Lichtschalter, Saugroboter oder Teddybären: Immer mehr Produkte können mit dem Internet verbunden werden. Und bieten damit Angriffspunkte für einen Hacker-Angriff.
InternetkriminalitätLauschangriff über einen Katzenfutterautomaten
Der Notruf erreichte die Gelsenkirchener Polizei kurz nach Mitternacht. Ein Unbekannter habe Ton- und Bildaufnahmen aus ihrer Wohnung gemacht und auf Instagram veröffentlich, meldete eine junge Frau im November vergangenen Jahres. Die Aufnahmen seien wohl über den Futterautomaten ihrer Katze generiert worden. Der jedenfalls sei an das WLAN-Netz ihrer Wohnung angeschlossen und verfüge über eine Kamera sowie ein Mikrofon.
Strafanzeigen wegen „Verletzung der Vertraulichkeit des Wortes“ sind nichts Ungewöhnliches. In der Regel jedoch handelt es sich um Aufnahmen mit dem Handy, von denen zumindest einer der Gesprächspartner nichts wusste. Dass ein Katzenfutterautomat dabei eine Rolle spielen soll, klingt erstmal kurios. Entspricht aber der Wahrheit, wie die Polizei in Gelsenkirchen bestätigte. Es seien Gespräche zwischen Geschädigten und ihrem Freund aufgezeichnet worden. Die Person, die die Aufnahmen vermutlich gemacht und ins Netz gestellt hat, habe das 23-jährige Opfer auf die Veröffentlichung in den Sozialen Medien zuvor sogar aufmerksam gemacht. Der Täter habe sich dort mit einem Fake-Account angemeldet.
Ermittlungen dauern noch an
Die seit Monaten „intensiv geführten“ Ermittlungen würden auch derzeit noch „auf Hochtouren“ laufen, ergänzte Oberstaatsanwältin Anette Milk. Wann ein „abschließendes Ergebnis“ vorliege, könne sie „aktuell nicht sagen“.
Die Nutzung vernetzter Alltagsgegenstände, in der Fachsprache „Internet of Things“ (IoT) genannt, ist längst schon keine Seltenheit mehr. Lichtschalter, Heizungen, Rollläden, Küchengeräte, Saugroboter, Wasch- und Spülmaschinen bis hin zu lernfähigen Teddybären: Die Liste der Gegenstände, die auf ihre Internetkompatibilität upgedatet werden können, ist lang - Tendenz steigend.
Laut dem „Digitalbarometer 2021“, einer Studie der Länder und des „Bundesamtes für Sicherheit in der Informationstechnik“ (BSI), ist der Anteil vernetzter Heimgeräte vom Jahr 2020 von 8 Prozent im Jahr 2021 auf 29 Prozent gestiegen - rund acht von zehn Befragten besitzen zwischen drei und sechs internetfähige Geräte. Nach einer Umfrage der Brancheverbandes „Bitkom e.V.“ überwachen drei von zehn Deutschen ihr Zuhause derzeit schon per Smartphone und ein Fünftel davon kann sich vorstellen, zukünftig digitale Türschlösser zu nutzen. Die IoT-Geräte ermöglichen den Datenaustausch untereinander. Neben vernetzten Lautsprechern mit Sprachassistenten ist das weit verbreitete Smart TV-Gerät vermutlich das bekannteste Beispiel für derartige Produkte.
Nicht einmal die Hälfte der Deutschen achtet bei smarten Geräten auf die Sicherheit
„So angenehm die Vereinfachungen im Alltag durch die smarten Helfer auch sind, so eröffnen sie gleichzeitig auch neue Angriffsflächen für Cyberangriffe“, heißt es in einem Papier der nordrhein-westfälischen Landesregierung. Laut der polizeilichen Kriminalstatistik sei die Computerkriminalität in NRW 2021 im Vergleich zum Vorjahr um 23,96 Prozent gestiegen. Auch vernetzte Home-Geräte, die keine Sicherheitsupdates erhalten oder bei denen beim ersten Start keine sicheren Passwörter vergeben werden, „stellen ein Sicherheitsrisiko dar“.
Unabhängig davon, dass deren Eigentümer über „kompromittierte“ Smart-Home-Geräte ausspioniert werden können, könnten sie beispielweise auch „Teil eines Botnetzes werden, mit Hilfe dessen kriminelle Hacker beispielsweise Angriffe auf Webseiten oder andere Internetdienste starten“. Eine Vorstellung, die gruselt. Szenarien jedenfalls, in denen Hacker in die tiefste Privatsphäre eindringen, sind alles andere als undenkbar. Dies verdeutlicht etwa ein Fall aus den USA, bei dem sich ein Unbekannter den Zugriff auf ein Babyphone verschaffte, die zugehörige Kamera aus der Ferne steuerte und anfing das Baby anzusprechen. Laut einer Forsa-Studie aber achtet nicht einmal die Hälfte der Deutschen beim Kauf smarter Geräte auf die Sicherheit der Produkte.
Staatsanwalt: „Nicht die Anwender, die Hersteller sind in der Pflicht“
Dies teile sich mit seiner Einschätzung, sagte der Kölner Oberstaatsanwalt Markus Hartmann. Es sei den Leuten aber auch nicht zuzumuten, selbst für eine ausreichende Absicherung zu sorgen. „Das Thema ist so komplex, dass nicht jeder, der einfach nur seine Heizung digitalisieren oder die Fenster überwachen möchte, ein Informatikstudium nebenbei machen kann, um wirklich qualifiziert beurteilen zu können, welche Risiken bestehen und was dagegen zu tun“, betonte der Leiter der nordrhein-westfälischen „Zentral- und Ansprechstelle Cybercrime“ (ZAC). „Vielmehr sind nach meiner Auffassung die Hersteller derartiger Produkte in der Pflicht.“
Diese müssten „in der Grundkonfiguration dessen, was sie auf den Markt bringen, IT-Sicherheit gewährleisten“, so Hartmann: „Das heißt, die smarte Heizung etwa sollte sich automatisch Sicherheitsupdates ziehen, wenn eine Lücke bekannt wird.“ Und nicht nur einmal beispielsweise direkt nach dem Kauf, sondern über die gesamte Lebensdauer eines Gerätes. „IT-Sicherheit muss für die Anwender einfach sein, sonst funktioniert sie nicht, wie uns die Erfahrung zeigt“, betonte der ZAC-Chef. „Und dafür sollte es zukünftig verbindliche Mindeststandards geben, die bisher leider noch nicht in ausreichender Breite existieren.“
Cyber-Attacken auf Smart-Home-Geräten sind noch die Ausnahme
Derzeit jedoch seien Angriffe auf Smart-Home-Geräte noch die Ausnahme und komme „eher in Fällen zielgerichteter Cyberangriffe auf einzelne Personen vor“, ergänzte Hartmann. Aus Sicht „finanziell motivierter Krimineller“ sei es deutlich interessanter, „wenn man flächendeckend, einfach und aus Sicht der Täter zuverlässig, attackieren“ könne. „Solange es viel einfacher ist, einen schlecht geschützten Billigrouter direkt zu kompromittieren, machen die das auch“, ist sich der Cybercrime-Experte sicher: „Denn wenn ich den Router direkt kontrolliere, kontrolliere ich im Zweifel auch viele verbundene Komponenten.“
Verbraucherinnen und Verbraucher jedenfalls sollten ihr Netzwerk „segmentieren, wenn sie smarte Geräte einsetzen“, rät Joachim Wagner vom „Bundesamt für Sicherheit in der Informationstechnik“ (BSI). „Konkret bedeutet dies, dass derartige Geräte beispielsweise über eine Gäste-WLAN ins Heimnetz eingebunden werden sollten.“ Aktuelle Router würden diese Funktion anbieten. Rechner, mit denen wie beim Online-Banking sensible Daten verarbeitet werden, könnten dadurch geschützt werden.
Weitere BSI-Empfehlungen finden Sie unter: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Internet-der-Dinge-Smart-leben/Smart-Home/smart-home_node.html