Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Selbsttest zur Datensicherheit Wie ich in Ihr Wohnzimmer schaute

Angriffe wie der auf die Telekom-Router im Dezember offenbaren die Schwachstellen der vernetzten Welt. Harmlose Gegenstände werden zur Waffe von Kriminellen. Verbraucher und Verkäufer sind oft ahnungslos. Ein Selbsttest.
1 Kommentar

Wie sicher ist Ihre WLAN-Kamera?

Düsseldorf Als ich das Video sehe, fühle ich mich wie ein Krimineller. Fast ein wenig beschämt. Vor mir zeigt ein Live-Bild einen Wohnungsflur irgendwo in Deutschland. Ich sehe Jacken im Schrank, einen Spiegel und ein Gemälde an der Wand. Die Bewohner wissen nicht, dass ein völlig Fremder gerade in ihre Privatsphäre eingedrungen ist. Dabei war das gar nicht schwer. Gereicht hat der Begriff „IP-Cam“ im Suchfeld einer speziellen Suchmaschine und ein Klick auf eins der Suchergebnisse.

Der Wohnungsflur ist nicht das einzige, was ich finde. Ich schaue in Gärten, auf Garagen oder in die Liefereinfahrt eines Geschäftes. Die Suchmaschine listet Geräte auf, die mit dem Netz verbunden sind. Einige davon sind nicht passwortgeschützt und so für jeden zugänglich. Das ist nicht nur gefährlich für die Besitzer. Die IP-Kamera, die da so harmlos den Flur überwacht, ist in den falschen Händen eine Waffe – weil sie mit dem Internet verbunden ist.

Smart Home heißt die Technik, die Verbrauchern das Leben erleichtern soll. Eben mal schnell die Wohnung via Handy-Befehl aufheizen oder die lieben Kleinen per Video-Babyfon im Auge behalten. Schöne, neue, vernetzte Welt. Doch es lauern Gefahren: Das zeigte zuletzt der Angriff auf die Router der Deutschen Telekom im Dezember. Dessen Ziel war nicht, die Besitzer auszuspähen, sondern die Mini-Computer für ihre Zwecke zu missbrauchen. Die Hacker wollten Schadsoftware einschleusen, mit deren Hilfe sie die Router hätten fernsteuern können. Das ist ihnen in diesem Fall nicht gelungen, die Geräte stürzten ab und der Angriff flog auf. Aber in zig tausend anderen Fällen hat es funktioniert.

Die Kriminellen schließen die Geräte zu einem riesigen Botnetz zusammen: Eine ferngesteuerte Armee, mit der zum Beispiel Webseiten tausendfach angefragt werden, bis sie zusammenbrechen. Experten nennen dies einen Distributed Denial of Service (DDos)-Angriff.

Die Attacke lenkte den Blick auf ein unterschätztes Problem: Beim PC und Laptop sind sich Nutzer meist über die Gefahren von Viren und Hackern bewusst. Bei Router, Babyfon oder Kamera eher nicht. Auch Steffen Wendzel, Professor für IT-Sicherheit und Mitarbeiter des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie, hält die Aufmerksamkeit für die Gefahr von Botnetzen für das Internet der Dinge für zu gering: „Mithilfe solcher Botnetze können nicht nur Unternehmen geschädigt werden, sondern eine massenhafte Überwachung von Personen – am Arbeitsplatz, Unterwegs und zu Hause – und Schädigung von Infrastruktur erreicht werden." Nach der Router-Attacke forderten viele Experten deshalb nicht nur die Hersteller auf, nachzubessern. Auch die Verbraucher sollen sich genauer informieren.

Ich bin einer dieser Verbraucher. Und ich möchte wissen, wie einfach es ist, mich über die Sicherheit von vernetzten Geräten zu informieren. Also schlüpfe ich in die Rolle eines Kunden mit Smart-Home-Ambitionen. Damit bin ich Vorreiter: Gerade einmal drei Prozent der deutschen Haushalt nutzen eine smarte Heizungssteuerung, wie die Gesellschaft für Unterhaltungselektronik (GFU) ermittelte. Laut einer Statista-Umfrage sind aber 21 Prozent sehr an Smart Home interessiert, immerhin 39 Prozent zeigen sich interessiert.

