Startseite/Smart Home, Startseite Smart-Home/Risiken im Smart Home am Beispiel einer Kaffeemaschine

Mein Cybersicherheitskollege Martin Hron und sein Team haben eine Kaffeemaschine in jeder erdenklichen Weise gehackt, unter anderem haben sie das Gerät in ein Ransomware-Tool und ein Gateway für ein Heimnetzwerk verwandelt.

EXPERTENBEITRAG

Cybersicherheit bei IoT-Geräten

Risiken im Smart Home am Beispiel einer Kaffeemaschine

01.07.2021 | Autor: Oliver Kunzmann

Mein Cybersicherheitskollege Martin Hron und sein Team haben eine Kaffeemaschine in jeder erdenklichen Weise gehackt, unter anderem haben sie das Gerät in ein Ransomware-Tool und ein Gateway für ein Heimnetzwerk verwandelt.

© GettyImages

Stellen Sie sich den schlimmsten Alptraum im Internet der Dinge vor: Ihre smarten Geräte werden gehackt und plötzlich produziert Ihre zuverlässige „intelligente“ Kaffeemaschine keinen morgendlichen Koffeinkick mehr.
Um herauszufinden, ob dieses Schreckensszenario Wirklichkeit werden könnte, haben wir die Schwachstellen intelligenter Geräte erforscht und eine Kaffeemaschine gehackt. Was ist das Schlimmste, was passieren kann? Wir waren tatsächlich in der Lage, die Kaffeemaschine in eine “Ransomware-Maschine” umzuwandeln. In einem weiteren Angriff konnten wir die Kaffeemaschine als Gateway nutzen und alle angeschlossenen Geräte im Heimnetzwerk ausspionieren. Wir hackten also nicht nur eine Kaffeemaschine, sondern demonstrierten auch das mögliche Hacking des gesamten Umfelds, also aller mit dem Internet verbunden Geräte in einem Haushalt.

Einfallstor W-LAN Router

Dabei haben wir ein häufiges Problem ausgenutzt: Wie viele intelligente Geräte wurde die Kaffeemaschine mit Standardeinstellungen und einer WLAN-Verbindung geliefert, so dass sie sofort nach dem Auspacken funktionierte. Für die Verbindung zur Kaffeemaschine über WLAN war kein Passwort erforderlich, so dass es sehr einfach war, dem ungeschütztem Gerät bösartigen Code einzupflanzen.

© GettyImages

Aktuelle Forschungen von Avast und der Stanford University zeigen, dass 66 Prozent der nordamerikanischen Haushalte über mindestens ein IoT-Gerät verfügen – weltweit sind es 40 Prozent der Haushalte. Eine relativ kleine Gruppe von Geräteherstellern – 90 Prozent der Geräte werden von nur 100 Anbietern hergestellt – deutet auf ähnliche Schwachstellen hin, die bei großen Angriffen ausgenutzt werden könnten.
Die von uns gehackte Kaffeemaschine ist wahrscheinlich ähnlich mit der, die Sie daheim oder im Büro nutzen. Sie macht leckeren Kaffee, wenn Sie ein paar Tasten an der Maschine drücken oder wenn Sie sie mit einer App auf Ihrem Handy oder Tablet bedienen.

Viele IoT-Geräte verbinden sich zunächst über ein eigenes WLAN-Netzwerk mit dem Heimnetzwerk, das nur zum Einrichten der Maschine verwendet werden soll. Im Idealfall schützen Sie dieses W-LAN-Netzwerk sofort mit einem Passwort. Aber viele Geräte werden ohne Passwort verkauft, um das WLAN-Netzwerk zu schützen, und viele Verbraucher richten aus Bequemlichkeit keinen Passwort-Schutz ein. Dies ist eine große Schwachstelle, denn das WLAN-Netzwerk ist dann öffentlich, da es für jeden sichtbar ist. So können Hacker es nutzen, um Ihre Smart Devices zu gefährden, z.B. durch das Hochladen von bösartiger Software. Sobald dieses Gerät kompromittiert ist, können später auch andere Geräte im Haus gehackt werden. Tatsächlich kann über ein einziges Smart Device auf das gesamte Netzwerk zugegriffen werden. Hacker können damit dann auch auf die mit dem Netzwerk verbundenen Computer und mobilen Geräte, die E-Mails, die über das WLAN gesendet werden, die Zahlungsinformationen beim Online-Shopping, das Home Security System, den Baby Monitor, TV, Jalousie, intelligente Glühbirnen – einfach jedes internetfähige Gerät im Haus.
Wir haben die Kaffeemaschine über WLAN infiltriert und dann bösartige Software-Updates eingerichtet, die die Kaffeemaschine zu unerwarteten und potenziell gefährlichen Aktionen veranlassten. Wir haben die Brühgruppe überhitzen lassen, was zu einem Brand führen kann. Wir haben die Kaffeemaschine sogar dazu gebracht, Ransomware-Nachrichten zu versenden, um eine Zahlung zu fordern.

Sicherheitstipps für IoT-Geräte

Wir raten deshalb dringend dazu, IoT-Geräte bei der Installation cyber-sicher zu machen. Statt das zugegebenermaßen auf dem ersten Blick anwenderfreundliche “plug&play”-Verfahren anzuwenden, also mit dem W-LAN verbinden und nutzen, plädieren wir dazu, sich durch folgende Sicherheitstipps zu schützen:

© GettyImages
  • Sichern Sie das drahtlose Netzwerk – Die IoT-Netzwerksicherheit beginnt und endet mit dem Router. Es wird mit einem Standardpasswort geliefert, das sofort durch ein komplexes Kennwort ersetzt werden muss.
  • Ändern Sie sämtliche Standardkennwörter – Dies gilt für jedes Gerät, das mit einem Standardkennwort ausgestattet ist, nicht nur für den Router.
  • Lernen Sie Ihre IoT-Geräte kennen – Es mag verlockend sein, sie aus der Box zu holen und einfach einzuschalten, aber es ist zwingend erforderlich, die Funktionen jedes IoT-Geräts zu kennen und die Rechte gegebenenfalls einzuschränken
  • Aktualisieren Sie IoT-Geräte so schnell wie möglich – Es kann nicht oft genug betont werden: halten Sie die Firmware der IoT-Geräte mit den neuesten Versionen und Patches auf dem aktuellen Stand.
  • Setzen Sie Schutzsoftware ein – Es gibt bereits zuverlässige Schutzprogramme im Smart-Home-Bereich, die Sie auf jeden Fall einsetzen sollten.
  • Nur bei Bedarf anschließen – Halten Sie Ihre IoT-Geräte überschaubar, nicht jede Glühbirne muss „smart“ sein, oft tun es auch weiterhin die analogen Klassiker.