Immer wieder liest man in der Presse von Hackerangriffen oder Datenschutzvorfällen auf IoT-Geräte, also Geräte, wie ihr sie auch potenziell in eurem Smart Home habt. Doch wie konkret ist die Gefahr? Und was davon ist eigentlich nur Panikmache bzw. eher unwahrscheinlich?
Ich möchte euch heute eine kleine Hacker-Geschichte erzählen – eine Geschichte, wie sie Euch möglicherweise passieren könnte. Danach schauen wir uns die Geschichte kritisch an: Wie konnte es zu dem Vorfall kommen und wie realistisch ist das Ganze überhaupt? Ich gebe euch meine Einschätzung und zeige euch, was Hacker in Eurem SmartHome wahrscheinlich anstellen wollen und was eher unwahrscheinlich ist. Zum Schluss des Videos habe ich drei ganz konkrete Tipps, die jeder von euch zu Hause umsetzen kann und die euch vor dem hier beschriebenen Angriffsvektoren effektiv schützen.
Hallo!
Und damit hast du willkommen zu SmartHome? Aber sicher! Mein Name ist Joachim und ich begrüße euch heute zu einem Video der etwas anderen Art. Lasst uns direkt mit einer Geschichte starten.
Die Geschichte
Stellt euch vor, ihr habt im Internet bei einem asiatischen Händler ein Schnäppchen geschossen: eine smarte Überwachungskamera für euer Zuhause. Sie verfügt über einen HD-Kamera, einen Bewegungsmelder und eine dazugehörige App, mit der ihr jederzeit im Bilde seid, was sich in eurem Zuhause tut, wenn ihr nicht dort seid. Und das Ganze für nur 40 Euro. Ihr denkt nicht weiter darüber nach und schlagt zu.
Wenige Tage später steht der Postbote vor der Tür und überreicht euch euer neues smartes IoT-Gerät. Ihr packt es aus und richtet es direkt mit der zugehörigen App ein – was kinderleicht funktioniert. Was euch zu diesem Zeitpunkt noch nicht bewusst ist: App und Kamera können nur miteinander kommunizieren, weil sie beide eine Verbindung zu einem Server des Herstellers im Internet aufbauen. Dieser vermittelt zwischen der App und der Kamera. Ohne diesen Server wäre der Fernzugriff auf die Kamera, wenn ihr unterwegs seid nicht ohne weiteres möglich und daher ist dieses Konzept bei solchen Geräten weit verbreitet. Andere Ansätze erfordern vom Nutzer deutlich mehr Fachkenntnisse oder die Konfiguration zusätzlicher Komponenten, weshalb die Hersteller smarter Geräte nicht davon ausgehen, dass Nutzer bereit sind, diese Zusatzaufwände in Kauf zu nehmen oder überhaupt technisch in der Lage dazu sind. Dass die Verbindung Eurer neuen smarten Kamera zu einem Internet Server des Herstellers nur wenige Tage später einem Hacker Zugriff auf euer Heimnetz erlauben wird, ahnt ihr zu diesem Zeitpunkt noch nicht.
Ihr freut euch statt dessen einfach über eure neue Anschaffung. Zusätzlich stellt ihr fest, dass direkt ein Software-Update bereitsteht. Nach einem Tastendruck wird es installiert – ihr wertet das als ein Zeichen dafür, dass der Hersteller sich offenbar um das Produkt kümmert. Schließlich bringen Software-Updates oft Verbesserungen mit sich und schließen auch bekannte Sicherheitslücken. Ihr werdet gefragt, ob Updates in Zukunft automatisch eingespielt werden sollen. Ihr beantwortet dies mit “Ja” – eine Entscheidung mit fatale Folgen, wie sich später noch zeigen wird.
Die Tage vergehen, und ihr habt eure smarte Kamera bereits richtig lieb gewonnen. Ihr fühlt euch sicherer, wenn ihr eure Wohnung verlasst. Doch nach einigen Wochen bemerkt ihr merkwürdige Verhaltensänderungen. Eure Internetverbindung ist zeitweise richtig langsam, und es dauert ewig, bis eure Kamera-App ein Bild anzeigt. Das war vorher ganz anders. Auch eurer Synology Diskstation, ein Network-Attached-Storage (NAS), die ihr als Datenspeicher nutzt, hat plötzlich Probleme – Videos werden abends auf der Couch nur noch ruckelig auf den Fernseher gestreamt und ihr seid richtig genervt. Das Problem tritt aber nur zeitweise auf, und ihr versucht es zu ignorieren.
Die Zeit vergeht, und viele, viele Wochen später erhaltet ihr Post von einer Anwaltskanzlei. Diese fordert euch in einem Brief dazu auf, einen vierstelligen Betrag wegen Urheberrechtsverletzungen zu bezahlen. Dem Schreiben ist ein Protokoll beigelegt, aus dem hervorgeht, dass von eurem Internetanschluss seit einigen Wochen regelmäßig urheberrechtlich geschützte Filme im Internet zum Download angeboten werden. Als euer Junior am Abend nach Hause kommt, muss er sich ganz schön etwas anhören, bestreitet aber vehement etwas mit dem illegalen File Sharing zu tun zu haben.
Jetzt ruft ihr einen Freund zur Hilfe, der sich mit IT gut auskennt. Er schaut sich zuerst den Laptop eures Juniors an, der stinksauer ist und das auch zurecht, denn ihr findet auf dem Rechner nichts. Dann erwähnt ihr die Probleme mit eurer Disk Station. Er schaut sich deshalb eurer NAS an und stellt fest, dass es eine hohe CPU-Last aufweist. Zudem erkennt er auf eurer Fritz!Box, dass ungewöhnlich hohe Datenmengen über eure Internetleitung verschickt werden, obwohl ihr gerade gar nichts macht. Als er euch fragt, was ihr zuletzt an eurem Smart Home verändert habt, erwähnt ihr den Kauf der smarten Kamera. Aber hier findet euer Experten Freund keine Auffälligkeit.
Nach weitergehender Analyse stellt sich jedoch heraus: Nicht die Kamera, sondern eure NAS-Station verursacht den hohen Datenverkehr. Euer Freund fragt euch, wie ihr den Zugang zur NAS gesichert habt. Ihr gesteht, dass ihr ein einfaches Passwort gewählt habt: 12345, da ihr das NAS nur intern im eigenen Heimnetz nutzt und keine Portforwardings in Eurer Fritz!Box eingestellt habt.
Euer Freund empfiehlt, das NAS komplett neu aufzusetzen, also einen Reset durchzuführen, und ein sicheres Passwort zu vergeben. Und tatsächlich – danach sind die Probleme verschwunden. Doch weder ihr noch euer Freund wissen zu diesem Zeitpunkt, dass sie die wahre Ursache für die Probleme noch gar nicht gefunden haben.
Die Erklärung
Was war also tatsächlich passiert? Ein Hacker hat sich unbemerkt Zugriff auf eurer NAS verschafft und dort verschiedene Programme installiert:
- Ein Botnetz-Modul, um Angriffe auf fremde Systeme im Internet durchzuführen, so genannte verteilte Dental of Service Angriffe.
- Ein Crypto-Miner, um Kryptowährungen wie zum Beispiel Bitcoin zu schürfen.
- Ein Filesharing-Modul um über das sogenannte Bittorrent Protokoll urheberrechtlich geschützte Filme zu verteilen
Diese Module sorgten nicht für die Performance-Probleme des NAS sondern auch für die spürbar höhere Auslastung Eurer Internetanbindung.
Doch wie konnte der Hacker auf eurer NAS zugreifen, das doch nur im lokalen Netzwerk erreichbar war? Tatsächlich hatte er zuvor Zugriff auf den Server des Kameraherstellers erlangt. Dort manipulierte er die Firmware der Kamera so, dass beim nächsten automatischen Update eine bösartige Version auf alle Kameras weltweit aufgespielt wurde. Diese modifizierte Firmware ließ die Kamera normal weiterarbeiten, ermöglichte dem Angreifer aber Zugriff auf zehntausende Heimnetzwerke. Mit einer speziellen Software scannte der Angreifer danach automatisiert nach unsicheren Geräten in den Heimnetzen – und fand dabei unter anderem eurer NAS mit dem schwachen Passwort.
Mit dem Neuaufsetzen der NAS und der Vergabe eines sicheren Passworts konnte die Programm des Hackers dort entfernt werden. Doch der Hacker schlummert noch immer auf eurer Kamera und kann jederzeit wieder in eurem Heimnetz zuschlagen.
Gruselig, oder?
Wie wahrscheinlich ist das?
Der geschilderte Angriff setzt mehrere Faktoren voraus:
- Der Hersteller der Kamera muss Sicherheitslücken in seiner Server-Infrastruktur haben so dass der Hacker dort ein manipuliertes Update platzieren kann.
- Das Update-System muss eine schwache oder keine digitale Signaturprüfung besitzen, so dass die smarten Geräte nicht in der Lage sind zu unterscheiden ob das Update manipuliert wurde.
- Euer Heimnetz muss ein schwach geschütztes Gerät enthalten auf dem ein Angreifer seine Software installieren kann.
Leider sind schlecht abgesicherte Hersteller-Server keine Ausnahme, besonders aber nicht nur bei günstigen Produkten. Auch fehlerhafte Update-Mechanismen sind keine nicht selten, nicht nur bei Consumer-Produkten sondern auch im professionellen Bereich für die Industrie.
Und unzureichend geschützte Heimnetz Geräte? Da müsst einfach euch selber mal an die Nase fassen. Habt ihr bei all euren IoT Geräten einen Passwortschutz aktiv oder einen anderen Authentifikationsmechanismus aktiviert?
Was ist eher unwahrscheinlich?
Aber es gibt auch gute Nachrichten. Hacker, die diese Art von Angriffen ausführen, sind vor allem daran interessiert, möglichst schnell viel Geld zu machen. Deshalb sind ihre Angriffe stark automatisiert und nicht auf einzelne Individuen, wie Dich zum Beispiel, zugeschnitten. Es ist daher eher unwahrscheinlich, dass der Hacker zum Beispiel die Kamera Daten selbst ausnutzt, auf die er durch den Hack der smarten Kamera natürlich auch Zugriff hätte. Aber um diese Informationen zu Geld zu machen, müsste er zum Beispiel entweder das Material aufwändig sichten, um zu prüfen, inwiefern zum Beispiel eine Erpressung möglich wäre oder die Information deiner Abwesenheitszeiten nutzen, um zum Beispiel einen Einbruch durchzuführen oder durchführen zu lassen. All das ist aufwendig und riskant.
Es ist vielleicht auch fraglich, ob ein Angreifer sowohl Crypto-Mining als auch File-Sharing und auch noch Botnetz auf einmal bei Euch installiert. Aber ich wollte einfach verschiedene Möglichkeiten skizzieren.
Wie könnt ihr euch gegen die geschilderten Angriffsvektoren schützen?
Tipp 1: Seid wählerisch bei euren Smart-Home-Käufen: No-Name-Produkte sind oft unsicherer als Geräte renommierter Hersteller. Ein günstiger Preis kann, muss aber kein Warnzeichen hierfür sein. Nehmt euch auf jeden Fall ausreichend Zeit, um Kaufentscheidung für solche Produkte möglichst fundiert zu treffen.
Tipp 2: Deaktiviert die automatischen Updates! - Nein ich mache natürlich nur Spaß. Bitte nehmt das Beispiel hier nicht zum Anlass, eure automatischen Updates zu deaktivieren, denn in den meisten fällen habt ihr einen größeren Nutzen als ein Risiko durch solche Funktionen. Legitime Softwareupdates sind ja gerade dazu, da, Fehler und Sicherheitslücken zu beheben und zu schließen. Auch wenn dieser Mechanismus missbraucht werden kann, ist die Wahrscheinlichkeit, sich einem Risiko auszusetzen, in denen man automatische Updates deaktiviert oder Updates zukünftig nicht mehr einspielt, um ein Vielfaches höher. Womöglich könnt ihr die automatischen Updates aber auf sicherheitsrelevante Patches beschränken.
Tipp 3: Sichert eure Geräte im Heimnetz ab: verwendet sichere und einzigartige Passworte für jedes Gerät und nutzt einen Passwortmanager, um diese Passworte zu verwalten.
Und Bonus Tipp Nr. 4: Trennt unsichere Geräte vom Heimnetz: wenn ihr trotzdem mal ein Gerät habt, bei dem ihr euch unsicher über die Qualität und die Vertrauenswürdigkeit der darauf installierten Software seit. Lasst solche Geräte nicht in euer Heimnetz, sondern nutzt ein separates Netz wie zum Beispiel das Gastnetz von FRITZ!Boxen. So bleibt euer Heimnetz vor möglichen Angriffen geschützt die solche Geräte als Zwischenstation nutzen verschont.
Und was ist mit dem Anwalt?
Eine Frage ist jetzt aber noch offen: Was machen wir mit dem Abmahnschreiben der Anwaltskanzlei? Ich bin kein Rechtsanwalt, daher hier nur ein paar allgemeine Verhaltensratschläge: egal was der Auslöser für solch ein Schreiben ist ob Hacker Angriff oder vielleicht ein tatsächlicher Rechtsverstoß in der Familie - behaltet erst einmal Ruhe und handelt nicht vorschnell. Eine dem Schreiben möglicherweise beigefügte Unterlassungserklärung solltet ihr auf jeden Fall nicht ohne gründliche Prüfung unterschreiben und auch keine Geldbeträge zahlen, ohne euch rechtlich Beistand geholt zu haben. Hier sind vor allem Anwälte mit Spezialisierung auf Urheberrecht und Internetrecht sehr hilfreich. Und auch wenn ihr keine Rechtsschutzversicherung besitzt, solltet ihr hier in den sauren Apfel beißen und die Kosten für den Anwalt einkalkulieren, denn sonst kann es schnell passieren, dass euch eurer smarte Kamera deutlich teurer zu stehen kommt.
So geht es weiter
Habt ihr Lust auf weitere Tipps zur Smart-Home-Sicherheit? Dann schaut euch dieses Video an mit fünf weiteren Tipps! Ich hoffe wie immer, ihr konntet etwas lernen und freue mich, wenn wir uns beim nächsten Mal wiedersehen.
Danke fürs Zuschauen, danke fürs Zuhören und bis zum nächsten Mal! Euer Joachim.