Auf meiner Einkaufsliste steht an erster Stelle die sogenannte IP-Cam. Mit der kann ich von unterwegs checken, was da so in meinem Zuhause vor sich geht. Praktisch, ich würde nämlich gerne wissen, was meine Katze so treibt, wenn keiner daheim ist. Ich schaue mich auf der Internetseite eines großen Elektronikhändlers um und entdecke mehrere Angebote in unterschiedlichen Preislagen. Über die Sicherheitsvorkehrungen wie etwa Passwortschutz erfahre ich erst einmal nichts, ich schreibe also dem Kundendienst. Der antwortet: Die WPA-Verschlüsselung sichere die Wlan-Verbindung ab, über Netzwerkkabel könne der Webserver der Kamera über Passwörter gesichert werden. Aber: „Die Sicherheit ist nicht von der Kamera, sondern vom Router und dessen Einstellung abhängig.“

Wie Sie Ihren Router absichern

Ähnliches höre ich, als ich in einem Elektronikmarkt nach Babyfonen mit Videooption Ausschau halte. Eigentlich braucht es das nicht, aber um das Ganze glaubhaft zu machen, begleiten mich eine Freundin und ihr neun Monate alter Sohn. Wir finden mehrere Modelle. Die Verpackung verrät mir, dass das Modell eine „private und sichere Verbindung“ biete. Der Verkäufer kann mir dazu auch nicht mehr sagen.

Nur: Reicht das? Ganz so einfach ist es nicht, sagt Stefan Ortloff, Sicherheitsexperte beim Sicherheitsdienstleister Kaspersky: „Es ist richtig, dass Router den Zugang absichern.“ Die Geräte dahinter lägen im privaten Netz. „Das ist getrennt vom öffentlichen Internet und funktioniert wie eine Einbahnstraße – also nur von innen nach außen.“ Doch wenn ein Gerät zum Beispiel von außen erreichbar sein soll, muss eine sogenannte Portfreigabe erteilt werden. Der Router leitet dann Anfragen von außen gezielt an ein bestimmtes Gerät weiter – durch die Firewall. „Da muss man sich schon ein bisschen mit beschäftigen, um das vorzunehmen“, erklärt Ortloff.

Einfacher ist die Universal Plug and Play (UPnP) Funktion am Router: Ist die am Router aktiviert, können die Geräte diese Portfreigabe selbst vornehmen und sich auch untereinander vernetzen. Das ist praktisch, führt aber auch dazu, dass die Geräte auch für Fremde erreichbar sind und dass das Heimnetz angreifbar gemacht werden kann.“ Ortloff rät daher zur Deaktivierung von UPnP.

Wie aus einem harmlosen Gegenstand wie einem Babyfon eine Waffe werden kann, zeigt der Angriff eines Botnetzes im Oktober 2016. Mithilfe auch von gekaperten Babyfonen und IP-Kameras sorgten Hacker dafür, dass Seiten wie Netflix oder Spotify stundenlang nicht erreichbar waren.

Wichtig ist daher ein Passwort: Doch der Nutzer muss schauen, ob das Gerät diese Funktion überhaupt bietet und er das vom Unternehmen vorgegebene Passwort ändern kann. Denn genau da lauert ein weiteres Einfallstor für Hacker. Die Schadsoftware kann oft auf Standard-Benutzernamen, Passwörter oder auf bekannte Schwachstellen programmiert werden, erklärt Steffen Wendzel: „Mithilfe einer Suchmaschine wird gezielt nach Geräten und Typennummern gesucht – dann versucht sich die Schadsoftware aufzuschalten.“

Von Kundendienst und Verkäufer habe ich nicht so viel erfahren. Einen Vorwurf könne man ihnen da allerdings nicht machen, meint Ortloff: „Das Angebot ist ziemlich umfassend. Anbieter und Hersteller müssen ihre Angestellten viel besser schulen.“ Na gut, dann frage ich doch direkt einmal bei den Herstellern an. Bei den Webcams entscheide ich mich für eine IP-Kamera von Edimax für knapp 47 Euro, ein Modell von Abus für rund 130 und eins von D-Link für circa 219 Euro. Dieses Mal richte ich die Anfrage allerdings direkt an den Hersteller – als Journalist an die Pressestelle.

