Yahoo Finanzen Warum der Thermomix-Konkurrent von Lidl ein Sicherheitsrisiko ist
Eine Küchenmaschine mit WLAN und Mikrofon – was kann da schon schiefgehen? Der Thermomix-Konkurrent von Lidl weist gravierende Sicherheitslücken auf.
Der „Monsieur Cuisine“, so verspricht es die Werbung, ist ein Multitalent. Hobbyköche können mit der Maschine Kuchenteig kneten, Frikadellen braten, Suppe kochen. Und Monster rösten, wenn sie etwas Mut und IT-Expertise haben.
Alexis Viguié und Adrien Albisetti haben das vorgeführt. Die beiden Freunde aus dem nordfranzösischen Rennes übernahmen die Kontrolle über den Computer, mit dem der Küchenhelfer gesteuert wird, und installierten darauf den Ego-Shooter „Doom“. Also jenes berühmt-berüchtigte Spiel aus 1990er-Jahren, in dem Soldaten gegen Dämonen kämpfen.
Die beiden Bastler entdeckten dabei jedoch bedenkliche Sicherheitsprobleme: Die Software ist veraltet, zudem enthält das Gerät ein nicht-dokumentiertes Mikrofon. Der Fall zeigt einmal mehr, dass Produkte für das vernetzte Zuhause, neudeutsch Smart Home, oft schlecht geschützt sind und damit Gefahren bergen, für die arglosen Nutzer wie für die Allgemeinheit.
Alles begann mit einer Frotzelei. Ein Freund forderte Albisetti und Viguié dazu auf, auf der Küchenmaschine „Doom“ zu installieren. Das ist unter IT-Spezialisten ein Sport: Der Ego-Shooter läuft dank geringer Systemanforderungen auf vielen Geräten mit Prozessor und Bildschirm, ob Drucker, Geldautomaten oder dem Infotainmentsystem des Porsche 911.
Auch der „Monsieur Cuisine Connect” ist ein verkappter Computer. Das Gerät führt Köche auf einem Bildschirm Schritt für Schritt durch Rezepte. Für die Steuerung baut Hersteller Silvercrest ein Tablet ein. Außerdem ein WLAN-Modem, mit dem Nutzer neue Rezepte aus dem Internet herunterladen können.
Die beiden Freunde, die nach einer Ausbildung zum Systemadministratoren derzeit neue Jobs suchen, nahmen die Herausforderung an. Er wolle immer verstehen, wie alles um ihm herum funktioniere, sagt Albisetti. „Ich fand einen Hack im Netz und wendete ihn an“, berichtet er dem Handelsblatt.
Einige Expertise war durchaus nötig, aber kein Informatikstudium: Ein Programmierer hatte auf der Plattform Github das Vorgehen schon vor Monaten dokumentiert. Nur eine Portion Mut brauchte es: Für den Fall, dass die nagelneue Maschine bei der Prozedur kaputtgeht.
Ein verstecktes Mikrofon
Der Hack gelang. Die IT-Spezialisten entdeckten dabei aber gravierende Sicherheitsprobleme. Zum Beispiel bei der Software: Auf dem Tablet ist das Betriebssystem Android 6 installiert, das Hersteller Google 2015 eingeführt hat. Die jüngsten Sicherheitsupdates stammen vom März 2017 – damit dürfte das Gerät für Angriffe über das Internet anfällig sein.
Auch die Hardware barg eine unliebsame Überraschung: Beim Auseinanderschrauben zeigte sich, dass die Küchenmaschine ein Mikrofon enthält. „Wir glauben nicht, dass Lidl die Kunden ausspionieren möchte“, sagt Albisetti – das Gerät sei offenbar deaktiviert. „Das Problem ist aber, dass die Dokumentation nichts über die Existenz des Mikrofons aussagt.“
Die Entdeckungen der beiden französischen Hacker sind auch für deutsche Kunden relevant: Lidl hat die Küchenmaschine hierzulande im Mai 2018 baugleich verkauft, auf einigen Online-Plattformen sind weiterhin Geräte im Angebot.
Lidl bestätigte die Beobachtung auf Handelsblatt-Anfrage. Der Einbau sei „mit Blick auf die mögliche Einführung“ neuer Funktionen erfolgt, für die ein Mikrofon benötigt werde. Das Gerät sei aber softwareseitig deaktiviert und werde „erst dann aktiviert, wenn der Kunde der Benutzung ausdrücklich zugestimmt hat“. Die Aktivierung durch Außenstehende sei nur durch „eine massive technische Manipulation mit Spezialkenntnissen“ möglich.
Eine Lappalie ist das indes nicht. Die Bundesnetzagentur erklärte, den Fall zu prüfen. Nach dem Telekommunikationsgesetz ist es verboten, Gegenstände des täglichen Gebrauchs zu verkaufen, wenn diese unbemerkt Audio- und Bilddateien übertragen können. Die Behörde hat deswegen 2017 eine Kinderpuppe mit Sprachassistent aus dem Verkehr gezogen.
Keine akute Gefahr
Dagegen widersprach Lidl der Darstellung, dass die Software nicht aktuell ist. Man habe bei der Entwicklung „gezielt auf ein bereits ausgereiftes Android-System gesetzt, um so mögliche Schwachstellen von neueren Systemen zu vermeiden“, erklärte das Unternehmen. Das sei bei anderen vernetzten Produkten wie Kühlschränken ebenfalls üblich.
Die verwendete Android-Version sei zudem „mit den neuesten Sicherheitsupdates“ ausgestattet und werde zusätzlich mit einem „Secure-Element“ vor unbefugtem Zugriff von außen geschützt. Weitere Details nannte der Handelskonzern jedoch nicht.
Eine akute Gefahr für Hausmänner und Hobbyköche bestehe wahrscheinlich nicht, sagt Michael Steigerwald, Geschäftsführer des Start-ups Vtrust. „Die Küchenmaschine bewegt sich normalerweise nicht frei im Internet, Nutzer können keine Apps installieren oder Webseiten öffnen“ – und damit auch keine präparierten Dateien auf das Gerät laden.
Es sei aber theoretisch möglich, dass Hacker zum Beispiel über ein manipuliertes Kochbuch schädliche Software einspielen. Zudem gebe es immer wieder Elektronikgeräte, die ab Werk einen Virus haben – nämlich dann, wenn die Hersteller bewusst oder unbewusst infizierte Softwarepakete aufspielen. „Man müsste weitere Analysen machen, um die genauen Gefahren zu kennen“, sagt Steigerwald.
In einem solchen Fall sei die Küchenmaschine wie ein Trojanisches Pferd, das ein Loch in die Firewall reiße, sagt der IT-Spezialist: „Angreifer können sich dann über das manipulierte Gerät im privaten Netzwerk bewegen.“
Bedenkliche Sorglosigkeit im Smart Home
Trotz dieser Einschränkungen sieht Steigerwald in dem Fall aber ein Beispiel für die Sorglosigkeit, die viele Hersteller von vernetzten Geräten zeigen. „Die Geschwindigkeit hat enorm zugenommen – auf Kosten der Qualität“, beobachtet der Informatiker, dessen Firma Sicherheitsdienstleistungen fürs Smart Home anbietet.
Viele Hersteller vernachlässigen die IT-Sicherheit, teils eklatant. Sie liefern Produkte mit Standardpasswörtern aus, schließen Sicherheitslücken in der Software spät oder gar nicht und verschlüsseln Daten nur unzureichend. Damit ist es vergleichsweise leicht, sich Zugang zum Netzwerk zu verschaffen und intime Informationen abzugreifen.
Hinzu kommt eine Gefahr für die Allgemeinheit: Kriminelle kapern schlecht abgesicherte Computer und schließen sie zu Botnetzen zusammen, also Rechnerverbünden, mit denen sie beispielsweise Webseiten attackieren können. Neben PCs nutzen sie dafür immer häufiger Smart-Home-Geräte wie Router, Lampen und womöglich eines Tages Küchenmaschinen.
Die beiden Hacker nutzen die neue Küchenmaschine nach eigenem Bekunden immer noch, allerdings zum Kochen, nicht zum „Doom“-Spielen, was auf dem kleinen Touchscreen schnell seinen Reiz verliert. „Aber ich vergesse nicht, sie danach immer auszustöpseln“, sagt Albisetti.
