TREND Cybersicherheit: Angriffe auf den Privathaushalt

| |
1 Star2 Stars3 Stars4 Stars5 Stars

Energieeffizienz, Sicherheit und Komfort – damit lockt das smarte Zuhause. Leider ist das „vernetzte“ Glück aber auch angreifbar.

Immer mehr Geräte suchen Anschluss ans Internet, um ein „Ding“ zu werden. Auch in den eigenen vier Wänden. Einer Prognose des TÜV Rheinlands zufolge sollen bereits in fünf Jahren in jedem Privathaushalt rund fünfhundert Geräte, Produkte oder Anwendungen „connected“ sein. Die Bewohner versprechen sich davon mehr Komfort, weniger Energieverbrauch und ein Plus an Sicherheit.

Den unbestreitbaren Vorteilen stehen allerdings auch Risiken gegenüber. Denn ungeschützte, vernetzte Systeme machen ganze Netzwerke für Angreifer von außen anfällig. Vielen dieser „smarten“ Produkte und Anwendungen mangelt es dabei schon werksseitig an ausreichender Datensicherheit und Cybersecurity. Durch Fehlkonfigurationen, falsche oder fehlende Sicherheitseinstellungen oder hastig installierte Geräte kommen dann durch die Anwender weitere Schwachstellen hinzu.

Gefährliche Verbindungen

So „kaperte“ etwa die Schadsoftware Mirai schlecht gesicherte Überwachungskameras, Kühlschränke und andere vernetzte IoT-Geräte vor zwei Jahren, um große Teile des Internets mit Millionen von Anfragen lahm zu legen. Die Software scannte dabei das Netz nach IP-Geräteadressen und versuchte sich mit Standardpasswörtern einzuloggen, um danach Schadcode aufzuspielen. Dies ist auch die beliebteste Methode.

Cybersecurity
Seit 2016 steigt die Zahl der Malware-Modifikationen, die smarte Geräte angreifen, drastisch. (Bild: Kaspersky Lab).

Statistiken vom Kaspersky Lab zeigen, dass Brutal Forcing – automatisiertes, wahlloses Ausprobieren von Passwörtern – zur Verbreitung von IoT-Malware in 93 Prozent aller identifizierten Attacken zugrunde liegt. Und der Trend zeigt eindeutig nach oben. Bereits im ersten Halbjahr 2018 griffen weltweit mehr als 120.000 unterschiedliche Malware-Varianten vernetzte IoT-Endgeräte an – dreimal mehr als im gesamten Jahr 2017. Und schon 2017 übertraf die Zahl der Malware-Varianten den Wert von 2016 um das Zehnfache.

Um auf Augenhöhe mit den Kriminellen zu bleiben, nutzen Cyberexperten sogenannte Honeypots als Lockmittel. Das sind Programme oder Server, die Scheinziele für einen Angriff innerhalb eines Netzes simulieren. So erhält man Informationen über Angriffsmuster und Angreifer. Sechzig Prozent der Attacken auf Honeypots von Kaspersky Lab betrafen dabei Router. Grundlage dieser lukrativen „Geschäftsmodelle“ sind aber auch Set-Top-Boxen, Festplatten-Videorekorder und Drucker. Sogar Waschmaschinen blieben in 33 Fällen davon nicht verschont.

Hersteller in der Pflicht

Erst einmal verwundert es, dass „leistungsschwache“ IoT-Geräte für cyberkriminelle Aktivitäten ausreichen. Ihr Performancedefizit wird jedoch ausgeglichen durch ihre immens hohe Anzahl und durch das Versäumnis der Hersteller ihre Geräten ausreichend sicher zu machen .

Der TÜV Rheinland fordert deswegen für smarte Produkte und Systeme unabhängige Tests nach einheitlichen Standards. Ähnlich dem bewährten GS-Zeichen sollen sie Daten- und Cybersicherheit für den Verbraucher erkennbar zu machen. Neben den Geräten liegt das zweite Augenmerk dabei immer auch auf den Anwendungen, denn mit dem Internet ist in der Regel zusätzlich ein Service verbunden, etwa für die mobile Steuerung via Smartphone.

Erstes Zertifikat für Cybersicherheit

Auch das unabhängige VDE Prüf- und Zertifizierungsinstitut (Halle B2 Stand 252) betätigt sich als Hacker, um Schwachstellen aufzuspüren. Es prüft und zertifiziert die Sicherheit im Bereich des Datenschutzes, der Cyber Security und der funktionalen Sicherheit. Dabei konnte erst kürzlich die eQ-3 AG – der europäische Marktführer im Bereich der Whole-Home-Lösungen – das VDE-Zertifikat „Smart Home – Informationssicherheit geprüft“ für sein erstes kabelgebundenes und verschlüsseltes Smart-Home-Bussystem „Homematic IP Wired“ entgegennehmen.

Umfassende Sicherheitskonzepte für Smart Homes verlangen periodisch Anpassungen an neue Erkenntnisse und veränderte Angriffsszenarien. Ausserdem müssen neben Neuanschaffungen alle möglichen Kommunikationswege miteinbezogen werden. Denn als besonderes risikoreich entpuppen sich meist alte Systeme. Das kennt man aus der IT.

So hatten Forscher von Check Point Research Faxgeräte hinsichtlich ihrer Informationssicherheit getestet. Trotz veralteter Kommunikationstechnologie tun sie immer noch in vielen Büros und auch Haushalten ihren Dienst. Um das Fax „aus dem Takt“ zu bringen und einen Speicherüberlauf (Buffer Overflow) zu provozieren, verschickten die Ingenieure Faxe mit schädlichem Code, der als Bilddatei getarnt war, an All-in-One-Drucker mit Faxfunktion. Die Schadsoftware eröffnete daraufhin den ungehinderten Zugriff auf das gesamte Netzwerk. Dabei läßt sich am Gerät selbst der Empfang dieses „Trojanischen Pferdes“ nicht unbedingt erkennen. Solche Angriffe eigenen sich für viele Faxgeräte, da Telefonleitungen im Gegenstz zu Datenleitungen nicht durch spezielle Schutzmechanismen geschützt oder überwacht werden.

Knowledge Base

Die vollständigen Cybersecurity Trends 2018 stehen kostenfrei beim TÜV Rheinland zur Verfügung.

ESET-Whitepaper: “IoT and privacy by design in the Smart Home”.

 


Erfahren Sie mehr über Cybersecurity auf dem Cyber Security Forum.

 

 

 

 

 

Cybersecurity

Beim Kauf neuer smarter Geräte sollte man nicht nur auf den Preis achten. (Bild: TÜV Rheinland).