"In vielen smarten Geräten stecken Mikros, ohne dass Sie davon wissen"

Wenn der Thermomix-Klon mithört: Zwei französische Hacker haben kürzlich die von Lidl vertriebene Küchenmaschine Monsieur Cuisine Connect auseinandergenommen – und festgestellt, dass das System auf der veralteten Android-Version 6.0 läuft. Gleich mit verbaut war ein verstecktes Mikrofon. Ein Einzelfall im vernetzten Zuhause? Oder die Regel? ZEIT ONLINE hat mit dem IT-Sicherheitsexperten Michael Steigerwald über die Sicherheit von Smart-Home-Geräten gesprochen.

ZEIT ONLINE: Herr Steigerwald, haben Sie den Thermomix-Klon Monsieur Cuisine Connect in Ihrer Küche stehen?

Michael Steigerwald: Nein, aber ich würde ihn ohne schlechtes Gewissen kaufen und auch benutzen.

ZEIT ONLINE: Echt? Hacker haben kürzlich festgestellt, dass auf dem Gerät alte Software läuft.

Steigerwald: Die Android-Version ist veraltet und das ist bedenklich, keine Frage. Aber dass das Gerät damit automatisch ein leichtes Angriffsziel ist, bezweifle ich. Solange der Hausmann oder die Hausfrau das Gerät zum Kochen benutzt, ist das nicht sonderlich problematisch. Auf alten Smartphones fängt man sich vor allem Trojaner und Viren ein, weil man sich damit auf dubiosen Websites bewegt. Mit dem Thermomix-Klon surft man ja nicht. Hinzu kommt: Die beiden Hacker hatten den Thermomix-Klon im Video vor sich stehen. Einbrecher müssten sich also erst in die Wohnung schleichen und von dort aus manipulieren, das kostet Zeit und ist unwahrscheinlich.

ZEIT ONLINE: Ein geheimes Mikrofon war aber auch noch mit verbaut. Lidl zufolge könnte es mit einem späteren Update aktiviert werden.

Michael Steigerwald ist Geschäftsführer und Mitgründer des Unternehmens vtrust, das sich mit der Sicherheit des Smart Home beschäftigt. © VTRUST

Steigerwald: Das sehe ich wiederum als großes Problem an, denn das Mikro war nicht dokumentiert, was ein massiver Eingriff in die Privatsphäre des Kunden bedeutet. Wenn ich mir smarte Lautsprecher wie Amazon Echo oder Google Home ins Haus stelle, weiß ich, dass die Geräte ein Mikrofon besitzen und sie mir potenziell immer zuhören. Bei einer Küchenmaschine gehe ich nicht davon aus. Es ist aber tatsächlich so, dass in ganz vielen Geräten Mikrofone verbaut sind, ohne dass Sie als Konsument davon etwas wissen, etwa in vielen intelligenten Fernsehern. 

ZEIT ONLINE: Wie schätzen Sie die IT-Sicherheit im Smart Home ein? 

Steigerwald: Grundsätzlich ist die IT-Sicherheit bei vielen Produkten völlig unzureichend und der Markt wird überschwemmt mit unfertigen Geräten. Es herrscht ein extremer Konkurrenzdruck, die meisten Hersteller achten nur auf Funktionalität. Dabei wird häufig die IT-Sicherheit vernachlässigt, weil es teuer ist und Zeit braucht, das Gerät sicher zu bauen. Die meisten Firmen haben meiner Erfahrung nach auch schlicht keine Mitarbeiter, die sich groß mit dem Thema auskennen.

ZEIT ONLINE: Was könnten Angreifer in meinem smarten Zuhause anrichten, wenn ein Gerät ungeschützt ist?

Steigerwald: Die Möglichkeiten sind nahezu unbegrenzt. Kriminelle suchen sich immer den einfachsten Weg in ein Netzwerk. Es gibt zum Beispiel Fälle, in denen sie sich über ungesicherte Smart-Home-Geräte wie Drucker, Kopierer oder Glühbirnen in die Telefonanlage eingewählt und massenweise kostenpflichtige Nummern angerufen haben. Wenn ich mich als Angreifer in ein Gerät hacke, habe ich Zugriff auf das ganze lokale Netzwerk und alle damit verbundenen smarten Geräte. So gelange ich an sensible private Daten, die ich zum Beispiel für Doxing oder zu Werbezwecken missbrauchen kann. Ebenfalls kann ich eine Identität missbrauchen, also etwa im Internet via Filesharing Musik herunterladen. Gehe ich über Ihren Internetanschluss, müssten Sie den Schaden bezahlen. Ich könnte Ihren smarten Toaster auch für ein Botnetz missbrauchen. 