Was die Hersteller sagen

So wehren Sie Angriffe auf Ihr vernetztes Heim ab
Kinderspiel
1 von 15

Die vernetzte Videokamera im Kinderzimmer: für jedermann aus dem Internet erreichbar. Mehr als ein PC mit Internetzugang und ein wenig Wissen über spezialisierte Online-Suchmaschinen wie Shodan, Thingful oder Censys sind nicht nötig, schreibt die „Wirtschaftswoche“, und Heerscharen ungesicherter Webcams eröffnen genaue Einsichten in deutsche Kinderzimmer, Wohnstuben oder Gärten.

(Foto: dpa)
Wachstumsmarkt Heimvernetzung
2 von 15

Bis 2020 sollen sich die Umsätze für Smart-Home-Technik laut einer Prognose von Statista in Deutschland auf rund acht Milliarden Euro summieren – bei Wachstumsraten von 40 Prozent pro Jahr. Möglichkeiten, sich ins vernetzte Heim zu hacken, gibt es also mehr als genug. Das reicht von ungeschützten Smartphone-Apps über schlecht gesicherte Verbindungen zwischen Handy und Smart-Home-Zentrale bis zu Schwachstellen in den Onlineportalen der Anbieter.

(Foto: dpa)
Gefahr: Billigtechnik
3 von 15

Eine Nebenwirkung des Trends zum Internet der Dinge: die unfreiwillige Offenheit vieler Bundesbürger, die ihr Zuhause zunehmend vernetzen und ihre Häuser und Wohnungen immer häufiger mit Billigtechnik hochrüsten. Ein Risiko, denn gerade diese ist erschreckend oft, das hat ein Test der „Wirtschaftswoche“ ergeben, schlecht gegen Späher oder Hacker aus dem Netz gesichert.

(Foto: dpa)
Kaum IT-Erfahrung
4 von 15

So finden sich immer wieder Lücken bei der Verschlüsselung von Passwörtern, bei der Authentifizierung von Zugriffen über das Internet oder Manipulationsmöglichkeiten durch Angreifer von außen. Je billiger die Technik, desto mehr Menschen ohne große IT-Erfahrung schaffen sich so angreifbare Schwachstellen, weil sie kaum in der Lage sind, Webcams oder Temperatursensoren mit sicheren Passwörtern oder einer integrierten Firewall zu schützen.

(Foto: dpa)
Unter der Lupe
5 von 15

Für den Test der „Wirtschaftswoche“ haben Experten des internationalen IT-Sicherheitsdienstleisters SEC Consult mit Sitz in Wien die Systeme der wichtigsten Anbieter im deutschen Markt unter die Lupe genommen. Im Check: die Angebote von Devolo, Digitalstrom, eQ-3, Gigaset, RWE und die von der Deutschen Telekom betriebene Qivicon-Plattform. Die Ergebnisse im Überblick.

(Foto: obs/Accor Hotellerie Deutschland GmbH)
Devolo Home Control
6 von 15

Konzept: Cloud-gestützte Plattform, die rund zehn unterschiedliche Mess- und Steuermodule per Funk vernetzt.
Preis: ab 220 Euro.
Beanstandung: Passwort in App bei Gebrauch unverschlüsselt. Wer vermeiden will, dass Finder oder Diebe des Smartphones das vernetzte Heim ausforschen, muss sich bei Devolo nach Gebrauch der App wieder ausloggen und das Handy mit einem Passwortschutz sichern. Auf Anfrage erklärte das Unternehmen gegenüber der „Wirtschaftswoche“, man überprüfe das Sicherheitskonzept, halte den Schutz aber schon jetzt für ausreichend.
(Quelle: PR)

digitalstrom_28_klein(1)
7 von 15

(Quelle: PR)

