Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Ob im Geschäftsleben oder in den heimischen vier Wänden – das Internet der Dinge hat seinen Siegeszug angetreten. Die Zahlen sind beachtlich: Geschätzt mehr als 8,4 Milliarden miteinander verbundene Geräte sind im Jahr 2017 verfügbar. Zudem sind in diesem Jahr 63 Prozent aller Geräten im Endkundenbereich im Einsatz. In absoluten Zahlen sind das 5,3 Milliarden Geräte. Und Gartner geht davon aus, dass die Anzahl verbundener Geräte bis 2020 auf 20,4 Milliarden anwachsen wird.

^[1]

Bisher war es meist so, dass es beim Thema Security vor allem um Notebooks und Smartphones ging, da ihr umfangreicher Gebrauch und ihre Marktanteile sie zu einem attraktiven Ziel für die Angreifer machten. Jetzt aber, da IoT-Geräte ihren Siegeszug in die Haushalte angetreten haben und dabei wenige bis gar keine Security-Funktionen vorweisen können, sind sie zu leichter Beute für Angreifer geworden. Mit ihnen können nicht nur einzelne Geräte, sondern das gesamte Heimnetzwerk kompromittiert werden. Herkömmliche Security-Mechanismen eignen sich nicht immer für IoT-Geräte, da sie keine zusätzlich installierte Software unterstützten wie es andere Betriebssysteme tun.

Mehr IT-Sicherheit im eigenen Zuhause

Security-Forscher warnen bereits seit langem vor den Gefahren durch smarte, mit dem Heimnetzwerk verbundene IoT-Geräten. Die Anwender riskieren dabei viel mehr als nur den Verlust des Zugangs zum Gerät. Oftmals sind dann gleich mehrere Geräte des gleichen Netzwerks betroffen. Das Ausnutzen einer einzigen Schwachstelle in einem Smart TV oder in jedem anderen mit dem Netzwerk verbundenen smarten Gerät kann dazu führen, dass die Angreifer sich im gesamten Heimnetzwerk bewegen und so Notebooks, mobile Geräte und selbst private Daten, die auf einem Network Attached Storage (NAS) gesichert sind, kompromittieren können. Welche beliebten Einfallstore gibt es im eigenen Zuhause und wie können sich Privatanwender schützen?

Smart TV – oft ein offenes Scheunentor

Smart TVs gehören mittlerweile zum Mainstream und sind in fast jedem Haushalt zu finden. Während Otto-Normalverbraucher selbst ihren Fernseher nicht als „smartes Gerät“ ansehen, so ist er doch mit dem Internet verbunden, verfügt über ein eigenes Betriebssystem und ist genauso den Gefahren aus dem Internet ausgesetzt wie etwa ein Smartphone ^[2] oder Tablet – Beispiel die aktuellen Ransomware-Attacken auf Smart TVs. ^[3] In einer in den USA durchgeführten Studie, gaben 6 von 10 Besitzer von Smart TVs an, dass sie keinerlei Sicherheitsoptionen für ihren Smart TV im Einsatz haben. Doch diese Geräte gehören nach Smartphone, Tablet, Notebook ^[4] und Desktop Computer zu den Top5 der mit dem Internet vernetzten Geräte im Haushalt. Da sie Browsing-Funktionen enthalten und es möglich ist, Anwendungen herunterzuladen, empfiehlt es sich in jedem Fall eine Security-Lösung zu installieren, die für Smart TVs mit Android ^[5]-Betriebssystemen konzipiert ist.

IP Kameras und Babyphones mit Videofunktion

Während es für Smart TVs Unterstützung durch Security-Lösungen gibt, bieten andere smarte Geräte, wie beispielsweise Webcams, Babyphones mit Videofunktion oder IP Kameras solche Optionen nicht an. Security-Forscher haben oft dargelegt, wie Angreifer über diese Geräte Remote-Zugriff erlangen können, indem sie Internet-Ports und -Dienste (z.B. Telnet, SSH) oder ungepatchte Schwachstellen in der Firmware ausnutzen. Auf einigen dieser Geräte laufen oftmals veraltete Firmware-Versionen und die Besitzer werden nie über die Existenz neuer Versionen informiert, auf denen ernsthafte Sicherheitsschwachstellen beseitigt wurden. Hinzu kommt das Risiko, dass der Cloud-Dienstleister, der für die Speicherung der Videos verantwortlich ist, das Thema Datenschutz und Privatsphäre nicht sonderlich ernst nehmen könnte oder einfach nicht in der Lage ist, die Daten sowohl bei der Übertragung als auch bei der Speicherung zu verschlüsseln. Letzteres öffnet die Tore für Man-In-The-Middle-Attacken, die auf die Aufnahmen einer Kamera zugreifen oder sie sogar ganz kontrollieren können.

