Schon einmal von der Heizung erpresst worden? Geld her, oder der Winter wird sehr, sehr kalt in der Wohnung! Andrew Tierney und Ken Munro, zwei Entwickler der britischen IT-Security-Firma Pentestpartners, haben auf der Hackermesse Def Con 24 vorgezeigt, dass das möglich wäre. Sie haben sich einen smarten Thermostat vorgenommen, der die Temperatur auf Basis von Nutzerprofilen der Bewohner steuert, und darauf eine sogenannte Ransomware installiert.

Derartige Schadsoftware wird von Angreifern verwendet, um zum Beispiel wichtige Daten ihrer Opfer zu verschlüsseln und sie erst wieder freizugeben, wenn ein geforderter Geldbetrag überwiesen wurde. Tierney und Munro blockierten die Funktionen des Thermostats und forderten über den kleinen LCD-Bildschirm des Geräts Geld in Form der Internetwährung Bitcoin. Die beiden Hacker erläutern in einem Blogeintrag detailliert, wie sie die Kontrolle über den Thermostat übernehmen konnten. Dabei sei nicht nur möglich, die Temperatur beliebig zu verändern, sondern etwa auch durch blitzschnelles, mehrmaliges Ein- und Ausschalten der Heizung auch physischen Schaden anzurichten.

Hohe Risiken

Derartige Beispiele zeigen, dass der Trend zu Smart Homes, der das Zuhause mit den Vernetzungstechniken eines Internets der Dinge ausstattet, mit hohen Risiken verbunden sein kann. Von Einbrechern, die Sensordaten über die Gewohnheiten der Bewohner abfragen, bis zu Hackern, die einfach nur zeigen wollen, dass sie die Musikanlage in einem x-beliebigen Zuhause einschalten können, sind der Fantasie über mögliche Manipulationen wenig Grenzen gesetzt.

Trotz dieser Bedrohungen kümmern sich die Produzenten vernetzter Technik für den Privatgebrauch noch viel zu wenig um den Sicherheitsaspekt, ist Thomas Brandstetter, Professor am Department Informatik und Security der Fachhochschule St. Pölten und Geschäftsführer des Unternehmens Limes Security überzeugt: "Smart-Home-Systeme wurden bisher zu wenig unter Sicherheitsgesichtspunkten entwickelt. Da gibt es einen großen Handlungsbedarf." Oft sei es viel wichtiger, schnell am Markt zu sein, und kundenfreundliche Usability zu bieten, als ein System auf Sicherheitslücken zu prüfen.

Sicherheit kostet Geld

Sollte sich das Sicherheitsbewusstsein im Smart-Home-Bereich ähnlich wie im industriellen Umfeld entwickeln, werde der Aspekt erst mit ersten großen Angriffen in den Fokus rücken. "Das Thema wurde dort erst auf breiter Basis diskutiert, als gezeigt wurde, dass Angriffe auf Industrieanlagen aus dem Netz nicht nur möglich sondern Realität sind", erklärt Brandstetter. "Die Schadsoftware Stuxnet, die 2010 auftauchte und auf industrielle Steuerungen abzielte, war ein Weckruf für den ganzen Sektor." Große Angriffe werde es früher oder später auch auf den Smart-Home-Bereich geben, sagt der Experte voraus.

Die Motivation, industrielle Produktionsanlagen und kritische Infrastrukturen zu schützen, ist klarerweise größer als bei der vernetzten Kaffeemaschine zu Hause. "Sicherheit kostet Geld und bei den smarten Gadgets ist das ein Bereich, wo man zu günstigen Chips mit Standardsoftwarebausteinen greifen kann", so der Informatiker.

"Auch eine Regulierung, die zumindest Basis-Sicherheitsstandards in diesem Umfeld vorschreibt, ist nicht absehbar." Dabei gäbe es auf technischer Ebene mehrere Ansatzpunkte, um die Sicherheit zu verbessern. Smart Devices der Zukunft könnten vermehrt mit automatischen Updatefunktionen ausgestattet werden, um Sicherheitslücken effektiv schließen zu können; oder mit mehr Rechenleistung, um mehr Funktionen wie Spracherkennung lokal zu erledigen und weniger Daten unverschlüsselt durchs Netz zu schicken.

Jedes Gerät könnte Teil eines Botnetzes werden

"Erste Anschläge aus dem Internet der Dinge haben wir schon gesehen", sagt Brandstetter. Und er meint tatsächlich "aus dem", nicht "auf das Internet der Dinge". Denn nicht nur der Angriff auf die smarten Geräte selbst – also etwa das Hacken eines elektronischen Türschlosses, um die Wohnung auszuräumen – ist ein Bedrohungsszenario. Jedes mit dem Internet verbundene unsichere Gerät könnte auch von Angreifern infiltriert werden, um zum Teil eines Botnetzes zu werden und damit weitere kriminelle Zwecke zu verfolgen.

Der Angreifer verwendet dann ferngesteuert die Ressourcen des Geräts, um etwa einen DDOS-Angriff auszuführen, erläutert Brandstetter. Bei diesen "Distributed Denial of Service"-Attacken werden die Server des Opfers von einer Vielzahl von Quellen aus – auch die smarte Kaffeemaschine könnte dabei sein – mit so vielen Anfragen überhäuft, dass sie nicht mehr erreichbar sind. "Bei einem großen Angriff im Oktober auf ein wichtiges US-Internetinfrastruktur-Unternehmen waren Millionen vernetzte Geräte wie Digitale Videorecorder und Webcams, die noch mit dem Standardpasswort abgesichert waren, Teil des Botnetzes", so Brandstetter.

Privatsphäre und Datenschutz

Doch auch wenn im Smart Home höchste Sicherheitsstandards umgesetzt wurden, bleibt noch immer die Sache mit der Privatsphäre. Natürlich schicken die vernetzten Musikanlagen, Smart TVs und sprachgesteuerten Assistenzsysteme auch Daten durchs Netz, die Unternehmen helfen, ihre Kunden "besser kennenzulernen". Interaktive Steuerungsgeräte wie Amazon Echo und Google Home würde sich Brandstetter, wie er sagt, "definitiv nicht in der Standard-Konfiguration ins Haus stellen. Ich würde sie nur dann verwenden, wenn ich feststellen kann, welche Daten im laufenden Betrieb im persönlichen Wohnraum erstellt und versendet werden."

Die Ausstattung des Zuhauses mit vernetzter Sensorik bietet nebenher auch den Geheimdiensten einen weiteren Ansatzpunkt für eine noch lückenlosere Überwachung. Erst diese Woche wurde entdeckt, dass auf einer Reihe von billigen Android-basierten Smartphones Textnachrichten und Rufprotokolle an Server in China versendet werden, automatisch und ohne Wissen der Gerätebesitzer, so der Experte.

Welche Möglichkeiten die neuen Systeme Angreifern letztendlich tatsächlich in die Hand geben, ist längst nicht absehbar. Tierney und Munro, die den Thermostat gehackt haben, schreiben etwa, dass sie das Gerät dazu bringen könnten, hochfrequente Töne abzugeben. Töne, die die meisten Menschen nicht hören können, die Tiere aber verrückt machen. Unter dem Titel "Cat attacks" schreiben sie: "Möchte man Chaos bei einem Haustierbesitzer anrichten, stellt man die Frequenz einfach auf 16 bis 18 KHz." (Alois Pumhösel, 19.11.2016)