D-Link antwortet und spricht unter anderem von marktübliche Sicherheitsstandards bei dem entsprechenden Modell und „eine Vielzahl von Technologien und Verfahren, um erwünschte Zugriffe von außen zu unterbinden.“ Der Nutzer könne zum Beispiel auch eine Liste von erlaubten IP-Adressen zum Zugriff auf die Kamera definieren. Zudem verweist man auf den deutschsprachigen Telefon- und Email-Support, der zum Thema Sicherheit den Kunden zur Verfügung stünde. Informationen über Updates erhält der Nutzer über automatische Benachrichtigungen bzw. Upgrades über die App, ein Portal und als Download auf der Supportseite.

Auch der Hersteller Edimax antwortet Ähnliches und verweist auf die Information für Benutzer in der Schnellinstallationsanleitung und dem Benutzerhandbuch. Beide Hersteller bieten ein änderbares Passwort. Auch Abus bietet zum Beispiel eine Pin-geschützte App, eine Passwort-geschützte Verbindung zwischen App und Kamera und verschlüsselten Funk, so die Antwort des Herstellers. Voraussetzung für ein Firmware-Update sei die Nutzung einer Micro-SD Karte, die allerdings im Normalbetrieb der Kamera verwendet werde. Updates werden dann automatisch heruntergeladen und der Nutzer erhält eine Benachrichtigung. Das hört sich sicher an. Doch warum finde ich das nicht auf der Verpackung?

Auf der fehlen aktuell spezielle Hinweise, teilt Abus mit. Man denke aber darüber nach, in Zukunft auf der Verpackung auf die Schutzmechanismen der Kamera hinzuweisen. Für Verbraucher wäre das ein Anhaltspunkt. Denn Informationen zur Datensicherheit finden sich häufig gar nicht erst auf den Verpackungen – ein erhebliches Manko, meint auch IT-Experte Wendzel: „Man kann nicht die ganze Verantwortung auf den Verbraucher abwälzen – schließlich ist der meist kein Tech-Experte.“

Und auch wenn die Anbieter Sicherheit versprechen, ist bei den vernetzten Geräten Vorsicht geboten. So zeigte eine Untersuchung der SEC Consult Deutschland, dass Millionen solcher Geräte weltweit ein und denselben Sicherheitsschlüssel verwenden und über kritische Schwachstellen verfügen. In den Vereinigten Staaten ist es die US-Handelskommission Federal Trade Commission (FTC), die sich mit Herstellern anlegt. Aktuell wirft sie dem Hersteller D-Link vor, seine Router und IP-Kameras nicht ausreichend genug abzusichern – und hat Klage eingereicht. Ein ähnliches Verfahren hatte die FTC schon 2016 gegen Asus angestrengt. D-Link weist die Vorwürfe zurück.

Meine nächste Einkaufstour führt mich zu einem weiteren Elektronikhändler: Mit meiner „Freundin“ suche ich nach einer neuen Küche. Natürlich am liebsten vernetzt: Ich finde einen Backofen von Siemens, der mit der App Home Connect gesteuert werden kann. Auch Geräte der Marke Bosch sind damit zum Beispiel kompatibel. Amazons Sprachassistent Alexa soll laut Unternehmensangaben integriert werden. Eine ähnliche Lösung bietet auch die Plattform Qivicon.

Der Verkäufer ist freundlich und erklärt uns die Funktionsweise, bei der Sicherheit ist er allerdings auch überfragt. Ich schaue im Internet nach: Die App informiert über ihre Maßnahmen zur Datensicherheit – und die ist vom österreichischen TÜV geprüft. Das Problem mit der App: Nur Geräte, die mit Home Connect kompatibel sind, können damit verwendet werden. Habe ich beispielsweise den Herd einer anderen Marke zuhause, wird es schwierig.

Was Kunden Orientierung bieten kann

So funktionieren professionelle Angriffe im Netz
Sensible Ziele
1 von 11

Strom- und Telekommunikationsnetze zählen zu den kritischen Infrastrukturen, die, so heißt es in einem aktuellen Bericht der VDI-Nachrichten, immer häufiger Ziel von Hackerattacken sind. Erst kürzlich ließ ein Vorfall in der Ukraine die Experten aufhorchen…

(Foto: obs/Accor Hotellerie Deutschland GmbH)
Malware-Angriffe
2 von 11

So geht der große Stromausfall, der die Hälfte aller Haushalte in der Region um die Stadt Ivano-Frankivsk betraf, auf einen Malware-Angriff zurück. Die Schadsoftware gelangte dabei durch infizierte Makro-Funktionen in Microsoft-Office-Dokumenten in das Betreibernetz. Ein Angriff, der in die Geschichte eingeht - als erster Stromausfall, der durch eine Cyberattacke ausgelöst wurde.

(Foto: dapd)
Angreifer rüsten auf
3 von 11

Den Angreifern stehen immer stärkere Cyberwaffen zur Verfügung und neben Einrichtungen aus der Strom- und Telekommunikationsbranche werden, da sind sich Fachleute einig, auch Industrieanlagen künftig noch stärker zum Ziel werden.

(Foto: dpa)
Laxe Sicherheitsvorgaben
4 von 11

Marcel Mock, Mitgründer des Sicherheitsanbieters Totemo, kritisiert im Gespräch mit den VDI-Nachrichten, dass es den Betrieben grundsätzlich nach am Bewusstsein fehle, dass auch von Datenzugriffen innerhalb des Unternehmens Risiken ausgehen. Auch schwache Passwörter oder gemeinsam genutzte Accounts würden den Abfluss schützenswerter Daten in dunkle Kanäle begünstigen.

(Foto: dpa)
Unsichtbare Schadsoftware
5 von 11

Verstärkt setzen die Angreifer auf speicherresistente und dateilose Malware, um die Spuren, die sie in einem System hinterlassen, zu reduzieren. So wird Schadsoftware als Datei gar nicht mehr sichtbar und versucht, sich unlöschbar im Speicher festzusetzen - dagegen hat die Antivirus-Software kaum eine Chance.

(Foto: dpa)
Industrie 4.0
6 von 11

Große Gefahren sehen Experten in der wachsenden Automatisierung in der Industrie und der steigenden Vernetzung von Maschinen. So bemängelt beispielsweise der Tüv Rheinland, dass die in solchen Industrienetzwerken verwendeten Protokolle zwar robust, aber häufig nicht sicher seien. Dazu kommen Sicherheitsmängel der eingesetzten Sensoren - für die Industrie 4.0 könnte das, so die VDI-Nachrichten, zur Achillesferse werden.

(Foto: dpa)
Ransomware
7 von 11

Auch Ransomware, das erwarten Sicherheitsvorscher von Kaspersky, wird für das Internet der Dinge auftauchen. Dabei wird eine Schadware so installiert, dass ein Zugriff oder die Nutzung von Systemen nur mit einer Entschlüsselung oder einem Freigabecode möglich ist - dem folgen klassischerweise Lösegeldforderungen mit angedrohten Abschaltungen von Maschinen.

(Foto: dpa)

Eine Prüfung durch eine externe Stelle gibt Kunden Orientierung, sagt Dennis Schröder, IT-Sicherheitsexperte bei TÜV IT, der in der Vergangenheit zum Beispiel die Smart-Home-Lösung von Innogy auf Sicherheitsschwachstellen überprüfte: „Wir untersuchen Prüfgegenstände entweder im Rahmen einer Zertifizierung oder eines Gütesiegels.“ Der Unterschied: Bei einer Zertifizierung testet ein akkreditiertes Prüflabor alle Kriterien der Datensicherheit, anschließend werden diese Ergebnisse sowie die Einhaltung des Zertifizierungsverfahrens von einer unabhängigen Zertifizierungsstelle bestätigt. Bei der Vergabe eines Gütesiegels wird auf das doppelte Vier-Augen-Prinzip verzichtet. In dem Fall ist allein das Prüflabor zuständig.

