Internet der Dinge: Wenn Kühlschrank und Toaster spammen

Auf der Consumer Electronic Show 2014 (CES) und im Web wird es auch kolportiert: Demnächst bekommen wir das Internet der Dinge, wo Geräte mit dem Internet verbunden sind, und Daten senden können. Kann durchaus ungeahnte Folgen haben.

Internet of Things (IoT) als nächster Hype?

Letzte Woche hatte ich in diesem Beitrag die Übernahme des Startups Nest (bauen Geräte wie Thermostate für die Heimautomatisierung) durch Google mit ein paar kritischen Worten bedacht. Trotzdem wird das "Internet der Dinge" zwischenzeitlich fast in jedem zweiten Beitrag als die Zukunft gehandelt – diese Jubel-Arie auf Android-Zündkerzen der Huffpost liegt also genau im Trend.

Unsicher bis zum Abwinken – das Desaster ist vorprogrammiert

Es gibt aber auch ein paar Leute, die offenbar noch ihren Verstand gebrauchen. Die Site Wired.com hat vorige Woche den Artikel The Internet of Things Is Wildly Insecure — And Often Unpatchable veröffentlicht und weist auf das Kernproblem hin: Das ist alles höchst chaotisch und unsicher und auch nicht patchbar. Und arstechnica titelte vor ein paar Tagen Smart TVs, smart fridges, smart washing machines? Disaster waiting to happen. Also: Neben dem Datenschutz- bzw. ungewollten Datensammelaspekt kommen noch gravierende Sicherheitsbedenken hinzu.

Die Nagelprobe …

Das Thema Sicherheit ist nicht von der Hand zu weisen, sind die Komponenten für die Heimautomatisierung fahrlässig bis zum Abwinken in keinster Weise abgesichert. Bei heise.de konnte man im April vergangenen Jahres von einem hochkritischen Sicherheits-Leck bei Vaillant Heizungsanlagen des Typs ecoPower 1.0 lesen. Der Hersteller empfiehlt seinen Kunden, den Stecker zu ziehen, um die Verbindung zum Internet zu kappen. Die Steuerung rückt Kennwörter für den Experten- und Entwicklerzugang im Klartext aus. Jeder kann damit die Heizung per Internet manipulieren und Schäden verursachen.

Und Forbes kam Ende Juli 2013 mit dem Artikel When 'Smart Homes' Get Hacked: I Haunted A Complete Stranger's House Via The Internet an die Öffentlichkeit (hier der deutsche Bericht bei heise). Reporter hatten einfach mal die Zugänge zu sogenannten Smart Homes in den USA gescannt und erhielten so freien Zugang zu Heimautomatisierungssystemen. Da war nicht mal ein Passwort für den Zugang per Internet erforderlich. Googeln nach bestimmten Begriffen im Bereich "smart homes" reichte aus, um entsprechende Geräte zu finden (diese waren von Google durchsuchbar).  Und in diesem Artikel wurden letzten Sommer ähnliche Ansätze für die Black Hat-Sicherheitskonferenz angekündigt.

… ist noch zu toppen: Router, Smart-TV, Kühlschränke & Co. als Spam-Bots

Den Vogel schießt aber der aktuelle Spiegel Online-Artikel Internet der Dinge: Kühlschrank verschickte Spam-Mails ab (ähnlicher Artikel bei heise.de). Hintergrund: Sicherheitsexperten von proofpoint.com haben eine groß angelegte Cyberattacke aufgedeckt und dokumentiert. Dieser Pressemitteilung zufolge haben Kriminelle damit begonnen, Geräte im Internet der Dinge zu kapern, um diese in ein Bot-Net zu integrieren. Im Zweitraum zwischen dem 23. 12. 2013 und dem 6. 1. 2014 wurden mehr als 100.000 Smart-Devices wie Router in Heimnetzwerken, Smart-TVs, internetfähige Multimedia Player und auch ein intelligenter Kühlschrank in ein Botnetz übernommen. Über die Geräte dieses Bot-Netzwerks wurden mehr als 750.000 Spam-Mails versandt.

Möglich ist dies, weil die betreffenden Geräte überhaupt nicht gesichert sind. Und die Benutzer können gar nichts dagegen tun bzw. bemerken das noch nicht einmal. Wer überprüft seine Router schon auf einen Befall durch ein Botnetz? Virenscanner und Firewalls sind für diese Geräte Fremdwörtern. Das Internet der Dinge ist also quasi eine Goldgrube für Cyberkriminelle – und die Möglichkeiten, die sich angesichts der Zukunftspläne der IT-Industrie für das Internet of Things, ergeben, schier grenzenlos.

Warum fällt mir bloß der Spruch vom Zauberlehrling ein, der die Geister, die er rief, nicht mehr los wurde. Viel Spaß im Internet of Things – ich gehe jetzt mal den Stecker ziehen