SPIEGEL ONLINE

SPIEGEL ONLINE

12. August 2014, 19:46 Uhr

Hackerkonferenz

Cyberattacke auf den Kühlschrank

Von Uli Ries, Las Vegas

Vernetzte Kühlschränke, Autos und Ampeln halten Einzug in unser Leben - und eröffnen Hackern eine riesige Spielwiese. Sicherheitsexperten finden massenhaft Schwachstellen und attestieren den Herstellern schlampige Arbeit.

Den Hackern auf der Sicherheitskonferenz Defcon ist es egal, ob Marketing-Menschen vom vernetzten Zuhause, dem Internet der Dinge oder dem Smart Home sprechen: Sie sehen in vernetzten Geräten - Autos, Kühlschranke, Fernseher, Raumthermostate - erst einmal ein neues riesiges Spielfeld - auf dem sie einen Heimvorteil haben. "Ich wüsste nicht, dass eines der vernetzten Geräte einem Hackversuch standgehalten hätte", sagt Jeff Moss (alias The Dark Tangent), Gründer der Hackerkonferenz Defcon und ehemaliger Berater der US-Heimatschutzbehörde.

Wobei sich die Hacker nicht die Hardware selbst vornehmen, sondern die für die Funktion unabdingbare, darauf installierte Software. Hier finden sich reichlich Schwachstellen, deren Missbrauch dann Unberechtigten die Kontrolle über das Gerät verschafft. Was einerseits nicht verwundert, da Software niemals fehlerfrei sein wird. Wie leicht es die Hersteller der vernetzten Produkte einem Angreifer aber machen, erstaunt dann doch.

Die Gruppe GTVHacker packte in eine gut 40-minütige Präsentation eine Sammlung von 22 für Privathaushalte konzipierte Geräte, die sie in den letzten Wochen gehackt haben - vom Thermostat bis zum Fernseher. Was alles dabei war, zeigt die Gruppe in ihrem Wiki.

Die dabei entdeckten Schwachstellen stammten meist aus der Mottenkiste der IT-Sicherheit und sollten geschulten Programmierern nicht mehr unterlaufen. Dazu Jeff Moss: "Längst erledigt geglaubte Klassen von Bugs erleben plötzlich eine Renaissance."

Erklärbar ist das nur damit, dass sich Unternehmen ans Entwickeln von Software und Funktionen zur Vernetzung machen, die damit keine Erfahrung haben. Fachleute wie Amir Etemadieh, Gründer der Gruppe GTVHacker und im Hauptberuf Sicherheitsforscher beim US-Beratungsunternehmen Accuvant, bescheinigen den frisch mit Netzwerkfunktionen aufgebohrten Geräten nur ein sehr niedriges Sicherheitsniveau. Heikel ist dies angesichts des schier unendlich großen Volumens an Gerätschaften, die jetzt mit dem Netz verbunden werden.

Wie aktualisiert man die Software eines Herzschrittmachers?

Was in der herkömmlichen Welt von PC, Tablets und Smartphones keine große Herausforderung ist, wird mit dem Internet der Dinge oft zum Problem: Wie lassen sich die entdeckten Schwachstellen beseitigen?

Während Softwarefirmen über funktionierende Mechanismen verlässlich Updates für ihre Systeme über das Internet verteilen können, ist dies bei den meisten der vernetzten Hardwareprodukte nicht so ohne Weiteres möglich. Wie beispielsweise soll die Software eines Herzschrittmachers aktualisiert werden, ohne das Leben des Patienten durch eine Operation zu gefährden? Und wie finden Updates ihren Weg auf die zehn intelligenten, per App abfragbaren und an der Decke angebrachten Rauchmelder im Haus?

Auch die lange Lebensdauer der Geräte macht Schwierigkeiten. Anders als Smartphones werden "viele dieser Geräte etliche Jahre in Betrieb sein und nur wenige ihrer Besitzer erfahren überhaupt davon, dass es Updates gibt", gibt Jeff Moss zu bedenken.

Er fordert von den Herstellern deshalb Mechanismen, über die sich die Geräte über das Internet selbst mit Updates versorgen können. Außerdem wären gesetzliche Vorgaben seiner Meinung nach nötig: "Es gibt Vorschriften, wie Steckdosen in Badezimmern vom Elektriker abgesichert werden müssen. Warum nicht eine Vorgabe für Updates von moderner Hauselektronik?", fragt Moss.

Fehler werden im laufenden Betrieb behoben - oder auch nicht

Die Industrie scheint beim Internet der Dinge so vorzugehen wie andere Unternehmen seinerzeit beim Thema Cloud: Zwar sind die Kinderkrankheiten noch nicht kuriert, aber man startet schon mal mit Produktion und Verkauf. Fehler werden dann im laufenden Betrieb behoben - oder eben auch nicht. Jeff Moss geht davon aus, dass erst in einigen Jahren sicherheitstechnisch ausgereifte Produkte auf den Markt kommen. Bis dahin müssen Kunden entweder mit lückenhaften, aus dem Internet angreifbaren Geräten in ihren Haushalten leben. Oder es finden sich Hersteller, die ähnlich den Lieferanten von Antiviren-Software Schutzlösungen verkaufen.

Tröstlich ist einzig, dass sich Terroristen bisher anscheinend nicht für die Millionen angreifbarer Geräte interessieren. Hacker-Experte Jeff Moss sieht lediglich die Internetkriminellen in den Startlöchern. Auf die Frage, ob er beispielsweise ein Botnet für wahrscheinlich hält, das von Raumthermostaten aus Spam-E-Mails verschickt, antwortet er lachend: "Es gibt keinen Grund, warum genau das nicht passieren sollte."

Wobei es auch Lichtblicke gibt im Internet der Dinge. So haben nach Auskunft der Hacker Charlie Miller und Chris Valasek einige Autohersteller vieles richtig gemacht beim Konzipieren der Netzwerke in ihren Modellen: Die Hersteller trennen die fürs Fahren kritischen Systeme von den oftmals angreifbaren und ebenfalls vernetzten Navigations- und Entertainment-Funktionen. Ein per Bluetooth bei voller Fahrt gehacktes Radio gibt dem Angreifer also keine Möglichkeit, Bremsen oder Lenkung zu manipulieren - eine halbwegs beruhigende Vorstellung trotz ansonsten düsterer Aussichten.

URL:


© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung