Der Schreck saß den verdutzten Eltern noch lange in den Gliedern: Aus dem Babyphon, aus dem sonst nur die glucksenden, zufriedenen Geräusche des schlafenden Nachwuchses drangen, krakeelte plötzlich eine fremde Stimme und beschimpfte die Erziehungsberechtigten unflätig und nannte sie „unverantwortlich“. Nachdem sie das Babyphon ans Internet gekoppelt hatten, waren die beiden davon ausgegangen, dass der im Werk eingestellte Zugangscode (das beliebte 1234) völlig ausreicht. Der schimpfende Hacker bewies ihnen das Gegenteil, beließ es aber bei der lautstarken Ermahnung, endlich sichere Passwörter zu vergeben.
Solche Fälle werden sich in Zukunft häufen. „Mehr Bequemlichkeit mit Smart Home“ so die vollmundigen Versprechen der Hersteller: Waschmaschine und Heizung, Bügeleisen und Fernseher, Rollläden und Herd, Toaster und Dusche – sie alle werden „smart“, also intelligent. Und das bedeutet: Sie sind von außen steuerbar, per APP im Handy oder per Schaltzentrale im Haus. Das mag zur Bequemlichkeit beitragen, in puncto Datenschutz ist das „Internet der Dinge“ (englisch: Internet of things, abgekürzt IoT) allerdings schlicht ein Alptraum. Denn wie das Babyphon in unserem Beispiel müssen diese Geräte an das Web angeschlossen sein, um sie vom Handy oder vom Rechner aus bedienen zu können. Und damit bieten sich viele neue Angriffsflächen – weder die eigene Dusche noch die Webcam im Garten noch die Notrufanlage von Oma ist vor Hackern sicher.
Der Prozess wird fortschreiten. Telekom-Vorstand Reinhard Clemens sagte, dass das IoT “ganze Branchen umkrempeln” werde. Innerhalb von nur 20 Monaten habe sich die Anzahl von Unternehmen, die an Lösungen für das Internet der Dinge arbeiten, verdreifacht. Mittlerweile seien es laut Clemens bereits mehr als 2.000 IoT-Anbieter.
Um die Sicherheit der vernetzten Haushaltsgeräte ist es allerdings teilweise haarsträubend schlecht bestellt. Das Institut AV-Test etwa unterzog unter anderem sieben Smart-Home-Starterkits einer umfassenden Untersuchung. Nur drei der Sets sind gegen Angriffe gut gesichert, der Rest ist kaum geschützt. Bei drei getesteten Fitnesstrackern und Smart Watches addierten sich die Risikopunkte sogar auf 7 bis 8 von möglichen 10. Die Produkte ließen sich relativ leicht verfolgen, nutzten kaum Authentifizierungs- und Manipulationsschutz, der Code der Apps werde ungenügend verschleiert. Das ist besonders fatal, weil die Tracker bei der Aufzeichnung persönliche und somit sensible Daten aufzeichnen. „Einige Hersteller machen weiterhin herbe Fehler“, kritisiert AV-Test.
Damit nicht genug: Sicherheitsexperten berichten, dass sie 12 von 16 untersuchten Bluetooth-Schlössern, die den Zugang zu den „smarten“ Geräten regeln, über die Funkschnittstelle knacken konnten. Alle Komponenten, die Zugriff auf das Internet haben, seien potenziell angreifbar. Schon 2014 kam der Hardwarehersteller HP bei einer Untersuchung zu dem Ergebnis, dass 70 Prozent der am weitesten verbreiteten smarten Geräte erhebliche Sicherheitslücken aufweisen. Unsicheres Passwortmanagement, schwache Verschlüsselung und fehlender Zugangsschutz waren nur einige Schwachpunkte, die sich im Durchschnitt auf 25 Lücken pro Gerät summierten.
Es müssen auch nicht immer Hacker sein, die das Radio oder die Heizung kapern. Für Unternehmen sind die Daten Gold wert: Hersteller von Smart-TVs protokollieren die Sehgewohnheiten ihrer Kunden, die Daten lassen sich gewinnbringend verwenden. Abgesehen davon, dass heute Softwarehersteller alles auslesen können, was der Anwender mit dem Programm so tut. Sogar Autos zeichnen auf, wohin der Fahrer fährt, auch das ist eine Datenfülle von unschätzbarem Wert. Die Liste lässt sich beliebig fortsetzen.
Die vielen zufällig zutage getretenen Sicherheitslücken von smarten Geräten lassen augenblicklich nur den einen Schluss zu: IoT-Geräte sind potenziell gefährdet, zumal viele Hardwarehersteller und Serviceanbieter dem Thema Sicherheit ganz offenbar nicht die erforderliche Priorität einräumen. Kommentar von PCDoktor.de: Der Prozess wird kaum aufzuhalten sein. Deshalb ist es gut, dass die Fehler jetzt passieren. Solange die Sicherheit so lax gehandhabt wird, sollten Sie so wenige Geräte wie möglich direkt ans Netz anschließen. Und wenn das nicht vermeidbar ist, lassen Sie Fachleute für die Sicherheit sorgen.