Smarte Lampen und Steckdosen

Zum Smart Home gehören auch Lampen und Lichtschalter, die eine WLAN-Verbindung erfordern, über die sie per Fernbedienung gesteuert werden können. Damit sind sie denselben Problemen wie andere smarte Geräte auch ausgesetzt. Hinsichtlich Sicherheitsfeatures, Firmware-Updates und Schwachstellen bei Remote-Verbindungen wird der durchschnittliche Anwender ziemlich alleine gelassen. Wichtig ist, sich vorab über die Sicherheitsfunktionen der Geräte zu erkundigen und sicherzustellen, dass der Hersteller vertrauenswürdig ist und Richtlinien bei der Behebung bekannter Sicherheitslücken vorweisen kann. Auch hier ist es sehr empfehlenswert, Standardpassworte gleich nach Erhalt zu verändern, da es Online-Suchmaschinen gibt – beispielsweise Shodan – die das Internet nach IoT-Geräten mit Standardzugangsdaten durchsuchen, umso Angreifern den Remote-Zugriff zu erleichtern.

Tipps in Sachen IoT-Sicherheit

In der Konsequenz sollte IoT-Sicherheit zwei unverwechselbare und leistungsstarke Technologien beinhalten, die sowohl Antimalware-Scanning-Funktionen als auch IoT-Schwachstellen-Prüfungen umfassen. Eine IoT-Security-Lösung sollte am Gateway dafür sorgen, dass einkommender Netzwerkverkehr weder bösartig noch verändert ist. Malware und Phishing-Seiten sollten blockiert werden, um sicherzustellen, dass sie nicht ans Zielgerät kommen. Die für die Schwachstellen-Überprüfung zuständige Einheit sollte regelmäßig checken, ob mit dem Netz verbundene Geräte veraltet sind, ungepatchte Firmware verwenden oder Fehlkonfigurationen vorgenommen wurden – zum Beispiel offene Telnet oder SSH-Ports, die über das Internet erreichbar sind, schwache Passwörter, bekannte Exploits bei einem Gerät und viele mehr. Ist die Schwachstellen-Überprüfung abgeschlossen, sollte ein umfassender Bericht mit den identifizierten Fehlern und entsprechenden Gegenmaßnahmen bereitgestellt werden.
Hier noch ein paar ganz praktische Tipps:

1. Informieren! Informieren! Und nochmals informieren!
Noch bevor ein IoT-Gerät für den Haushalt gekauft wird, sollte man sich umfassend informieren: über Funktionen, die Art und Weise, wie mit gesammelten Daten umgegangen wird und ob der Hersteller eine verlässliche Richtlinie bei Security- und Firmware-Updates verfügt. Natürlich sollte ein IoT-Gerät praktisch sein und interessante Funktionen vorweisen können – aber am wichtigsten ist, dass es sicher ist und umsichtig mit privaten Daten umgegangen wird.

2. Standard-Passwort verändern
Das allererste, was jeder tun sollte, der ein neues IoT-Gerät mit dem Heimnetz verbindet, ist das Standardpasswort durch ein mindestens 8 bis 16 Zeichen langes neues Passwort zu ersetzen, dass sowohl Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält. Es gibt IoT-Suchmaschinen, wie beispielsweise Shodan, die das Internet gezielt nach smarten Geräten ohne Passwort oder mit Stand-Passwort absuchen.

3. Trennung der Netzwerke
Es mag ein wenig aufwändig erscheinen, aber das Einrichten eines separaten WLAN-Netzes nur für IoT-Geräte ist aus Sicherheitsperspektive sehr sinnvoll. Ist ein Gerät mit einer Schwachstelle erst einmal kompromittiert und von außen kontrolliert, so sind zumindest andere wichtige Geräte im Haus, wie das Notebook oder beispielsweise das NAS nicht betroffen.

4. Firmware-Updates
In gleicher Weise wie Updates auf Security- und Betriebssystemen auf dem Notebook oder mobilen Geräten vorgenommen werden, muss dies auch für IoT-Geräte geschehen. In manchen Fällen führen Hersteller Security-Updates und Fixes durch, die verhindern sollen, dass Angreifer Geräte einfach übernehmen und gegen die Besitzer verwenden. Das ist aber nicht die Regel.

Herkömmliche Security-Mechanismen lassen sich nicht unbedingt Eins zu Eins auf IoT-Geräte übertragen. Doch befolgt man diesen wenigen einfachen Regeln, kann man sich entspannt in seinem Smarten Zuhause zurücklehnen.