Der neue Kuri-Roboter von Bosch
Darren Cauthon staunte nicht schlecht, als er seinen Fernseher anschaltete. Wo ihn sonst seine Lieblingsserien erwarten, füllte ein offizielles Schreiben der US-Bundesbehörde Federal Bureau of Investigation (FBI) seinen Bildschirm, unterzeichnet von Director James Comey. Der Fernseher sei gesperrt und werde erst gegen eine Strafzahlung von 500 Euro wieder zugänglich. Nun ist Cauthon Software-Entwickler. Er kennt diese Art der digitalen Lösegeld-Erpressung. Doch auf einem Fernseher?
Tatsächlich haben in der Vergangenheit solche Hacker-Angriffe vor allem Computernutzer getroffen. Mit sogenannter Ransomware erpressen Kriminelle ihre Opfer, indem sie deren persönlichen Daten verschlüsseln und nur gegen Geldzahlung wieder freigeben. Aber wie konnte der Lockscreen-Trojaner „FLocker“ auf den LG-Fernseher von Cauthon gelangen? Der Entwickler hatte offenbar eine infizierte App installiert. Auf seinem Gerät lief die Software-Plattform Google TV.
„Wir müssen davon ausgehen, dass Angriffe auf das Internet der Dinge zunehmen werden“, sagt Alexandru Balan, Chef-Forscher beim Sicherheitsspezialisten Bitdefender. Balan wirft den Herstellern auf breiter Ebene Versagen vor. Nachdem er ihre Geräte im Labor auf Schwachstellen getestet hat, stellt der Experte fest: Das Internet der Dinge hat ein Problem. In acht von zehn Fällen wies er Schwachstellen nach. „Die Hersteller machen schlichtweg nicht ihre Hausaufgaben.“
Ein fatales Windhunderennen hat begonnen
Der Ausblick könnte düsterer kaum sein. Wie die Hightech-Messe CES in Las Vegas in dieser Woche gezeigt hat, überschlagen sich die Unternehmen dabei, allerlei Geräte zu vernetzen. In ihren Präsentationen versprechen sie eine heile und smarte Welt, in der immer lächelnde Menschen sich von Roboter verwöhnen lassen, mit ihren Waschmaschinen sprechen, im Supermarkt auf dem Smartphone-Display den Inhalt ihres Kühlschranks überprüfen können und das Haus sich aufheizt, sobald der Bewohner mit seinem Auto in die Nähe kommt.
Die Managementberatung Oliver Wyman geht davon aus, dass bereits in vier Jahren jedes zweite Haushaltsgerät vernetzt sein wird. In Las Vegas hat sich gezeigt, dass die Industrie nicht einmal vor Haarbürsten oder Hundehalsbändern haltmacht.
Tatsächlich fällt es Verbrauchern immer schwerer, ihr Zuhause nicht zu vernetzen. Wer heute einen Fernseher kauft, hat die Vernetzung gleich mit eingebaut. Eine moderne Spielkonsole funktioniert ohne Internetanschluss überhaupt nicht. „Man wird bald kein Heimgerät mehr kaufen können, das nicht vernetzt ist“, sagt Bitdefender-Experte Balan. Doch gerade weil diese Geräte dauerhaft mit dem Internet verbunden sind, wird das Smart Home zur leichten Beute.
In vielen Fällen sehen die Hersteller nicht einmal die Möglichkeit vor, neue Software nachzurüsten. Oder sie machen es so kompliziert, dass kein Nutzer es jemals machen würde. Die Industrie hat sich auf dem Weg in die vernetzte Zukunft auf ein Windhundrennen eingelassen, bei dem sie sich herzlich wenig um die Sicherheit schert. Niemand nimmt sich die Zeit, um auf technische Standards zu warten. Nicht zuletzt deswegen sind viele Geräte nicht untereinander kompatibel. Für übergreifende Sicherheitslösungen sind Standards aber unerlässlich.
Unbemerkt gefangen im Botnetz
Wenn jeder sein eigenes Ding macht, haben Hacker leichtes Spiel. Kaum ein vernetztes Gerät scheint sicher zu sein. So haben Forscher des Weizmann Institute of Science in Israel und der Dalhousie University im kanadischen Halifax im vergangenen Jahr gezeigt, wie sie die Steuerung von vernetzten Hue-Lampen übernehmen können. Sie mussten nur mit einer Drohne in die Nähe des Gebäudes fliegen und konnten aus der Ferne die Kontrolle über die Lampen übernehmen.
In welchem Zustand sich das Internet der Dinge befindet, zeigte auch ein Großangriff im vergangenen Jahr, als Kriminelle mehrere Millionen vernetzte Heimgeräte von Privatnutzern kaperten, darunter Kameras, Drucker und Router. Die Malware mit der Bezeichnung Mirai suchte im Internet nach Geräten, die mit Standard-Passwort-Einstellungen und ohne Firewall betrieben wurden.
Einmal infiziert, wurden sie einem Botnetz hinzugefügt, ohne dass die Besitzer der Geräte dies bemerkten. In der Folge brachte das Botnetz durch massenhafte Abrufe Server ins Straucheln, auf die Dienstleister wie Spotify, Twitter, Airbnb und die „New York Times“ angewiesen sind. Für viele Nutzer waren diese Websites über Stunden nicht aufrufbar.
Nur ein Warnschuss
Experten sehen in diesen Angriffen nur einen Warnschuss für größere Attacken. Kriminelle bereiten immer umfangreichere Botnetze vor – und greifen dafür auf das vernetzte Zuhause zu. Ein solcher Angriff führte vor sechs Wochen dazu, dass die Internetrouter von fast einer Million Kunden der Deutschen Telekom ausfielen.
Die Attacke lief zwar ins Leere, weil die Router ihren Dienst verweigerten, ohne sich mit der Malware zu infizieren. Allerdings konnten die Telekom-Nutzer bundesweit weder telefonieren noch im Internet surfen oder fernsehen.
Eine Lösung für diese Probleme glaubt Ludovic Le Moan gefunden zu haben. Der Chef des französischen Start-ups Sigfox baut weltweit ein Kommunikationsnetz für das Internet der Dinge auf und ist bereits in knapp 30 Ländern vertreten. Bis Ende des kommenden Jahres soll die Zahl der Länder verdoppelt werden, in denen Sigfox seine Antennen aufstellt.
Geräte mit entsprechenden Funkchips können zwar über das Sigfox-Netz Informationen wie den Standort, Temperaturangaben und Fitnessdaten übertragen. Für Hacker lässt Sigfox aber schlichtweg zu wenig Daten durch. „Wir drehen“, sagt Le Moan, „Angreifern einfach den Hahn ab.“
Dieser Artikel erschien zuerst bei Welt Online.