Sicherheit für das IoT – jetzt!

Nach den doch eher technischen Artikeln in den letzten Tagen, zur Abwechslung mal wieder ein kürzerer, dafür umso ernsterer Artikel. Inspiriert durch zwei Beiträge von heise security: einen aktuellen über ein neues IoT-Botnetz und einen älteren, der sich ebenfalls auf ein IoT-Botnetz bezog. Der Punkt ist ganz einfach: das neue Internet der Dinge – zu dem auch und in diesem Zusammenhang vor allem – das Smarthome gehört, ist schlicht und einfach zu unsicher.

Ein paar aktuelle Beispiele, inklusive Theorien, wohin diese führen könnten.

Eine aktuelle Sendung des WDR macht „smarte Helfer im Haushalt“ zum Thema. Nicht ohne das Thema Datenschutz zu erwähnen. Da wird dann gezeigt, wie ein Staubsaugroboter nach und nach den Grundriss der eigenen Wohnung erstellt. Gleichzeitig geben viele Hersteller zu, dass diese (und andere) Daten in der Cloud gespeichert werden (nein, sie werden natürlich nicht verwendet, nein, nein). So, jetzt mischt man das Ganze mit Erkenntnissen aus 2013, nämlich, dass Handy-Bewegungsdaten eine Person genauer identifizieren können als ein Fingerabdruck, würze das Ganze mit etwas Dark-Net und – voilá – bekommt der Bösewicht ein beliebiges Profil einer beliebigen Person quasi frei Haus geliefert. Unwahrscheinlich? Vielleicht. Unrealistisch? Auf keinen Fall.

Nächstes Beispiel: die in hunderttausenden Haushalten für den Internetzugang zuständige FritzBox von AVM. Wobei man AVM selbst an dieser Stelle ein Lob aussprechen muss: die Berliner reagieren im Normalfall zügig auf bekanntgewordene Sicherheitslücken und liefern ein Update. Und genau da liegt das Problem. Auf der AVM-Seite heißt es: „Wir empfehlen jedes Update auch aus Sicherheitsgründen.“ Richtig so. Die aktuelle OS-Version für die 6490 Cable beispielsweise ist 6.85 (Stand 23.10.2017). Die OS-Version meiner Kabel-Fritzbox liegt weit darunter. Zum Glück habe ich selbige in eine Router-Kaskade eingebunden, denn leider habe ich das Update nicht selbst in der Hand. Das sollte eigentlich von meinem Kabel-Provider, Unitymedia kommen. Tut es aber nicht, stattdessen hängt Unitymedia mindestens 7 Versionen zurück. In beinahe jeder Version wird in den Release-Notes eine verbesserte Sicherheit angegeben sprich: Eine Lücke wurde gestopft.
Für die Nicht-Techniker mal etwas deutlicher ausgedrückt: Die Lücken sind den Hackern bekannt. Millionen von Deutschen haben einen Router von Unitymedia – mit offensichtlich nicht geschlossenen Sicherheitslücken. Wer wundert sich da über das oben genannte Botnetz?

Von Smarthome-Geräten mit eingebauten (aber undokumentierten) Webservern oder Verbindungen zu IPs in China will ich dabei gar nicht erst reden.  Der Punkt ist: die Geräte werden an Endkunden verkauft, die im Normalfall nicht mal eben so ein Netzwerk absichern können, oder selbst mit dem Abklemmen einer Internetverbindung für ein spezifisches Gerät überfordert sind. Da stimme ich dem Kollegen von heise zu: da sollte, nein, da muss eine Regelung her. Und wenn es nur die klassische „zugesicherte Eigenschaft“ ist. Sobald der Käufer das Recht bekommt, etwas ersetzt zu bekommen, wenn es nicht sicher ist, werden die Hersteller reagieren. Vorher, so viel Realismus muß sein, leider nicht.

Immerhin gibt es bis dahin Möglichkeiten, sein Heimnetzwerk auch anders abzusichern: die Fritzboxen liefern einige Tools gleicht mit, wer zu einer anderen Lösung greifen will, sollte sich vielleicht mal die Fingbox näher ansehen. Zu dieser gebe ich nur einen Tipp: Abwarten, denn zu dieser erscheint demnächst hier ein umfangreicher Testbericht.

Patrick Boch

Patrick beschäftigt sich beruflich schon länger mit Sicherheit - allerdings für eine andere Zielgruppe. Privat sorgt er lieber für ein smartes - und sicheres - Zuhause.

Das könnte Dich auch interessieren...

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen