Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Hackerkonferenz: Cyberattacke auf den Kühlschrank

Von Uli Ries, Las Vegas

Defcon 2014: Hackerkonferenz in Las Vegas Fotos
Uli Ries

Vernetzte Kühlschränke, Autos und Ampeln halten Einzug in unser Leben - und eröffnen Hackern eine riesige Spielwiese. Sicherheitsexperten finden massenhaft Schwachstellen und attestieren den Herstellern schlampige Arbeit.

Den Hackern auf der Sicherheitskonferenz Defcon ist es egal, ob Marketing-Menschen vom vernetzten Zuhause, dem Internet der Dinge oder dem Smart Home sprechen: Sie sehen in vernetzten Geräten - Autos, Kühlschranke, Fernseher, Raumthermostate - erst einmal ein neues riesiges Spielfeld - auf dem sie einen Heimvorteil haben. "Ich wüsste nicht, dass eines der vernetzten Geräte einem Hackversuch standgehalten hätte", sagt Jeff Moss (alias The Dark Tangent), Gründer der Hackerkonferenz Defcon und ehemaliger Berater der US-Heimatschutzbehörde.

Wobei sich die Hacker nicht die Hardware selbst vornehmen, sondern die für die Funktion unabdingbare, darauf installierte Software. Hier finden sich reichlich Schwachstellen, deren Missbrauch dann Unberechtigten die Kontrolle über das Gerät verschafft. Was einerseits nicht verwundert, da Software niemals fehlerfrei sein wird. Wie leicht es die Hersteller der vernetzten Produkte einem Angreifer aber machen, erstaunt dann doch.

Die Gruppe GTVHacker packte in eine gut 40-minütige Präsentation eine Sammlung von 22 für Privathaushalte konzipierte Geräte, die sie in den letzten Wochen gehackt haben - vom Thermostat bis zum Fernseher. Was alles dabei war, zeigt die Gruppe in ihrem Wiki.

Die dabei entdeckten Schwachstellen stammten meist aus der Mottenkiste der IT-Sicherheit und sollten geschulten Programmierern nicht mehr unterlaufen. Dazu Jeff Moss: "Längst erledigt geglaubte Klassen von Bugs erleben plötzlich eine Renaissance."

Erklärbar ist das nur damit, dass sich Unternehmen ans Entwickeln von Software und Funktionen zur Vernetzung machen, die damit keine Erfahrung haben. Fachleute wie Amir Etemadieh, Gründer der Gruppe GTVHacker und im Hauptberuf Sicherheitsforscher beim US-Beratungsunternehmen Accuvant, bescheinigen den frisch mit Netzwerkfunktionen aufgebohrten Geräten nur ein sehr niedriges Sicherheitsniveau. Heikel ist dies angesichts des schier unendlich großen Volumens an Gerätschaften, die jetzt mit dem Netz verbunden werden.

Wie aktualisiert man die Software eines Herzschrittmachers?

Was in der herkömmlichen Welt von PC, Tablets und Smartphones keine große Herausforderung ist, wird mit dem Internet der Dinge oft zum Problem: Wie lassen sich die entdeckten Schwachstellen beseitigen?

Während Softwarefirmen über funktionierende Mechanismen verlässlich Updates für ihre Systeme über das Internet verteilen können, ist dies bei den meisten der vernetzten Hardwareprodukte nicht so ohne Weiteres möglich. Wie beispielsweise soll die Software eines Herzschrittmachers aktualisiert werden, ohne das Leben des Patienten durch eine Operation zu gefährden? Und wie finden Updates ihren Weg auf die zehn intelligenten, per App abfragbaren und an der Decke angebrachten Rauchmelder im Haus?

Auch die lange Lebensdauer der Geräte macht Schwierigkeiten. Anders als Smartphones werden "viele dieser Geräte etliche Jahre in Betrieb sein und nur wenige ihrer Besitzer erfahren überhaupt davon, dass es Updates gibt", gibt Jeff Moss zu bedenken.

Er fordert von den Herstellern deshalb Mechanismen, über die sich die Geräte über das Internet selbst mit Updates versorgen können. Außerdem wären gesetzliche Vorgaben seiner Meinung nach nötig: "Es gibt Vorschriften, wie Steckdosen in Badezimmern vom Elektriker abgesichert werden müssen. Warum nicht eine Vorgabe für Updates von moderner Hauselektronik?", fragt Moss.

Fehler werden im laufenden Betrieb behoben - oder auch nicht

Die Industrie scheint beim Internet der Dinge so vorzugehen wie andere Unternehmen seinerzeit beim Thema Cloud: Zwar sind die Kinderkrankheiten noch nicht kuriert, aber man startet schon mal mit Produktion und Verkauf. Fehler werden dann im laufenden Betrieb behoben - oder eben auch nicht. Jeff Moss geht davon aus, dass erst in einigen Jahren sicherheitstechnisch ausgereifte Produkte auf den Markt kommen. Bis dahin müssen Kunden entweder mit lückenhaften, aus dem Internet angreifbaren Geräten in ihren Haushalten leben. Oder es finden sich Hersteller, die ähnlich den Lieferanten von Antiviren-Software Schutzlösungen verkaufen.

Tröstlich ist einzig, dass sich Terroristen bisher anscheinend nicht für die Millionen angreifbarer Geräte interessieren. Hacker-Experte Jeff Moss sieht lediglich die Internetkriminellen in den Startlöchern. Auf die Frage, ob er beispielsweise ein Botnet für wahrscheinlich hält, das von Raumthermostaten aus Spam-E-Mails verschickt, antwortet er lachend: "Es gibt keinen Grund, warum genau das nicht passieren sollte."

Wobei es auch Lichtblicke gibt im Internet der Dinge. So haben nach Auskunft der Hacker Charlie Miller und Chris Valasek einige Autohersteller vieles richtig gemacht beim Konzipieren der Netzwerke in ihren Modellen: Die Hersteller trennen die fürs Fahren kritischen Systeme von den oftmals angreifbaren und ebenfalls vernetzten Navigations- und Entertainment-Funktionen. Ein per Bluetooth bei voller Fahrt gehacktes Radio gibt dem Angreifer also keine Möglichkeit, Bremsen oder Lenkung zu manipulieren - eine halbwegs beruhigende Vorstellung trotz ansonsten düsterer Aussichten.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 28 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Internet is not a feature. It's a bug!
verhetzungsschutz 12.08.2014
Zitat von sysopUli Ries Vernetzte Kühlschränke, Autos und Ampeln halten Einzug in unser Leben - und eröffnen Hackern eine riesige Spielwiese. Sicherheitsexperten finden massenhaft Schwachstellen und attestieren den Herstellern schlampige Arbeit. http://www.spiegel.de/netzwelt/web/defcon-konferenz-in-las-vegas-hacker-lieben-internet-der-dinge-a-985733.html
Es ist eigentlich ganz einfach: jedes Gerät, das keinerlei Internet- bzw. Netzwerkanschluss hat, ist ziemlich sicher. Egal, wielange es in Betrieb ist. Jeder, der in seiner (Pseudo-)Argumentation einen Internet- oder Netzwerkanschluss voraussetzt, ist ein Scharlatan. Solcherlei Scharlartanerie, sei es aus Blödheit oder weil man dafür bezahlt wird, strafrechtlich zu verfolgen würde völlig ausreichen...
2. ich bin ein Idiot, ich muss vor mir geschützt werden!
whocaresbutyou 12.08.2014
Zitat von sysopUli Ries Vernetzte Kühlschränke, Autos und Ampeln halten Einzug in unser Leben - und eröffnen Hackern eine riesige Spielwiese. Sicherheitsexperten finden massenhaft Schwachstellen und attestieren den Herstellern schlampige Arbeit. http://www.spiegel.de/netzwelt/web/defcon-konferenz-in-las-vegas-hacker-lieben-internet-der-dinge-a-985733.html
Das würde im Umkehrschluss die Arbeit der Hacker erheblich erleichtern. Man müsste lediglich den Server hacken. Damit erspart man sich das aufwendige Lokalisieren und Infizieren der einzelnen Geräte hinter irgendwelchen Firewalls mit ständig wechselnden IP-Adressen. Die Geräte holen sich das virenverseuchte Update dann selbst ab und melden sich ab. Somit erwischt man alle Geräte auf einen Schlag. Weil die unsachgemäße Verlegung elektrischer Leitungen (nicht nur im Badezimmer) eine erheblich höhere, reale Gefährdung für Leib und Leben darstellt, als die hypothetische Gefährdung durch eine gehackte Kühltruhe. Idiotensicherheit können sie per nationaler Gesetzgebung nicht vorschreiben. Wenn sie sich eine Vier-Personen-Badewanne mit eigenem Facebook-Livestream zulegen, können sie nicht vom Gesetzgeber verlangen derartigen Schwachsinn gegen alle möglichen und unmöglichen Gefahren gesetzlich abzusichern. Es gibt schließlich auch kein Gesetz gegen das Nichtabschalten von Bügeleisen, das Rauchen im Bett oder das Löschen von brennendem Fett unter fließendem Wasser. Natürliche Auslese funktioniert...
3. Braucht kein Mensch
09er 12.08.2014
Erst wenn der letzte Kühlschrank gehackt wurde, werden wir feststellen, das das reale Leben ohne diesen ganzen unnützen Technoplunder einfach einfacher und genießenswerter ist.
4. für irgendwas...
axel1961 12.08.2014
... muss der neue IPv6-Standard ja gut sein. Schließlich will ja jedes Teil wohl auch seine eigene Netzwerkadresse... :-)
5.
spon-facebook-10000594607 12.08.2014
homo
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.



Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: