Wenn der Thermomix-Klon mithört: Zwei französische Hacker haben kürzlich die von Lidl vertriebene Küchenmaschine Monsieur Cuisine Connect auseinandergenommen – und festgestellt, dass das System auf der veralteten Android-Version 6.0 läuft. Gleich mit verbaut war ein verstecktes Mikrofon. Ein Einzelfall im vernetzten Zuhause? Oder die Regel? ZEIT ONLINE hat mit dem IT-Sicherheitsexperten Michael Steigerwald über die Sicherheit von Smart-Home-Geräten gesprochen.

ZEIT ONLINE: Herr Steigerwald, haben Sie den Thermomix-Klon Monsieur Cuisine Connect in Ihrer Küche stehen?

Michael Steigerwald: Nein, aber ich würde ihn ohne schlechtes Gewissen kaufen und auch benutzen.

ZEIT ONLINE: Echt? Hacker haben kürzlich festgestellt, dass auf dem Gerät alte Software läuft.

Steigerwald: Die Android-Version ist veraltet und das ist bedenklich, keine Frage. Aber dass das Gerät damit automatisch ein leichtes Angriffsziel ist, bezweifle ich. Solange der Hausmann oder die Hausfrau das Gerät zum Kochen benutzt, ist das nicht sonderlich problematisch. Auf alten Smartphones fängt man sich vor allem Trojaner und Viren ein, weil man sich damit auf dubiosen Websites bewegt. Mit dem Thermomix-Klon surft man ja nicht. Hinzu kommt: Die beiden Hacker hatten den Thermomix-Klon im Video vor sich stehen. Einbrecher müssten sich also erst in die Wohnung schleichen und von dort aus manipulieren, das kostet Zeit und ist unwahrscheinlich.

ZEIT ONLINE: Ein geheimes Mikrofon war aber auch noch mit verbaut. Lidl zufolge könnte es mit einem späteren Update aktiviert werden.

Michael Steigerwald ist Geschäftsführer und Mitgründer des Unternehmens vtrust, das sich mit der Sicherheit des Smart Home beschäftigt. © VTRUST

Steigerwald: Das sehe ich wiederum als großes Problem an, denn das Mikro war nicht dokumentiert, was ein massiver Eingriff in die Privatsphäre des Kunden bedeutet. Wenn ich mir smarte Lautsprecher wie Amazon Echo oder Google Home ins Haus stelle, weiß ich, dass die Geräte ein Mikrofon besitzen und sie mir potenziell immer zuhören. Bei einer Küchenmaschine gehe ich nicht davon aus. Es ist aber tatsächlich so, dass in ganz vielen Geräten Mikrofone verbaut sind, ohne dass Sie als Konsument davon etwas wissen, etwa in vielen intelligenten Fernsehern. 

ZEIT ONLINE: Wie schätzen Sie die IT-Sicherheit im Smart Home ein? 

Steigerwald: Grundsätzlich ist die IT-Sicherheit bei vielen Produkten völlig unzureichend und der Markt wird überschwemmt mit unfertigen Geräten. Es herrscht ein extremer Konkurrenzdruck, die meisten Hersteller achten nur auf Funktionalität. Dabei wird häufig die IT-Sicherheit vernachlässigt, weil es teuer ist und Zeit braucht, das Gerät sicher zu bauen. Die meisten Firmen haben meiner Erfahrung nach auch schlicht keine Mitarbeiter, die sich groß mit dem Thema auskennen.

ZEIT ONLINE: Was könnten Angreifer in meinem smarten Zuhause anrichten, wenn ein Gerät ungeschützt ist?

Steigerwald: Die Möglichkeiten sind nahezu unbegrenzt. Kriminelle suchen sich immer den einfachsten Weg in ein Netzwerk. Es gibt zum Beispiel Fälle, in denen sie sich über ungesicherte Smart-Home-Geräte wie Drucker, Kopierer oder Glühbirnen in die Telefonanlage eingewählt und massenweise kostenpflichtige Nummern angerufen haben. Wenn ich mich als Angreifer in ein Gerät hacke, habe ich Zugriff auf das ganze lokale Netzwerk und alle damit verbundenen smarten Geräte. So gelange ich an sensible private Daten, die ich zum Beispiel für Doxing oder zu Werbezwecken missbrauchen kann. Ebenfalls kann ich eine Identität missbrauchen, also etwa im Internet via Filesharing Musik herunterladen. Gehe ich über Ihren Internetanschluss, müssten Sie den Schaden bezahlen. Ich könnte Ihren smarten Toaster auch für ein Botnetz missbrauchen. 

ZEIT ONLINE: Dabei würden Sie meinen Toaster mit Tausenden anderen Geräten verknüpfen und so Websites zum Kollabieren bringen.

Steigerwald: Exakt. Schon im Oktober 2016 gab es eine riesige Attacke mit Smart-Home-Geräten, die die Websites von Twitter, Spotify und vielen weiteren Unternehmen abstürzen ließ. Das war vor zweieinhalb Jahren, mittlerweile gibt es viel mehr vernetzte Geräte, Schätzungen zufolge rund 26 Milliarden weltweit. Da kommt eine unkontrollierbare Gefahr nicht nur auf unsere Häuser zu, sondern auf die ganze Gesellschaft. Es gibt Hackergruppen, die sich auf diese Botnetze spezialisieren und sie als Service anbieten. Angreifer können sich diese Netze dann mieten, also etwa zehn Millionen Toaster für eine halbe Stunde, um damit eine Webseite lahmzulegen. Mit leistungsfähigen Geräten könnten auch Bitcoins generiert werden.

ZEIT ONLINE: Wie denn das?

Steigerwald: Bitcoins entstehen ja dadurch, dass sehr viele Rechner sehr schnell eine Rechenaufgabe lösen und so neue Coins schürfen. Das kann man auch mit Smart-Home-Geräten machen, die diese Rechenoperationen dann durchführen. Das ist normalerweise sehr ineffektiv, bei ein paar Millionen Fernsehern oder Thermomixern kann es sich aber schon lohnen. Sie als Nutzer merken das dann nur an einer höheren Stromrechnung.