Düsseldorf Wer in den USA den Fernseher einschaltet, hat viele Gründe, sich zu gruseln. Die platte Meinungsmache bei Fox News. Talkshows, in denen sich Ex-Partner anschreien, unterlegt mit einem permanenten Piepton. Oder ewig lange Werbeblöcke. Doch der Schrecken, der Darren Cauthon und seiner Frau Weihnachten vergangenen Jahres in die Glieder fuhr, hatte einen anderen Grund: Auf dem Fernseher erschien ein Schreiben im Namen des FBI.
Beim Scannen seien der Bundespolizei „einige verdächtige Dateien“ aufgefallen, heißt es in Großbuchstaben. Zudem habe man den Besuch pornografischer Seiten festgestellt. Aus diesem Grund sei das Gerät gesperrt worden, der Besitzer müsse nun innerhalb von drei Tagen eine Strafe von 500 US-Dollar zahlen. Darunter steht eine Unterschrift von FBI-Direktor James Comey samt einem Siegel der Behörde.
Darren Cauthon war gleich klar, dass sich nicht das FBI in seinem Wohnzimmer zu Wort meldete. Erpressungssoftware, Ransomware genannt, die sonst üblicherweise PCs oder Smartphones befällt, war auf den Fernseher gelangt. Auch wenn es sich dabei um einen Einzelfall handelt: Der Angriff zeigt die Verwundbarkeit vernetzter Geräte, wie sie in diesen Tagen auf der CES in Las Vegas präsentiert werden. Experten mahnen die Hersteller zu einem stärkeren Sicherheitsbewusstsein – auch weil der Allgemeinheit Gefahren drohen.
Der große Smart-TV von LG im Besitz von Cauthons Frau spielt nicht nur Filme im Heimkinoformat ab, es kann auch über das Internet Apps herunterladen, ob Online-Videotheken, Musikdienste oder Nachrichtenportale. Bei der Installation eines solchen Programms kam es zum Absturz: Die Lehrerin wollte einen Dienst für kostenlose Videos nutzen, den sie abseits des offiziellen Play Store von Google fand – und lud den Erpresserbrief herunter.
„Der Smart-TV ist nichts anderes als ein Computer“, sagt Candid Wüest vom IT-Sicherheitsunternehmen Symantec – im aktuellen Fall mit einer Version des Betriebssystems Android, das auf 85 Prozent aller Smartphones läuft. Daher sei er auch für schädliche Software anfällig, gerade wenn diese nicht aus einer offiziellen Quelle wie dem Play Store von Google stamme.
Der Angriff habe aber nicht gezielt Fernsehern gegolten, erläutert der Analyst: „Die Infektion ist passiert, weil das Gerät verwundbar ist – man könnte das als Kollateralschaden bezeichnen.“ Daher ließ sich auch die Seite mit den Bezahlmodalitäten auf dem großen Bildschirm nicht aufrufen.
Für Darren Cauthon war das wenig tröstlich. Weil er im Handbuch keinen Hinweis fand, wie er den Fernseher auf den Fabrikzustand zurücksetzen konnte, wandte er sich an den Kundenservice von LG. An der Hotline sagte man ihm, dass die Garantie abgelaufen sei und eine Reparatur 340 Dollar koste. „Vermeidet Smart-TVs wie die Pest“, twittert der Programmierer frustriert. Drei Tage später half der koreanische Konzern dann doch, und zwar kostenlos. Er beschrieb Cauthon, wie er mit einer Tastenkombination auf der Fernbedienung die Daten somit auch die schädliche App löschen konnte. Der Fernseher lief wieder.
Dass es so lange dauerte, verwunderte Cauthon nicht. LG nutze schon seit gut zwei Jahren eigentlich das Betriebssystem WebOS statt Android – „dieser Fernseher war nur eine kurze Momentaufnahme in der Unternehmensgeschichte“, erklärte der Programmierer gegenüber dem Handelsblatt. Deswegen sei es selbst fürs Unternehmen schwierig gewesen, die Funktion ausfindig zu machen.
Ob sich andere Nutzer Sorgen machen müssen und wie sie sich schützen, lesen Sie auf der nächsten Seite.
