Erkenntnisse der Haunted-House-Studie von Sophos

Tipps für ein sicheres IoT-Heimnetzwerk

„Hacker herzlich willkommen“. Dieser Slogan müsste eigentlich über vielen Eingangstüren in Deutschland prangen. Im Rahmen der Haunted-House-Studie hat Sophos eine Heatmap erstellt, die zeigt, wie viele unsichere IoT-Geräte (Internet of Things) es in Deutschland gibt.

Immer mehr „intelligente“ Geräte ziehen ins Zuhause der Deutschen ein. Gleichzeitig häufen sich die Meldungen, dass derartige Devices von Hackern fremdgesteuert werden und so zum Beispiel für DDoS-Attacken (Distributed denial of service) genutzt werden.

Sophos hat auf der Cebit eine interaktive Studie rund um Hacking- und Cyber-Gefahren im Umfeld des „Internet der Dinge“ (IoT) gestartet. Zusammen mit Koramis legte der Security-Anbieter nun einen Zwischenbericht vor. Eine Deutschlandkarte zeigt, wo überall unsichere IoT-Geräte im Netz hängen (siehe Bildergalerie). Nicht verwunderlich: es sind vor allem die Ballungsräume, die betroffen sind. Das liegt allein schon an der Bevölkerungs- beziehungsweise der Wohnungsdichte. Michael Veit, Security-Spezialist bei Sophos sagte anlässlich des Studien-Startschusses auf der Cebit: „Wir gehen davon aus, dass ein ganzes Haus mit unterschiedlichsten Smart-Komponenten sehr schnell und häufig angegriffen wird.“

Denn Endverbrauchern ist die Gefahr, private Momente mit der ganzen Welt zu teilen, oft gar nicht bewusst. Und bereits eine falsch konfigurierte Webcam reicht, um Hackern Tür und Tor zu öffnen.

Rasanter Anstieg

In der DACH-Region (Deutschland – Österreich – Schweiz) stieg die Anzahl der IoT-Geräte in den vergangenen drei Monaten um 5,2 Prozent. Derzeit befinden sich etwa fünf Prozent der weltweit gefundenen offenen IoT-Geräte in dieser Region. Das ist der dritte Platz hinter den USA, die mit über der Hälfte der gefundenen Systeme Spitzenreiter sind, und Kanada. Länderspezifisch betrachtet rangiert Deutschland auf Platz 7, Österreich auf Platz 12 und die Schweiz auf Platz 14.

Den Einwohnerzahlen entsprechend fanden sich die meisten zugänglichen IoT-Netze in den großen Metropolen der deutschsprachigen Region, doch auch in kleineren Ballungsräumen und selbst in ländlichen Regionen gab es Bewegung. Das zeigt: Während sich Sinn und Zweck von IT-Security-Lösungen bei der Nutzung von PCs, Tablets oder Mobilgeräten bei den meisten Usern herumgesprochen hat, nimmt man es mit der Sicherheit der trendigen IoT-„Spielzeuge“ in vielen Wohnzimmern offenbar gelassen.

Für sicheren Fernzugriff sorgen

„Dass das Internet viele Bereiche unseres Lebens gläserner macht, haben viele Nutzer zugunsten Spaß, Bequemlichkeit und Nützlichkeit akzeptiert. Viele IoT-Geräte führen jedoch zu einem weitaus niedrigeren Level an Datensicherheit und Privatsphäre“, erläutert Veit. „Viele Nutzer machen nicht nur ihre Webcams sondern auch ihre Steuerungssysteme für die Heimautomation inklusive Heizungs-, Rollladen- und Türschlosssteuerung aus dem Internet zugreifbar, um auch aus dem Urlaub zuhause nach dem Rechten sehen zu können.“ Obwohl dieser Fernzugriff auch sicher und verschlüsselt eingerichtet werden könne, verzichten Nutzer aus Unwissenheit oder Bequemlichkeit meist darauf und ermöglichen es damit auch halbwegs Computer-Versierten, sich Zugang zu Webcams in Wohnzimmern und Smart-Home-Kontrollsystemen zu verschaffen.

Auch Anbieter sind in der Pflicht

Aber auch die Hersteller selbst nimmt Veit nicht aus der Verantwortung. Denn Hersteller, die der IT nahe stehen, statten ihre IoT-Geräte zumindest mit den wichtigsten Sicherheitsmaßnahmen wie Datenverschlüsselung und Passwortänderung bei der Inbetriebnahme des Gerätes aus und sorgen für regelmäßige Sicherheitsupdates. Bei vielen IoT-Geräten IT-ferner Anbieter, zum Beispiel bei internetfähigen Videokameras, smarten Kühlschränken oder Heizungssteuerungen, fehle der Sicherheits-Aspekt. Diese bekämen während ihres Lebenszyklus – wenn überhaupt – nur selten Sicherheitsupdates. „Das ist insbesondere dann sicherheitstechnisch kritisch, wenn diese IoT-Geräte bei der Inbetriebnahme umgehend ihre Existenz im Internet bekanntgeben und sich oftmals auch für Fernzugriff erreichbar machen – was Hackern Tür und Tor öffnet.“

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.