IoT-Geräte zu Weihnachten: Spiel, Spaß, Spionage!

An Weihnachten wird so manches IoT-Gerät (Internet of Things) als Geschenk an den Nutzer gebracht. Sicherheitsanbieter Avast hat für alle, die ein Internet of Things (IoT)-Gerät verschenken wollen oder eines unterm Weihnachtsbaum auspacken dürfen, grundlegende Sicherheitstipps für den Kauf und die anschließende Sicherung zusammengetragen.

IoT-Geräte sind sehr komfortabel und unterhaltsam, allerdings wissen viele Nutzer nicht, dass diese sehr anfällig für Gefahren sein können. Ein Hacker benötigt nur ein verwundbares Gerät, um Zugriff auf das gesamte Heimnetzwerk zu erhalten. Es ist daher beim Kauf von IoT-Geräten zu Weihnachten ratsam, eine gründliche Recherche durchzuführen, um zu vermeiden, dass die Beschenkten dem Risiko von Datendiebstahl, finanziellem Verlust und einer Gefährdung der Privatsphäre ausgesetzt werden. Avast Senior Security Researcher, Martin Hron, hat folgende Empfehlungen:

Preisvergleich: Überprüfen Sie den Preis des Gerätes mit anderen vergleichbaren Produkten. Wenn es in der gleichen Größenordnung liegt, ist das ein gutes Zeichen. Wenn der Preis drastisch niedriger ist als bei der Konkurrenz, müssen Sie sich fragen, warum das so ist und weiter recherchieren, um mehr über die Qualität Ihres Wunschprodukts zu erfahren.

Sehen Sie sich die Marke an: Wenn es sich nicht um eine bekannte Marke handelt, schauen Sie nach, welche Anbieter das Gerät verkaufen. Überprüfen Sie im nächsten Schritt auf der Website des Herstellers, wie viele Informationen über das Gerät verfügbar sind. Dabei ist es wichtig, nach Details zu suchen, einschließlich technischer Spezifikationen, Zeitplänen für zukünftige Software/Firmware-Updates, dem Zeitpunkt des letzten Software/Firmware-Updates und der Geräteunterstützung durch den Hersteller.

Sorgfältige Überprüfung des Website-Designs: Verwendet das betreffende Unternehmen HTTP oder HTTPS in seiner URL? Sicherheitsbewusste Unternehmen werden definitiv HTTPS verwenden, das Internet-Protokoll, das die Verbindung zwischen dem Endbenutzer und der Website verschlüsselt. Obwohl dies mit der Sicherheit der Produkt-Website und nicht mit dem Produkt selbst zusammenhängt, kann es ein guter Indikator dafür sein, wie viel dem Unternehmen Sicherheit wert ist. Wenn das betreffende Produkt über Verwaltungsseiten oder ein Portal im Internet verfügt und die Anmeldeseite HTTP verwendet, sollte ein anderes Produkt mit einer Anmeldeseite über HTTPS in Betracht gezogen werden.

Überprüfung der Funktionen: Welche Informationen und Daten sammelt das Gerät? Verwendet es ein Mikrofon oder eine Kamera? Wägen Sie das Risiko und den Nutzen ab und überlegen Sie sich, welche Ihrer Informationen personenbezogene Daten sind und was passiert, wenn diese in die falschen Hände geraten. Noch wichtiger ist es, die Integrität der Datenerhebung selbst in Frage zu stellen. Ist es richtig, dass das Gerät Zugang zu diesen Informationen hat? Wenn die Antwort "nein" lautet, sollten Sie nochmals über den Kauf nachdenken.

Informieren Sie sich über die CVE-Details: CVE steht für Common Vulnerabilities and Exposures, und es gibt eine öffentlich zugängliche Website, die Anbieter und alle mit ihnen verbundenen bekannten Schwachstellen auflistet. Suchen Sie den Hersteller des zu berücksichtigenden Gerätes auf der CVE-Anbieterseite. Überprüfen Sie, ob es Berichte über Hochsicherheitsschwachstellen gibt, und suchen Sie nach bestimmten Versionen bestimmter Produkte. Vergleichen Sie als zusätzlichen Schritt das Datum, an dem die Schwachstelle auf der CVE-Anbieterseite gefunden wurde, mit dem Datum, an dem die Software/Firmware vom Anbieter oder Hersteller aktualisiert wurde. Dies kann ein guter Indikator dafür sein, wie schnell der Lieferant oder Hersteller bekannte Schwachstellen behebt.

Nachschlagen von Benutzerbewertungen: Wenn es welche gibt, lesen Sie Benutzerbewertungen über das Produkt. Überprüfen Sie die Bewertung und die Anzahl der Downloads, um einen Eindruck davon zu bekommen, ob andere das Produkt loben oder Probleme damit haben. Schauen Sie sich sowohl positive als auch negative Bewertungen an und prüfen Sie, ob es sich um echte Bewertungen mit genügend Details handelt, die auch Sinn ergeben, oder nur um Bewertungen mit einem Wort, die ihm 4 oder 5 Sterne geben und auch gefälscht sein könnten.

Betrachten Sie den Einrichtungsprozess: Untersuchen Sie den Einrichtungsprozess des Produkts und prüfen Sie, ob dieser Sicherheitsaspekte berücksichtigt. Es ist besonders wichtig zu prüfen, ob das Setup von Nutzern verlangt, das Standardpasswort in ein neues, komplexes Passwort umzuwandeln. Wenn der Einrichtungsprozess lediglich darin besteht, das Gerät einzuschalten, ohne die Sicherheit und den Schutz zu erwähnen, könnte es sich im Hinblick auf die Sicherheit um ein problematisches Gerät handeln.

Sicherung von neuen IoT-Geräten

Hält man ein neues IoT-Gerät in den Händen, rät Martin Hron zu folgenden drei Sicherheitsmaßnahmen:

1. Ändern Sie das Standardpasswort auf dem Gerät in ein unknackbares Kennwort. Viele Geräte verfügen über standardmäßige Anmeldeinformationen, von denen die meisten online gefunden werden können, da sie normalerweise im Benutzerhandbuch des Gerätes enthalten sind. Starke Passwörter sollten aus mindestens 10 Zeichen, idealerweise 16 oder mehr, bestehen und einprägsam sein, um sie nicht aufschreiben zu müssen. Das Erstellen von Sätzen als Passwörter kann dabei helfen.
2. Verfahren Sie wie oben beschrieben mit dem Router, mit dem das Gerät verbunden wird. Das Hinzufügen eines neuen Gerätes bietet eine gute Möglichkeit, gleichzeitig das Passwort des Routers zu ändern. Wenn das Gerät eine Zwei-Faktor-Authentifizierung unterstützt, sollten Sie auch diese aktivieren. 
3. Achten Sie auf Updates der Software oder Firmware des Gerätes und installieren Sie diese, sobald sie verfügbar sind. Dadurch erreichen Sie die optimale Performance und Sicherheit des IoT-Gerätes.

Ein IoT-Gerät sollte immer so eingerichtet werden, dass es den maximalen Sicherheitsstatus erfüllt, denn nur so bereitet der Umgang mit smarten Geräten auch auf lange Sicht Freude.