Doch wie informiere ich mich als Kunde, wenn Anfragen bei Händlern und die Verpackung erst einmal nicht weiterhelfen? „Wer sich für ein Smart Home oder vernetzte Geräte interessiert, sollte es ernst nehmen und sich Zeit nehmen“, sagt Stefan Ortloff von Kaspersky. Das meint auch Dennis Schröder von TÜV IT. Dabei helfe nicht nur die Suche nach Sicherheitszertifikaten und Gütesiegeln: „Es gibt Indizien, wie ernst es ein Hersteller oder Betreiber mit der Sicherheit nimmt.“

Gibt es zum Beispiel eine Meldestelle für Sicherheitsvorfälle, wie oft werden Softwareupdates zur Verfügung gestellt und werden regelmäßig Penetrationstests durchgeführt? „Das sind Tests, in denen diverse Prüfgegenstände wie Geräte auf ihre Sicherheitsschwachstellen geprüft werden“, sagt Schröder.

Was kann sonst noch helfen? Experten des Chaos Computer Clubs wollen eine Mindesthaltbarkeitsangabe für vernetzte Produkte, wie lange also Sicherheitsupdates zur Verfügung stehen. Auch Steffen Wendzel vom Fraunhofer-Institut weist auf die Verderblichkeit von Software hin, denn Hacker gehen gezielt auf die Suche nach Sicherheitslücken: „Was jetzt noch aktuell ist, kann in einem Jahr schon völlig überholt sein. Hersteller müssen deshalb transparenter informieren, wie lange Updates vorhalten.“ Es bleibt also dabei: Der Verbraucher muss in Vorleistung treten – auch wenn das nicht einfach ist. Immer noch besser aber als seinen Inneneinrichtungsvorlieben mit der Welt zu teilen.

Startseite

Mehr zu: Selbsttest zur Datensicherheit - Wie ich in Ihr Wohnzimmer schaute

1 Kommentar zu "Selbsttest zur Datensicherheit: Wie ich in Ihr Wohnzimmer schaute"

Das Kommentieren dieses Artikels wurde deaktiviert.

  • "Herr Fritz Porters - 18.11.2016, 11:43 Uhr

    @ Herr Hoffmann

    ich habe nicht diesen enormen politischen Sachverstand wie Sie, aber die von Ihnen beschriebene "Grünen-Sozialistischen Vernichtungspolitik".... ist das sowas wie ein "Gemüseauflauf"? :-D
    Herrlich, die Kommentare sind echt Comedy... einige Artikel im HB sind echt besorgniserregend, aber die Kommentare können einem das Lachen zurückzaubern. Danke ...muss weiter arbeiten...aber nachher schaue ich noch mal in die Kommentare...will doch auch später noch was zu schmunzeln haben..."

    "Herr Fritz Porters23.12.2016, 12:25 Uhr
    Liebe komödiantische Kommentatorengemeinde,

    es ist mal wieder ein Fest wie lustig hier kommentiert wird ...was wäre mein Tag ohne diese wunderbaren Geistesblitze, die hier gepostet werden. Herrlich :-)"


    @Porters

    VIELEN DANK Herr Porters,
    es ist wirklich ein immenser Zeitaufwand, von morgens bis abends zu jedem Artikel so witzige Kommentare zu schreiben.
    Bei manchen Artikeln sogar mehrere.
    Schön das Sie das zu schätzen wissen.

    Aber die Ehre gebührt nicht mir alleine. An den Comedy-Kommentaren sind noch weitere Leute beteiligt die auch gewürdigt sein wollen:
    Paff, von Horn, Vinci Queri, Delli, Bollmohr, Caruso, Mücke, Eibel,Ebsel,Grande, Dirnberger,Trautmann....

    ohne sie wäre ich hier sehr einsam !

    Aber besonders erwähnen möchte einen, der wirklich den ganzen Tag, und damit meine ich von morgens bis abends, aber auch wirklich jeden Artikel kommentiert (er ist fleisiger als ich), und auch die meisten Artikel mehrmals kommentiert.....

    das ist unser geliebter

    SPIEGEL

    Danke

Serviceangebote