Das Internet der unsicheren Dinge

Autor: Stefan Hager / Erstveröffentlichung 2016

Das Internet der unsicheren Dinge

Der Wissenschaftler Dean Burnett hat einmal getwittert: “Gestern Abend hat mich mein Kumpel gefragt, ob er meinen USB-Port zum Laden seiner Zigarette benutzen kann, aber ich hab den gerade zum Laden meines Buchs verwendet. …die Zukunft ist doof.”

Ein Blick auf die Produkte des “Internet of Things” (IoT) scheint die These von Burnett zu bestätigen.
Cybersicherheitsexperten werden nicht müde, auf die Gefahren aus der IoT-Welt hinzuweisen; viele Geräte wurden nicht mit Blick auf Datensicherheit konzipiert oder entwickelt, sondern auf die Ausführung einfacher, bestimmter Funktionen. Sicherheitsprobleme mit IoT-Devices im Verbrauchermarkt ergeben sich, da ein Zugriff auf die Devices oder ein Kopieren der gesammelten Daten für Unbefugten relativ einfach möglich ist. Das ist allerdings nicht der einzige Kritikpunkt.

Geräte, die sich selbst nicht gegen Unbefugte schützen, können eben mit wenig Aufwand mißbraucht werden. Das Lizard Stresser — Botnet setzt sich zum Beispiel aus IoT-Geräten zusammen, hauptsächlich aus Webcams, und kommt laut Arbor Networks (Hersteller von Anti-DDoS-Appliances) auf bis zu 400 GB Bandbreite für einen Angriff; das ist eine sehr beachtliche Größe, die nahezu jedes Netzwerk lahm legen wird, welches nicht explizit Schutzmaßnahmen gegen DDoS-Angriffe ergriffen hat.
Häufig lassen sich IoT-Geräte leicht und ohne großen Aufwand von Kriminellen übernehmen, weil die Defaultpasswörter nach dem Kauf nicht geändert wurden, oder nicht änderbar sind. Natürlich gibt es auch Geräte, welche die erhobenen Daten — Kamerabilder, Geolokationen, Schlafmuster — für den Benutzer aufbereitet in der Cloud anbieten. Meistens bedeutet das einfach, dass die Daten auf einem Server des Geräteherstellers abgelegt werden, und das wiederum heißt, dass dieser vermutlich vollen Zugriff auf die Daten des Benutzers hat.

Natürlich ist lange nicht jede Neuerscheinung und Innovation im Bereich IoT eine Gefahr; vielleicht auch, weil sich nicht alle smarten Dinge so gut verkaufen, wie die Erfinder das vielleicht glauben. Oder haben Sie einen Egg Minder daheim? Der Egg Minder ist ein smartes Gerät mit einer einzigen Aufgabe: er weiß, wie viele Eier Sie noch im Kühlschrank haben und, wenn Sie die Infos bereitgestellt haben, wie lange diese noch haltbar sind.

Steve Lord, Veranstalter der Sicherheitskonferenz “44Con” meinte dazu: “Der Egg Minder ist ein Gerät, welches so smart ist, dass selbst die Erfinder keinen Use Case dafür finden konnten.”

Die Eier kann man dann prima auf einem Smart Teller servieren, der “mit Hilfe von Wissenschaft” und drei Kameras automatisch analysieren soll, welche Zutaten in einem Essen sind, wie viele Kalorien es hat, und ob Sie zu schnell essen. Wie das funktioniert? Mit Hilfe von Wissenschaft und smart, natürlich.

Zwischendurch gibt der Teller Hinweise und Vorschläge, wie zum Beispiel den weißen Reis durch braunen zu ersetzen oder langsamer zu essen. Vielleicht ist hierbei das größte Risiko, Geld für unnötige Ratschläge ausgegeben zu haben.
Reale Gefahren ergeben sich bestimmt eher aus den Geräten, die einen sinnvollen Nutzen haben, wie zum Beispiel Smart Watches oder Fitnesstracker. Chen Wang und Kollegen, Forscher am Stevens Institute of Technology, haben nachgewiesen, dass diese Geräte PINs mitlesen können. Die Sensoren in den Geräten sind so vielfältig und genau, dass über Distanzmessung und kluge Software mit 80% Wahrscheinlichkeit beim ersten Versuch auf die verwendete PIN geschlossen werden kann.

Die Wahrscheinlichkeit erhöht sich auf etwas über 90% bei drei Versuchen bzw. dreimaliger Eingabe.

Wang ist derzeit keine Malware bekannt, welche diese Informationen bereits verwendet. Er empfiehlt als Gegenmaßnahme, die Hand zwischen der Eingabe einzelner Ziffern noch zu anderen Ziffern zu bewegen, ohne diese zu drücken; das senkt eine Erkennungsquote erheblich. Bei dem Versuchsaufbau wurde die Smartwatch an der Hand getragen, mit der auch die PIN eingegeben wurde; da viele Menschen ihre Uhr am nicht-dominanten Handgelenk tragen, sind sie von diesem theoretischen Angriff nicht betroffen.
Fazit:

Um auf die e-Zigarette und das e-Book von Burnett zurück zu kommen — vielleicht wäre ja so eine PowerBank oder ein Ladegerät mit mehreren Ports eine Lösung. Die gibt es sogar häufig öffentlich und kostenlos; allerdings ist es nicht immer nur Strom, der dann ausgetauscht wird, auch die Daten des zu ladenden Geräts können dann frei fließen…