Den TV aus dem Netzwerk aussperren
Dass der FBI-Brief in zahlreichen Wohnzimmern über den Bildschirm flimmert, ist derzeit nicht zu befürchten: IT-Sicherheitsspezialist Wüest beobachtet keine gezielten Ransomware-Attacken auf Fernseher. „Die Kriminellen verdienen mit Angriffen auf klassische Windows-Computer immer noch viel, und inzwischen fokussieren sie sich immer mehr auf Unternehmen, wo sie noch höhere Summen erpressen können“, erklärt Wüest. Das sei deutlich lukrativer, als die Software für Fernseher anzupassen.
Trotzdem ist der Erpressungsversuch ein warnendes Beispiel. Er zeigt drastisch, welche Folgen die schlechte Absicherung haben kann. Die Elektronikhersteller vernetzen zwar alles, was zu vernetzten ist, wie die Technik-Show CES in Las Vegas im Moment zeigt. Da gibt es smarte Lampen und Türschlösser, Babyphones und Glukosemonitore, ja selbst die „weltweit erste intelligente Haarbürste“. Und natürlich die vernetzten Fernseher und Musikanlagen.
Mit der IT-Sicherheit beschäftigen sich viele Hersteller aber häufig nur nachlässig. So werden zahlreiche Geräte mit Standardpasswörtern ausgeliefert, die Angreifer oft im Internet finden können. Sicherheitsupdates sind keine Selbstverständlichkeit. Und das schwierige Thema Verschlüsselung beherrschen viele Unternehmen erst recht nicht. Ein Beispiel: Nach einer Analyse der österreichischen Firma SEC Consult verwenden Millionen von Geräte ein- und denselben Sicherheitsschlüssel, der sogar online auffindbar ist.
Das ist doppelt gefährlich. Zum einen für die Nutzer selbst: Mit einer WLAN-gesteuerten Glühbirne können Angreifer zwar vielleicht wenig Schaden anrichten, aber wenn sie darüber ins Netzwerk gelangen, verschaffen sie sich schnell Zugriff auf Smartphones oder Notebooks. Zum anderen wächst das Risiko für die Allgemeinheit: Kriminelle können die Rechenleistung zahlreicher vernetzter Geräte zu einem schlagkräftigen Netzwerk kombinieren und so beispielsweise Server überlasten – so wie im Oktober, als zahlreiche bekannte Portale nach einem sogenannten DDOS-Angriff stundenlang nicht erreichbar waren.
Cauthon und seine Frau werden so schnell nicht mehr dubiose Apps installieren, was wohl der beste Schutz gegen Betrug ist. Zuschauer können sich mit weiteren Maßnahmen rüsten. Symantec-Experte Wüest rät zum Beispiel, ein separates WLAN-Netzwerk für Gäste einzurichten und den Fernseher darin anzumelden – so können Angreifer das Gerät nicht als Einfallstor ins Heimnetzwerk nutzen. Außerdem wichtig: Die automatische Updatefunktion einschalten, um Sicherheitslücken zu schließen.
Zudem hat ein Tipp auch dann Gültigkeit, wenn es um den Fernseher geht: Anwender sollten für jedes einzelne Nutzerkonto starke und einzigartige Passwörter verwenden. Wenn sich Hacker auf den Fernseher Zugriff verschaffen und beispielsweise die Zugangsdaten zur Online-Videothek stehlen, können sie wenigstens nicht auch die E-Mails lesen oder im Online-Shop bestellen. „Wenn die Daten verloren gehen, ist es nicht ganz so schlimm“, sagt Wüest.
Für Darren Cauthon ist der Fall glimpflich ausgegangen. Ganz verraucht ist der Ärger noch nicht. „Ich bin sauer darüber, dass LG Android auf dem Fernseher installiert hat“, schrieb er dem Handelsblatt. Denn all das, was mit dem Betriebssystem zu tun habe, funktioniere nicht gut, was die Sicherheitslücke zeige. Was der Programmierer als Lehre aus dem Vorfall zieht, sollten sich alle Hersteller genau anhören: „Dieser Fernseher sollte an erster Stelle ein Fernseher sein“ – und erst an zweiter Stelle ein Computer.
