Wie ich in Ihr Wohnzimmer schaute

Als ich das Video sehe, fühle ich mich wie ein Krimineller. Fast ein wenig beschämt. Vor mir zeigt ein Live-Bild einen Wohnungsflur irgendwo in Deutschland. Ich sehe Jacken im Schrank, einen Spiegel und ein Gemälde an der Wand. Die Bewohner wissen nicht, dass ein völlig Fremder gerade in ihre Privatsphäre eingedrungen ist. Dabei war das gar nicht schwer. Gereicht hat der Begriff „IP-Cam“ im Suchfeld einer speziellen Suchmaschine und ein Klick auf eins der Suchergebnisse.

Der Wohnungsflur ist nicht das einzige, was ich finde. Ich schaue in Gärten, auf Garagen oder in die Liefereinfahrt eines Geschäftes. Die Suchmaschine listet Geräte auf, die mit dem Netz verbunden sind. Einige davon sind nicht passwortgeschützt und so für jeden zugänglich. Das ist nicht nur gefährlich für die Besitzer. Die IP-Kamera, die da so harmlos den Flur überwacht, ist in den falschen Händen eine Waffe – weil sie mit dem verbunden ist.

Smart Home heißt die Technik, die Verbrauchern das Leben erleichtern soll. Eben mal schnell die Wohnung via Handy-Befehl aufheizen oder die lieben Kleinen per Video-Babyfon im Auge behalten. Schöne, neue, vernetzte Welt. Doch es lauern Gefahren: Das zeigte zuletzt der Angriff auf die Router der Deutschen Telekom im Dezember. Dessen Ziel war nicht, die Besitzer auszuspähen, sondern die Mini-Computer für ihre Zwecke zu missbrauchen. Die Hacker wollten Schadsoftware einschleusen, mit deren Hilfe sie die Router hätten fernsteuern können. Das ist ihnen in diesem Fall nicht gelungen, die Geräte stürzten ab und der Angriff flog auf. Aber in zig tausend anderen Fällen hat es funktioniert.

Die Kriminellen schließen die Geräte zu einem riesigen Botnetz zusammen: Eine ferngesteuerte Armee, mit der zum Beispiel Webseiten tausendfach angefragt werden, bis sie zusammenbrechen. Experten nennen dies einen Distributed Denial of Service (DDos)-Angriff.

Die Attacke lenkte den Blick auf ein unterschätztes Problem: Beim PC und Laptop sind sich Nutzer meist über die Gefahren von Viren und Hackern bewusst. Bei Router, Babyfon oder Kamera eher nicht. Auch Steffen Wendzel, Professor für IT-Sicherheit und Mitarbeiter des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie, hält die Aufmerksamkeit für die Gefahr von Botnetzen für das Internet der Dinge für zu gering: „Mithilfe solcher Botnetze können nicht nur Unternehmen geschädigt werden, sondern eine massenhafte Überwachung von Personen – am Arbeitsplatz, Unterwegs und zu Hause – und Schädigung von Infrastruktur erreicht werden." Nach der Router-Attacke forderten viele Experten deshalb nicht nur die Hersteller auf, nachzubessern. Auch die Verbraucher sollen sich genauer informieren.

Ich bin einer dieser Verbraucher. Und ich möchte wissen, wie einfach es ist, mich über die Sicherheit von vernetzten Geräten zu informieren. Also schlüpfe ich in die Rolle eines Kunden mit Smart-Home-Ambitionen. Damit bin ich Vorreiter: Gerade einmal drei Prozent der deutschen Haushalt nutzen eine smarte Heizungssteuerung, wie die Gesellschaft für Unterhaltungselektronik (GFU) ermittelte. Laut einer Statista-Umfrage sind aber 21 Prozent sehr an Smart Home interessiert, immerhin 39 Prozent zeigen sich interessiert.

