Cyberkriminelle feiern mit

Gefährliche Geschenke unterm Weihnachtsbaum

14. Dezember 2020, 13:16 Uhr | Kathrin Veigel

Elektronische Geräte, wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik, sind beliebte Weihnachtsgeschenke - und oft voller Sicherheitslücken.

Zu Weihnachten verschenken die Deutschen gerne technische Gadgets. Was vielen aber nicht bewusst ist: Diese Produkte weisen zahllose Sicherheitslücken auf, die Angreifer nutzen, um auf private Netzwerke zuzugreifen, Daten zu stehlen oder gekaperte Geräte in ihre Botnets einzugliedern.

Auch in diesem Jahr werden wieder viele technische Geräte wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum liegen. Die Security-Experten von IoT Inspector haben das zum Anlass genommen, beliebte Artikel namhafter Hersteller (unter anderem aus den USA und Deutschland) genauer unter die Lupe zu nehmen. Das erschreckende Ergebnis: Insgesamt über 7.000 Schwachstellen haben sie gefunden!

Dabei kam in den meisten Fällen veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die die Experten an die Hersteller gemeldet haben.

Einfallstore für Cyberkriminelle

Außerdem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden. Bei vielen Geräten wurden nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten: So nutzten die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle sind damit in der Lage, den Datenverkehr umzuleiten und Malware in die Geräte einzuschleusen.

Bei einigen Geräten wurde auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann so das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Das alles sind typische Gründe, weshalb die Schwachstellen von IoT-Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.

Diese Geräte wurden überprüft

Die Security-Experten von IoT Inspector legten bei der Auswahl der zu untersuchenden Geräte großen Wert darauf, nicht nur No-Name-Billigprodukte zu berücksichtigen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern. Folgende Gadgets wurden geprüft:

Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
Als »sicher« beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
Smart-Home-Kamerasystem eines großen US-amerikanischen Unternehmens: 1.242 Schwachstellen
Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
Mit »größter Datensicherheit« beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

Die Forderung der Experten, insbesondere an die Hersteller von IoT-Geräten gerichtet, ist daher klar: Die Sicherheit von Geräten muss unbedingt von Anfang an mitbedacht und konsequent umgesetzt werden.

Tipps zum sicheren Umgang mit Elektronikgeräten

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer von technischen Geräten folgende Tipps beherzigen:

Prüfen, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
Prüfen, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
Sofort das Passwort ändern, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
Herausfinden, wie viele persönliche Informationen und Daten man einem Gerät zur Verfügung stellt. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Haus, Familie, Kindern auf. Hinterfragen, ob ein Gerät wirklich all diese Informationen benötigt.
Sich der Angriffsfläche bewusst sein. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.