Sicherheitsanbieter Avast hat im Umfeld der IFA 2018 auf einen erschreckenden Sachverhalt hingewiesen. Mindestens 15,5 Prozent deutscher Smart Homes enthalten mindestens ein Gerät mit einer Sicherheitslücke.
Anzeige
Intelligente Geräte im Haushalt werden immer häufiger eingesetzt. Letztens erhielt der Nachbar eine neue Gas-Therme und erzählte, dass der Handwerker per Internet auf den Gerätestatus zugreifen könne. Aber auch intelligente Leuchten, Alarmanlagen, Smart TVs, Türschlösser etc. werden im Smart Home verwendet. Und alle diese Geräte sind in das heimische (WLAN-) Netzwerk integriert. Aber schon ein einzelnes verwundbares Gerät ist ein Einfallstor für Cyberangriffe und stellt ein Risiko für das gesamte Heimnetzwerk dar.
Sicherheitsüberblick SmartHome
AVST, Hersteller von digitalen Sicherheitsprodukten, hat die Ergebnisse einer Forschungsstudie veröffentlicht. Daraus geht hervor, dass 35,5 Prozent der Smart-Home-Netzwerke weltweit ein oder mehrere Geräte enthalten, die anfällig für Cyberattacken sind und damit das gesamte Heimnetzwerk in Gefahr bringen. Hauptursache dafür sind nicht behobene Schwachstellen in der veralteten Firmware. Hier die Länder-bezogenen Zahlen für Smart Homes mit mindestens einem verletzlichen Gerät:
- Deutschland: 15,5 Prozent
- USA: 18,8 Prozent
- Großbritannien: 14,9 Prozent
Für die Studie hat Avast mehr als 147 Millionen Smart-Home-Netzwerk-Scans auf Sicherheitsrisiken überprüft. Im Rahmen der Untersuchung fand Avast heraus, dass weltweit 17,3 Prozent der Smart-Home-Geräte Schwachstellen haben, einschließlich Drucker, Sicherheitskameras, Baby-Monitore, TV Medienboxen, Smart-TVs, Spielekonsolen und Haushaltsgeräte.
Mit 6,4 Prozent in Deutschland, 6,9 Prozent in Großbritannien und 7,1 Prozent in den USA liegen diese Länder zwar unter dem weltweiten Durschnitt in Bezug auf anfällige Geräte, aber dennoch bestehen gravierende Schwachstellen in der Sicherheit der digitalen Haushalte.
Software-Aktualisierung und Zugangsdaten
Von den gefährdeten Geräten sind weltweit ca. sieben von 10 (68,7 Prozent) angreifbar, weil die Software nicht aktualisiert wurde und 31,3 Prozent aufgrund von schwachen Zugangsdaten. Diese Zahlen sind länderübergreifend sehr ähnlich, wobei Großbritannien mit 85,4 Prozent verletzlicher Geräte mit ungepatchten Schwachstellen, Deutschland mit 79,8 Prozent und die USA mit 70,3 Prozent über dem weltweiten Durchschnitt liegen.
Abgesehen von Computern oder Smartphones gehören Router zu den Geräten mit den meisten Schwachstellen – 41,8 Prozent aller Router sind in Großbritannien gefährdet, 31,7 Prozent in den USA und 4,3 Prozent in Deutschland. Avast fand heraus, dass in sämtlichen Ländern zu den am meisten betroffenen intelligenten Geräten in privaten Haushalten Drucker, Sicherheitskameras, Babyphones mit Videofunktion und Systeme zur Steuerung der Beleuchtung gehören.
Ganz oben auf der Liste stehen Network Attached Storages (NAS), Speichermedien die mit dem Netzwerk verbunden sind und es den Nutzern ermöglicht, auf die auf dem NAS abgelegten Daten zuzugreifen, zu speichern und einfach Backups zu erstellen. Gleiches gilt für Netzwerkknoten, die WLAN-fähige Geräte mit einem verdrahteten Netzwerk verbinden.
| Nr. | Deutschland | USA | UK |
| 1 | NAS (28,2%) | DVR (72,6%) | NAS (40,5%) |
| 2 | Sicherheitskameras(15,5%) | NAS (44,6%) | Netzwerkknoten (26,1%) |
| 3 | Netzwerkknoten (8,4%) | Sicherheitskameras (10,0%) | Sicherheitskameras (19,5%) |
| 4 | Drucker (5,7%) | Netzwerkknoten (6,3%) | Drucker (4,7%) |
| 5 | Medienboxen (0,3%) | Drucker (5,6%) | Medienboxen (0,5%) |
| 6 | Beleuchtung (0,3%) | TVs (0,5%) | TVs (0,2%) |
| 7 | TVs (0,2%) | Beleuchtung (0,4%) | Beleuchtung (0,2%) |
| 8 | Fernbedienungen (0,1%) | Medienboxen (0,1%) | |
| 9 | IP Telefone (0,1%) |
Ich finde es erschreckend, wie hoch der Anteil an angreifbaren NAS-Geräten in obiger Tabelle ist. „Ein intelligenter Haushalt ist nur so sicher wie sein schwächstes Glied in der Kette – und jedes Gerät, das mit dem Netzwerk verbunden ist, kann ein Einfallstor für Hacker werden, wenn es nicht angemessen geschützt ist", sagt Ondrej Vlcek, EVP & CTO von Avast. „Das Problem ist, dass Verbraucher Schwachstellen im Internet der Dinge noch nicht als kritisch ansehen. Cyberkriminelle sind sich dessen bewusst, lachen sich ins Fäustchen und nutzen das fehlende Sicherheitsbewusstsein für ihre Zwecke aus."
Anzeige
Avast-Telemetrie
Für ihre Studie haben die Sicherheitsexperten von Avast die anonymisierten Daten von Avasts WLAN-Inspektor unter die Lupe genommen, der in allen Antivirenlösungen von Avast enthalten ist. Dieser sucht das Netzwerk der intelligenten Haushalte nach verwundbaren Geräten ab und informiert den Anwender, falls Unregelmäßigkeiten auftreten. Gleichzeitig zeigt die Lösung, wie sich diese beheben lassen.
Hier bin ich aber zurückhaltend, ob der gemeine Nutzer mit solchen Warnungen etwas anfangen kann. Ich sehe es an meinem Blog, wo Sicherheitstools mitlaufen. Da kommen schon mal bei einem Malware-Scan einige Alarme – es werden Bedrohungen oder modifizierte Dateien gemeldet. Schaue ich mir die Details ist, setzen die Lösungen Readme.txt-Dateien wegen [nicht gemeldeter] Änderungen auf den Index. Oder es werden Cache-Kopien von Blog-Beiträgen bemängelt, weil dort Textverweise (Links verwende ich schon lange nicht mehr) auf gefährliche Seiten zu finden sind. Ohne das Wissen, so was zu beurteilen, ist man da aufgeschmissen.
Die Daten beziehen sich auf den Zeitraum von 30. Juni bis 29. Juli 2018 und 147 Millionen Scans von Smart Homes weltweit, inklusive 4,4 Millionen in Deutschland, 9,4 Millionen in den USA und 2,8 Millionen in Großbritannien.
Avast hat eine Lösung
Im Pressetext, der mir von Avast zuging, war natürlich eine Lösung des Herstellers gegen solche Bedrohungen skizziert – und das ist auch in Ordnung. Ondrej Vlcek erklärt in der Pressemitteilung: „Die auf künstlicher Intelligenz basierende IoT-Sicherheitsplattform von Avast, Smart Life, ermöglicht es Anwendern, ihr Smart Home einfach auf Netzwerkebene vom Router aus zu schützen. Smart Life wird Einblick in außergewöhnliche Abläufe im Netzwerkverkehr geben und den Anwender etwa informieren, wenn der Kühlschrank plötzlich massenhaft grundlos E-Mails verschickt. Avast arbeitet im Moment an den ersten Implementierungen mit Telekommunikationsanbietern und wird basierend auf Smart Life eine Lösung für Privatanwender auf den Markt bringen."
Generell stehe ich dem Thema Smart Home sehr reserviert gegenüber. Neben dem Sicherheitsaspekt fehlt mir oft der Nutzen. Häufig sind es Spielprojekte, die man 'haben muss'. Da ich auch über eine solide Ausbildung im Handwerk verfüge, kommt der Wartungsaspekt hinzu. Das Zeugs muss gekauft, eingebaut, in Betrieb genommen und dann gewartet werden. Wenn ich sehe, wo ich an meinem fast 20 Jahre alten Haus überall Reparaturen vornehmen (lassen) muss, dann dürfte der Smart Home-Ausflug im Desaster enden. Ich kenne noch die Zeiten, als Waschmaschinen oder Elektroherde noch reparierbar werden. Das hat sich arg geändert – eine moderne Spülmaschine kannst Du kaum noch selbst reparieren, wenn was an der Steuerung ist. Beim Auto ist es ähnlich – und wenn ich an die Themen Absicherung und Software-Updates bei Smart Home-Geräte denke, ist das Kind längst in den Brunnen gefallen. Keine Updates, Backdoors, feste Admin-Kennwörter und so weiter. Ein Schlaraffenland für Cyberkriminelle – aber ich bin da wieder zu viel 'old school'.
2015
Also die Software der Smart-Home Geräte ist, bei den von mir verwendeten, besser geworden. Default Zugänge werden teils automatisch beim Installieren deaktiviert, Updates kommen auch für Geräte aus China. Es muss halt, korrekterweise, der Prozess händisch angestoßen werden und ja, es kommt auch vor das danach was (absichtlich) nicht (mehr) so funktioniert wie vorher. Einige Geräte haben die Möglichkeit für Firmware Updates nur man bekommt keine (mehr).
Wie der Meister hier schon bemerkte, Updates gibt es bei vielen Geräten nur für wenige Jahre (wenn überhaupt) nur nicht für die realen Einsatzzeiten, auch im Privathaushalt, von 5 und mehr Jahren. Besonders lästig wenn man Geräte kauft die sich bewährt haben, all die Weil die oft am Ende ihrer Produktionszeit sind und somit nur noch ein oder zwei Jahre gepflegt werden.
5 Jahre ist noch viel zu kurz gegriffen. Das ist Infrastruktur, die wird einmal installiert und läuft dann hoffentlich die nächsten 20 Jahre (Heizung, Kühlschrank, Heizkörperthermostat, Türklingel, Garagentoröffner, Telefonanlage, …).
Dabei fehlt schon die einfache Möglichkeit, bei Open-Source-Geräten wie einem Raspi mit wenigen Mausclicks das Betriebssystem zu aktualisieren. Wheezy nach Jessie oder weiter braucht vermutlich so viel Aufwand wie eine Neuinstallation. Und wenn man die Kiste vor mehreren Jahren mühsam aufgesetzt hat, gewinnt "Never touch a running system". Bei Closed Source Geräten im IoT-Bereich ist es noch viel schlimmer.