Auf meiner Einkaufsliste steht an erster Stelle die sogenannte IP-Cam. Mit der kann ich von unterwegs checken, was da so in meinem Zuhause vor sich geht. Praktisch, ich würde nämlich gerne wissen, was meine Katze so treibt, wenn keiner daheim ist. Ich schaue mich auf der Internetseite eines großen Elektronikhändlers um und entdecke mehrere Angebote in unterschiedlichen Preislagen. Über die Sicherheitsvorkehrungen wie etwa Passwortschutz erfahre ich erst einmal nichts, ich schreibe also dem Kundendienst. Der antwortet: Die WPA-Verschlüsselung sichere die Wlan-Verbindung ab, über Netzwerkkabel könne der Webserver der Kamera über Passwörter gesichert werden. Aber: „Die Sicherheit ist nicht von der Kamera, sondern vom Router und dessen Einstellung abhängig.“

Wie Sie Ihren Router absichern

Ähnliches höre ich, als ich in einem Elektronikmarkt nach Babyfonen mit Videooption Ausschau halte. Eigentlich braucht es das nicht, aber um das Ganze glaubhaft zu machen, begleiten mich eine Freundin und ihr neun Monate alter Sohn. Wir finden mehrere Modelle. Die Verpackung verrät mir, dass das Modell eine „private und sichere Verbindung“ biete. Der Verkäufer kann mir dazu auch nicht mehr sagen.

Nur: Reicht das? Ganz so einfach ist es nicht, sagt Stefan Ortloff, Sicherheitsexperte beim Sicherheitsdienstleister Kaspersky: „Es ist richtig, dass Router den Zugang absichern.“ Die Geräte dahinter lägen im privaten Netz. „Das ist getrennt vom öffentlichen und funktioniert wie eine Einbahnstraße – also nur von innen nach außen.“ Doch wenn ein Gerät zum Beispiel von außen erreichbar sein soll, muss eine sogenannte Portfreigabe erteilt werden. Der Router leitet dann Anfragen von außen gezielt an ein bestimmtes Gerät weiter – durch die Firewall. „Da muss man sich schon ein bisschen mit beschäftigen, um das vorzunehmen“, erklärt Ortloff.

Einfacher ist die Universal Plug and Play (UPnP) Funktion am Router: Ist die am Router aktiviert, können die Geräte diese Portfreigabe selbst vornehmen und sich auch untereinander vernetzen. Das ist praktisch, führt aber auch dazu, dass die Geräte auch für Fremde erreichbar sind und dass das Heimnetz angreifbar gemacht werden kann.“ Ortloff rät daher zur Deaktivierung von UPnP.

Wie aus einem harmlosen Gegenstand wie einem Babyfon eine Waffe werden kann, zeigt der Angriff eines Botnetzes im Oktober 2016. Mithilfe auch von gekaperten Babyfonen und IP-Kameras sorgten Hacker dafür, dass Seiten wie Netflix oder Spotify stundenlang nicht erreichbar waren.

Wichtig ist daher ein Passwort: Doch der Nutzer muss schauen, ob das Gerät diese Funktion überhaupt bietet und er das vom Unternehmen vorgegebene Passwort ändern kann. Denn genau da lauert ein weiteres Einfallstor für Hacker. Die Schadsoftware kann oft auf Standard-Benutzernamen, Passwörter oder auf bekannte Schwachstellen programmiert werden, erklärt Steffen Wendzel: „Mithilfe einer Suchmaschine wird gezielt nach Geräten und Typennummern gesucht – dann versucht sich die Schadsoftware aufzuschalten.“

Von Kundendienst und Verkäufer habe ich nicht so viel erfahren. Einen Vorwurf könne man ihnen da allerdings nicht machen, meint Ortloff: „Das Angebot ist ziemlich umfassend. Anbieter und Hersteller müssen ihre Angestellten viel besser schulen.“ Na gut, dann frage ich doch direkt einmal bei den Herstellern an. Bei den Webcams entscheide ich mich für eine IP-Kamera von Edimax für knapp 47 Euro, ein Modell von Abus für rund 130 und eins von D-Link für circa 219 Euro. Dieses Mal richte ich die Anfrage allerdings direkt an den Hersteller – als Journalist an die Pressestelle.

