Düsseldorf Als ich das Video sehe, fühle ich mich wie ein Krimineller. Fast ein wenig beschämt. Vor mir zeigt ein Live-Bild einen Wohnungsflur irgendwo in Deutschland. Ich sehe Jacken im Schrank, einen Spiegel und ein Gemälde an der Wand. Die Bewohner wissen nicht, dass ein völlig Fremder gerade in ihre Privatsphäre eingedrungen ist. Dabei war das gar nicht schwer. Gereicht hat der Begriff „IP-Cam“ im Suchfeld einer speziellen Suchmaschine und ein Klick auf eins der Suchergebnisse.
Der Wohnungsflur ist nicht das einzige, was ich finde. Ich schaue in Gärten, auf Garagen oder in die Liefereinfahrt eines Geschäftes. Die Suchmaschine listet Geräte auf, die mit dem Netz verbunden sind. Einige davon sind nicht passwortgeschützt und so für jeden zugänglich. Das ist nicht nur gefährlich für die Besitzer. Die IP-Kamera, die da so harmlos den Flur überwacht, ist in den falschen Händen eine Waffe – weil sie mit dem Internet verbunden ist.
Smart Home heißt die Technik, die Verbrauchern das Leben erleichtern soll. Eben mal schnell die Wohnung via Handy-Befehl aufheizen oder die lieben Kleinen per Video-Babyfon im Auge behalten. Schöne, neue, vernetzte Welt. Doch es lauern Gefahren: Das zeigte zuletzt der Angriff auf die Router der Deutschen Telekom im Dezember. Dessen Ziel war nicht, die Besitzer auszuspähen, sondern die Mini-Computer für ihre Zwecke zu missbrauchen. Die Hacker wollten Schadsoftware einschleusen, mit deren Hilfe sie die Router hätten fernsteuern können. Das ist ihnen in diesem Fall nicht gelungen, die Geräte stürzten ab und der Angriff flog auf. Aber in zig tausend anderen Fällen hat es funktioniert.
Die Kriminellen schließen die Geräte zu einem riesigen Botnetz zusammen: Eine ferngesteuerte Armee, mit der zum Beispiel Webseiten tausendfach angefragt werden, bis sie zusammenbrechen. Experten nennen dies einen Distributed Denial of Service (DDos)-Angriff.
Die Attacke lenkte den Blick auf ein unterschätztes Problem: Beim PC und Laptop sind sich Nutzer meist über die Gefahren von Viren und Hackern bewusst. Bei Router, Babyfon oder Kamera eher nicht. Auch Steffen Wendzel, Professor für IT-Sicherheit und Mitarbeiter des Fraunhofer-Instituts für Informationsverarbeitung, hält die Aufmerksamkeit für die Gefahr von Botnetzen für das Internet der Dinge für zu gering: „Mithilfe solcher Botnetze können nicht nur Unternehmen geschädigt werden, sondern eine massenhafte Überwachung von Personen – am Arbeitsplatz, Unterwegs und zu Hause – und Schädigung von Infrastruktur erreicht werden." Nach der Router-Attacke forderten viele Experten deshalb nicht nur die Hersteller auf, nachzubessern. Auch die Verbraucher sollen sich genauer informieren.
Ich bin einer dieser Verbraucher. Und ich möchte wissen, wie einfach es ist, mich über die Sicherheit von vernetzten Geräten zu informieren. Also schlüpfe ich in die Rolle eines Kunden mit Smart-Home-Ambitionen. Damit bin ich Vorreiter: Gerade einmal drei Prozent der deutschen Haushalt nutzen eine smarte Heizungssteuerung, wie die Gesellschaft für Unterhaltungselektronik (GFU) ermittelte. Laut einer Statista-Umfrage sind aber 21 Prozent sehr an Smart Home interessiert, immerhin 39 Prozent zeigen sich interessiert.
Auf meiner Einkaufsliste steht an erster Stelle die sogenannte IP-Cam. Mit der kann ich von unterwegs checken, was da so in meinem Zuhause vor sich geht. Praktisch, ich würde nämlich gerne wissen, was meine Katze so treibt, wenn keiner daheim ist. Ich schaue mich auf der Internetseite eines großen Elektronikhändlers um und entdecke mehrere Angebote in unterschiedlichen Preislagen. Über die Sicherheitsvorkehrungen wie etwa Passwortschutz erfahre ich erst einmal nichts, ich schreibe also dem Kundendienst. Der antwortet: Die WPA-Verschlüsselung sichere die Wlan-Verbindung ab, über Netzwerkkabel könne der Webserver der Kamera über Passwörter gesichert werden. Aber: „Die Sicherheit ist nicht von der Kamera, sondern vom Router und dessen Einstellung abhängig.“
Wie Sie Ihren Router absichern
Ähnliches höre ich, als ich in einem Elektronikmarkt nach Babyfonen mit Videooption Ausschau halte. Eigentlich braucht es das nicht, aber um das Ganze glaubhaft zu machen, begleiten mich eine Freundin und ihr neun Monate alter Sohn. Wir finden mehrere Modelle. Die Verpackung verrät mir, dass das Modell eine „private und sichere Verbindung“ biete. Der Verkäufer kann mir dazu auch nicht mehr sagen.
Nur: Reicht das? Ganz so einfach ist es nicht, sagt Stefan Ortloff, Sicherheitsexperte beim Sicherheitsdienstleister Kaspersky: „Es ist richtig, dass Router den Zugang absichern.“ Die Geräte dahinter lägen im privaten Netz. „Das ist getrennt vom öffentlichen Internet und funktioniert wie eine Einbahnstraße – also nur von innen nach außen.“ Doch wenn ein Gerät zum Beispiel von außen erreichbar sein soll, muss eine sogenannte Portfreigabe erteilt werden. Der Router leitet dann Anfragen von außen gezielt an ein bestimmtes Gerät weiter – durch die Firewall. „Da muss man sich schon ein bisschen mit beschäftigen, um das vorzunehmen“, erklärt Ortloff.
Einfacher ist die Universal Plug and Play (UPnP) Funktion am Router: Ist die am Router aktiviert, können die Geräte diese Portfreigabe selbst vornehmen und sich auch untereinander vernetzen. Das ist praktisch, führt aber auch dazu, dass die Geräte auch für Fremde erreichbar sind und dass das Heimnetz angreifbar gemacht werden kann.“ Ortloff rät daher zur Deaktivierung von UPnP.
Wie aus einem harmlosen Gegenstand wie einem Babyfon eine Waffe werden kann, zeigt der Angriff eines Botnetzes im Oktober 2016. Mithilfe auch von gekaperten Babyfonen und IP-Kameras sorgten Hacker dafür, dass Seiten wie Netflix oder Spotify stundenlang nicht erreichbar waren.
Wichtig ist daher ein Passwort: Doch der Nutzer muss schauen, ob das Gerät diese Funktion überhaupt bietet und er das vom Unternehmen vorgegebene Passwort ändern kann. Denn genau da lauert ein weiteres Einfallstor für Hacker. Die Schadsoftware kann oft auf Standard-Benutzernamen, Passwörter oder auf bekannte Schwachstellen programmiert werden, erklärt Steffen Wendzel: „Mithilfe einer Suchmaschine werden gezielt nach Geräten und Typennummern gesucht – dann versucht sich die Schadsoftware aufzuschalten.“
Von Kundendienst und Verkäufer habe ich nicht so viel erfahren. Einen Vorwurf könne man ihnen da allerdings nicht machen, meint Ortloff: „Das Angebot ist ziemlich umfassend. Anbieter und Hersteller müssen ihre Angestellten viel besser schulen.“ Na gut, dann frage ich doch direkt einmal bei den Herstellern an. Bei den Webcams entscheide ich mich für eine IP-Kamera von Edimax für knapp 47 Euro, ein Modell von Abus für rund 130 und eins von D-Link für circa 219 Euro. Dieses Mal richte ich die Anfrage allerdings direkt an den Hersteller – als Journalist an die Pressestelle.
Was die Hersteller sagen
D-Link antwortet und spricht unter anderem von marktübliche Sicherheitsstandards bei dem entsprechenden Modell und „eine Vielzahl von Technologien und Verfahren, um erwünschte Zugriffe von außen zu unterbinden.“ Der Nutzer könne zum Beispiel auch eine Liste von erlaubten IP-Adressen zum Zugriff auf die Kamera definieren. Zudem verweist man auf den deutschsprachigen Telefon- und Email-Support, der zum Thema Sicherheit den Kunden zur Verfügung stünde. Informationen über Updates erhält der Nutzer über automatische Benachrichtigungen bzw. Upgrades über die App, ein Portal und als Download auf der Supportseite.
Auch der Hersteller Edimax antwortet Ähnliches und verweist auf die Information für Benutzer in der Schnellinstallationsanleitung und dem Benutzerhandbuch. Beide Hersteller bieten ein änderbares Passwort. Auch Abus bietet zum Beispiel eine Pin-geschützte App, eine Passwort-geschützte Verbindung zwischen App und Kamera und verschlüsselten Funk, so die Antwort des Herstellers. Voraussetzung für ein Firmware-Update sei die Nutzung einer Micro-SD Karte, die allerdings im Normalbetrieb der Kamera verwendet werde. Updates werden dann automatisch heruntergeladen und der Nutzer erhält eine Benachrichtigung. Das hört sich sicher an. Doch warum finde ich das nicht auf der Verpackung?
Auf der fehlen aktuell spezielle Hinweise, teilt Abus mit. Man denke aber darüber nach, in Zukunft auf der Verpackung auf die Schutzmechanismen der Kamera hinzuweisen. Für Verbraucher wäre das ein Anhaltspunkt. Denn Informationen zur Datensicherheit finden sich häufig gar nicht erst auf den Verpackungen – ein erhebliches Manko, meint auch IT-Experte Wendzel: „Man kann nicht die ganze Verantwortung auf den Verbraucher abwälzen – schließlich ist der meist kein Tech-Experte.“
Und auch wenn die Anbieter Sicherheit versprechen, ist bei den vernetzten Geräten Vorsicht geboten. So zeigte eine Untersuchung der SEC Consult Deutschland, dass Millionen solcher Geräte weltweit ein und denselben Sicherheitsschlüssel verwenden und über kritische Schwachstellen verfügen. In den Vereinigten Staaten ist es die US-Handelskommission Federal Trade Commission (FTC), die sich mit Herstellern anlegt. Aktuell wirft sie dem Hersteller D-Link vor, seine Router und IP-Kameras nicht ausreichend genug abzusichern – und hat Klage eingereicht. Ein ähnliches Verfahren hatte die FTC schon 2016 gegen Asus angestrengt.
Meine nächste Einkaufstour führt mich zu einem weiteren Elektronikhändler: Mit meiner „Freundin“ suche ich nach einer neuen Küche. Natürlich am liebsten vernetzt: Ich finde einen Backofen von Siemens, der mit der App Home Connect gesteuert werden kann. Diese App nutzt zum Beispiel auch Bosch. Amazons Sprachassistent Alexa soll laut Unternehmensangaben integriert werden. Eine ähnliche Lösung bietet auch die Plattform Qivicon
Der Verkäufer ist freundlich und erklärt uns die Funktionsweise, bei der Sicherheit ist er allerdings auch überfragt. Ich schaue im Internet nach: Die App informiert über ihre Maßnahmen zur Datensicherheit – und die ist vom österreichischen TÜV geprüft. Das Problem mit der App: Nur Geräte, die mit Home Connect kompatibel sind, können damit verwendet werden. Habe ich beispielsweise den Herd einer anderen Marke zuhause, wird es schwierig.
Was Kunden Orientierung bieten kann
Eine Prüfung durch eine externe Stelle gibt Kunden Orientierung, sagt Dennis Schröder, IT-Sicherheitsexperte bei TÜV IT, der in der Vergangenheit zum Beispiel die Smart-Home-Lösung von Innogy auf Sicherheitsschwachstellen überprüfte: „Wir untersuchen Prüfgegenstände entweder im Rahmen einer Zertifizierung oder eines Gütesiegels.“ Der Unterschied: Bei einer Zertifizierung testet ein akkreditiertes Prüflabor alle Kriterien der Datensicherheit, anschließend werden diese Ergebnisse sowie die Einhaltung des Zertifizierungsverfahrens von einer unabhängigen Zertifizierungsstelle bestätigt. Bei der Vergabe eines Gütesiegels wird auf das doppelte Vier-Augen-Prinzip verzichtet. In dem Fall ist allein das Prüflabor zuständig.
Doch wie informiere ich mich als Kunde, wenn Anfragen bei Händlern und die Verpackung erst einmal nicht weiterhelfen? „Wer sich für ein Smart Home oder vernetzte Geräte interessiert, sollte es ernst nehmen und sich Zeit nehmen“, sagt Stefan Ortloff von Kaspersky. Das meint auch Dennis Schröder von TÜV IT. Dabei helfe nicht nur die Suche nach Sicherheitszertifikaten und Gütesiegeln: „Es gibt Indizien, wie ernst es ein Hersteller oder Betreiber mit der Sicherheit nimmt.“
Gibt es zum Beispiel eine Meldestelle für Sicherheitsvorfälle, wie oft werden Softwareupdates zur Verfügung gestellt und werden regelmäßig Penetrationstests durchgeführt? „Das sind Tests, in denen diverse Prüfgegenstände wie Geräte auf ihre Sicherheitsschwachstellen geprüft werden“, sagt Schröder.
Was kann sonst noch helfen? Experten des Chaos Computer Clubs wollen eine Mindesthaltbarkeitsangabe für vernetzte Produkte, wie lange also Sicherheitsupdates zur Verfügung stehen. Auch Steffen Wendzel vom Fraunhofer-Institut weist auf die Verderblichkeit von Software hin, denn Hacker gehen gezielt auf die Suche nach Sicherheitslücken: „Was jetzt noch aktuell ist, kann in einem Jahr schon völlig überholt sein. Hersteller müssen deshalb transparenter informieren, wie lange Updates vorhalten.“ Es bleibt also dabei: Der Verbraucher muss in Vorleistung treten – auch wenn das nicht einfach ist. Immer noch besser aber als seinen Inneneinrichtungsvorlieben mit der Welt zu teilen.
