt. Als Back-End nutzen die Tesvor-Geräte „Amazon Web Services (AWS) IoT“ und verwenden als Authentifikation für die Steuerungsberechtigung nur die genannte MAC-Adresse für die Steuerungs-App. Da die MAC-Adressen fortlaufend vergeben werden und auf den Einsatz weiterer Sicherheitsmaßnahmen, wie beispielsweise Zugriffsbeschränkungen, verzichtet wurde, kann der Angreifer aus dem Adressbereich des Herstellers automatisiert die MAC-Adressen der Reihe nach ausprobieren, bis er ein Gerät findet.
Sicherheitskameras können als Spy-Cams missbraucht werden
Diese Sicherheitsprobleme fanden sich in ähnlicher Art und Weise auch bei Kameras. So haben kürzlich Mitarbeiter eines auf Datensicherheit spezialisierten Portals ein Datenleck im Upload-Mechanismus der Foto-Sharing-Plattform Theta360 entdeckt. Die vom japanischen Hardware-Hersteller Ricoh betriebene Plattform ist unter anderem mit dem Spitzenmodell Theta Z1 360°, einer Smart-Home-Vollsphärenkamera des gleichen Herstellers, gekoppelt, welches beeindruckende Rundumaufnahmen liefert. Obwohl eine Vielzahl von Anwendern die Funktion ihrer Kamera als "privat" konfiguriert hatten, war es nicht nur möglich, über die Sicherheitslücke ca. 11 Millionen Bilder auszulesen, sondern oftmals auch Zugang zu Vor- und Nachnamen, Benutzernamen sowie der UUID (Universal Unique Identifier) jedes Fotos zu erlangen. Zusätzlich konnten die, von den Benutzern geschriebenen Beschriftungen der Bilder ausgelesen werden. Mithilfe der UUID konnte dann im Anschluss über die Suchmaschine Elasticsearch eine Verknüpfung zu Social-Media-Konten der Benutzer hergestellt werden.
Fatale Kombination: Social Media und unsichere IoT-Geräte
Kriminelle nutzen häufig die sozialen Netzwerke, um potenzielle Opfer auszuspähen. So zeigt die polizeiliche Kriminalstatistik (PKS), dass Vorsicht durchaus angebracht ist: Im vergangenen Jahr gab es etwa 97.500 Einbrüche in Häuser und Wohnungen. Die Kombination von Urlaubsgrüßen in sozialen Netzen und der Einsatz unsicherer IoT-Endgeräte machen Kriminellen das Leben und „Arbeiten“ dann besonders leicht.