Was die Hersteller sagen

D-Link antwortet und spricht unter anderem von marktübliche Sicherheitsstandards bei dem entsprechenden Modell und „eine Vielzahl von Technologien und Verfahren, um erwünschte Zugriffe von außen zu unterbinden.“ Der Nutzer könne zum Beispiel auch eine Liste von erlaubten IP-Adressen zum Zugriff auf die Kamera definieren. Zudem verweist man auf den deutschsprachigen Telefon- und Email-Support, der zum Thema Sicherheit den Kunden zur Verfügung stünde. Informationen über Updates erhält der Nutzer über automatische Benachrichtigungen bzw. Upgrades über die App, ein Portal und als Download auf der Supportseite.

Auch der Hersteller Edimax antwortet Ähnliches und verweist auf die Information für Benutzer in der Schnellinstallationsanleitung und dem Benutzerhandbuch. Beide Hersteller bieten ein änderbares Passwort. Auch Abus bietet zum Beispiel eine Pin-geschützte App, eine Passwort-geschützte Verbindung zwischen App und Kamera und verschlüsselten Funk, so die Antwort des Herstellers. Voraussetzung für ein Firmware-Update sei die Nutzung einer Micro-SD Karte, die allerdings im Normalbetrieb der Kamera verwendet werde. Updates werden dann automatisch heruntergeladen und der Nutzer erhält eine Benachrichtigung. Das hört sich sicher an. Doch warum finde ich das nicht auf der Verpackung?

Auf der fehlen aktuell spezielle Hinweise, teilt Abus mit. Man denke aber darüber nach, in Zukunft auf der Verpackung auf die Schutzmechanismen der Kamera hinzuweisen. Für Verbraucher wäre das ein Anhaltspunkt. Denn Informationen zur Datensicherheit finden sich häufig gar nicht erst auf den Verpackungen – ein erhebliches Manko, meint auch IT-Experte Wendzel: „Man kann nicht die ganze Verantwortung auf den Verbraucher abwälzen – schließlich ist der meist kein Tech-Experte.“

Und auch wenn die Anbieter Sicherheit versprechen, ist bei den vernetzten Geräten Vorsicht geboten. So zeigte eine Untersuchung der SEC Consult Deutschland, dass Millionen solcher Geräte weltweit ein und denselben Sicherheitsschlüssel verwenden und über kritische Schwachstellen verfügen. In den Vereinigten Staaten ist es die US-Handelskommission Federal Trade Commission (FTC), die sich mit Herstellern anlegt. Aktuell wirft sie dem Hersteller D-Link vor, seine Router und IP-Kameras nicht ausreichend genug abzusichern – und hat Klage eingereicht. Ein ähnliches Verfahren hatte die FTC schon 2016 gegen Asus angestrengt. D-Link weist die Vorwürfe zurück.

Meine nächste Einkaufstour führt mich zu einem weiteren Elektronikhändler: Mit meiner „Freundin“ suche ich nach einer neuen Küche. Natürlich am liebsten vernetzt: Ich finde einen Backofen von Siemens, der mit der App Home Connect gesteuert werden kann. Auch Geräte der Marke Bosch sind damit zum Beispiel kompatibel. Amazons Sprachassistent Alexa soll laut Unternehmensangaben integriert werden. Eine ähnliche Lösung bietet auch die Plattform Qivicon.

Der Verkäufer ist freundlich und erklärt uns die Funktionsweise, bei der Sicherheit ist er allerdings auch überfragt. Ich schaue im nach: Die App informiert über ihre Maßnahmen zur Datensicherheit – und die ist vom österreichischen TÜV geprüft. Das Problem mit der App: Nur Geräte, die mit Home Connect kompatibel sind, können damit verwendet werden. Habe ich beispielsweise den Herd einer anderen Marke zuhause, wird es schwierig.

Was Kunden Orientierung bieten kann

Eine Prüfung durch eine externe Stelle gibt Kunden Orientierung, sagt Dennis Schröder, IT-Sicherheitsexperte bei TÜV IT, der in der Vergangenheit zum Beispiel die Smart-Home-Lösung von Innogy auf Sicherheitsschwachstellen überprüfte: „Wir untersuchen Prüfgegenstände entweder im Rahmen einer Zertifizierung oder eines Gütesiegels.“ Der Unterschied: Bei einer Zertifizierung testet ein akkreditiertes Prüflabor alle Kriterien der Datensicherheit, anschließend werden diese Ergebnisse sowie die Einhaltung des Zertifizierungsverfahrens von einer unabhängigen Zertifizierungsstelle bestätigt. Bei der Vergabe eines Gütesiegels wird auf das doppelte Vier-Augen-Prinzip verzichtet. In dem Fall ist allein das Prüflabor zuständig.

Doch wie informiere ich mich als Kunde, wenn Anfragen bei Händlern und die Verpackung erst einmal nicht weiterhelfen? „Wer sich für ein Smart Home oder vernetzte Geräte interessiert, sollte es ernst nehmen und sich Zeit nehmen“, sagt Stefan Ortloff von Kaspersky. Das meint auch Dennis Schröder von TÜV IT. Dabei helfe nicht nur die Suche nach Sicherheitszertifikaten und Gütesiegeln: „Es gibt Indizien, wie ernst es ein Hersteller oder Betreiber mit der Sicherheit nimmt.“

Gibt es zum Beispiel eine Meldestelle für Sicherheitsvorfälle, wie oft werden Softwareupdates zur Verfügung gestellt und werden regelmäßig Penetrationstests durchgeführt? „Das sind Tests, in denen diverse Prüfgegenstände wie Geräte auf ihre Sicherheitsschwachstellen geprüft werden“, sagt Schröder.

Was kann sonst noch helfen? Experten des Chaos Computer Clubs wollen eine Mindesthaltbarkeitsangabe für vernetzte Produkte, wie lange also Sicherheitsupdates zur Verfügung stehen. Auch Steffen Wendzel vom Fraunhofer-Institut weist auf die Verderblichkeit von hin, denn Hacker gehen gezielt auf die Suche nach Sicherheitslücken: „Was jetzt noch aktuell ist, kann in einem Jahr schon völlig überholt sein. Hersteller müssen deshalb transparenter informieren, wie lange Updates vorhalten.“ Es bleibt also dabei: Der Verbraucher muss in Vorleistung treten – auch wenn das nicht einfach ist. Immer noch besser aber als seinen Inneneinrichtungsvorlieben mit der Welt zu teilen.

KONTEXT

Zehn Tipps für mehr IT-Sicherheit

Geschäftsleitung involvieren

Oft beschneidet das Management aus Renditegründen das Budget. Daher: Informieren und sicherstellen, dass die Firmenlenker die Tragweite des Sicherheitsprojekts erkennen.

Bestandsanalyse durchführen

Geräte und Lösungen sowie ihre Eignung für die Abwehr von Cyberattacken katalogisieren - ebenso Rechteverwaltung, Sicherheitsbewusstsein sowie interne und externe Gefahren.

Einsatzteam aufbauen

Eine zentrale Abteilung stimmt alle sicherheitsrelevanten Punkte aufeinander ab. Silos sind wenig effizient und übersehen Sicherheitslücken. Ratsam: einen Chief Information Security Officers ernennen.

Sicherheitsstrategie entwickeln

Wie viel darf welche Sicherheitsmaßnahme kosten, welche Risiken werden in Kauf genommen? Anschließend Budget- und Personal-Szenarien entwerfen.

Budgets verhandeln

Je früher Führungskräfte in das IT-Sicherheitsprojekt eingebunden sind, desto besser können sie nötige Ausgaben nachvollziehen - und desto konstruktiver gestalten sich Verhandlungen.

Sicherheitsrichtlinien ausarbeiten

Und zwar unternehmensweit: Diese sollten auch alle notwendigen Compliance- und sonstigen gesetzgeberischen Aspekte berücksichtigen.

Systeme und Updates installieren

Nicht nur moderne Systeme und Lösungen, die es mit fortschrittlichen Attacken aufnehmen, sind essenziell - aktuelle Updates sind es ebenfalls.

Schulungen vorsehen

Auf Basis eines mittelfristigen Schulungsplans festlegen: Wer wird wie oft zu welchen Themen aus- beziehungsweise fortgebildet?

Der Geschäftsleitung berichten

Dann bleibt sie dem Sicherheitsprojekt gewogen. Eine grafische Aufbereitung der Sicherheitslogs sensibilisiert nachhaltig.

Kontrollschleife einbeziehen

Regelmäßig die Effizienz neuer Maßnahmen und Strukturen durchleuchten. Dabei neue Gefahren, Lösungen am Markt sowie Organisationsveränderungen berücksichtigen.

Quelle

Schluss mit dem Silodenken: Geht es nach den Experten von Dell, sollten Mittelständler ihre Sicherheitsstrategie im Rahmen eines abteilungsübergreifenden Projekts auf einheitliche Füße stellen - und zwar mit folgenden zehn Schritten (erschienen im Magazin creditreform 06/2016):

KONTEXT

Große Hacker-Angriffe der vergangenen Jahre

Yahoo

Es ist der wahrscheinlich größte Datendiebstahl bei einem einzigen Unternehmen bislang: Mindestens eine halbe Milliarde Nutzer des US-Internetkonzerns Yahoo sind Opfer eines Hackerangriffs geworden. Die Kriminellen erbeuteten E-Mail-Adressen, Geburtsdaten, Telefonnummern, Passwörter und auch unverschlüsselte Sicherheitsfragen, wie Yahoo am Donnerstag mitteilte. Der Angriff ereignete sich schon Ende 2014, im August 2016 wurden 200 Millionen Daten im Netz zum Kauf angeboten - für umgerechnet 1700 Euro.

Ebay

Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.

Target

Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen, die Verkäufe von Target sackten nach Bekanntgabe im Dezember 2013 ab, weil Kunden die Läden mieden.

Home Depot

Beim Angriff auf die amerikanische Baumarkt-Kette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hände unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.

JP Morgan

Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und sieben Millionen Unternehmen.

Sony Pictures

Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet. Die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.

Ashley Madison

Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.

V-Tech

Der Spezialist für Lernspielzeug räumte den Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren, davon gut 500.000 in Deutschland.

KONTEXT

Was tun gegen Ransomware?

Daten sichern

Daten sichern: Wer ein aktuelles Abbild seiner Daten hat, ist nicht erpressbar. Back-ups sind aber nicht nur wegen Ransomware sinnvoll - ein Notebook kann herunterfallen, eine Festplatte mechanischen Schaden nehmen.

Virenscanner einschalten

Wenn ein Trojaner im Umlauf ist, nehmen die Hersteller von Virenscannern seine Signatur auf - die Software erkennt ihn. Moderne Programme enttarnen auch unbekannte Schädlinge anhand ihres Verhaltens.

Updates einspielen

Einige Schädlinge dringen über Sicherheitslücken in das System ein. Um das zu verhindern, sollte man so schnell wie möglich Updates einspielen, die Schwachstellen schließen, etwa in Flash und dem Adobe Reader.

Flash und Makros ausschalten

Je weniger Angriffsfläche ein Computer bietet, desto besser. Daher sollten Nutzer Programme wie Flash standardmäßig deaktivieren und nur bei Bedarf einschalten - das hilft bereits, viele Angriffe abzuwehren. Gleiches gilt für Makros in Office-Dokumenten.

Dateien prüfen

Nutzer sollten im Betriebssystem unbedingt Dateierweiterungen anzeigen lassen. Bei Trojanern handelt es sich oft um .exe- oder .vbs-Dateien - hier ist besondere Vorsicht geboten.

Aufmerksam sein

Obwohl Ransomware häufig gut gemacht ist: Viele Angriffe lassen sich erkennen. So sollten Nutzer bei E-Mails von unbekannten Absendern vorsichtig sein, bei ungefragt zugesandten Anhängen sowieso.