ZEIT ONLINE: Dabei würden Sie meinen Toaster mit Tausenden anderen Geräten verknüpfen und so Websites zum Kollabieren bringen.

Steigerwald: Exakt. Schon im Oktober 2016 gab es eine riesige Attacke mit Smart-Home-Geräten, die die Websites von Twitter, Spotify und vielen weiteren Unternehmen abstürzen ließ. Das war vor zweieinhalb Jahren, mittlerweile gibt es viel mehr vernetzte Geräte, Schätzungen zufolge rund 26 Milliarden weltweit. Da kommt eine unkontrollierbare Gefahr nicht nur auf unsere Häuser zu, sondern auf die ganze Gesellschaft. Es gibt Hackergruppen, die sich auf diese Botnetze spezialisieren und sie als Service anbieten. Angreifer können sich diese Netze dann mieten, also etwa zehn Millionen Toaster für eine halbe Stunde, um damit eine Webseite lahmzulegen. Mit leistungsfähigen Geräten könnten auch Bitcoins generiert werden.

ZEIT ONLINE: Wie denn das?

Steigerwald: Bitcoins entstehen ja dadurch, dass sehr viele Rechner sehr schnell eine Rechenaufgabe lösen und so neue Coins schürfen. Das kann man auch mit Smart-Home-Geräten machen, die diese Rechenoperationen dann durchführen. Das ist normalerweise sehr ineffektiv, bei ein paar Millionen Fernsehern oder Thermomixern kann es sich aber schon lohnen. Sie als Nutzer merken das dann nur an einer höheren Stromrechnung. 

"Schon ein ungeschütztes Gerät macht das ganze Netzwerk angreifbar"

ZEIT ONLINE: Wie gut muss sich eine Angreiferin oder ein Angreifer auskennen, um ein Smart-Home-Gerät zu hacken?

Steigerwald: Das kommt auf den Einzelfall an. Es gibt sehr einfache Angriffe, für die gibt es öffentliche Anleitungen. Die kann jeder nachmachen, wie ein Rezept in einem Kochbuch. Oft sind Angriffe aber komplexer und erfordern Know-how und viel Zeit. Die Manipulation hängt oft auch davon ab, wo ich in der Wertschöpfungskette sitze.

ZEIT ONLINE: Wie meinen Sie das?

Steigerwald: Oft beginnt die Manipulation schon dort, wo die Geräte gebaut oder verkauft werden. Nehmen wir das Beispiel eines Händlers, der smarte Glühbirnen verkauft. Theoretisch könnte er sehr einfach die Birnen schon vor dem Verkauf manipulieren, sodass man später damit ganze Haushalte ausspionieren kann. Genauso könnte ich den Thermomix-Klon massenweise kaufen, zu Hause in Ruhe manipulieren und dann günstig auf eBay verkaufen. 

ZEIT ONLINE: Das klingt beunruhigend. Wie kann ich mich als User gegen Angriffe schützen?

Steigerwald: Jeder Router fungiert als einfache Firewall, die alle Geräte im Haushalt vor Anfragen von außen schützt. Nun ist es aber so, dass Smart-Home-Geräte nicht nur Daten empfangen, sondern auch senden. Dafür werden durch das Gerät ein oder mehrere Verbindungen aufgebaut. Dabei ist die Firewall durchlässig und genau auf diesem Weg finden Angreifer einen Weg zurück ins Netzwerk. Man könnte den Thermomix-Klon also auch so umbauen, dass er dauerhaft eine Verbindung nach außen schafft und so ein potenzielles Einfallstor für Schadsoftware oder Hacker ist. Einen richtigen Schutz gibt es aktuell also nicht. Sie sollten daher smarte Küchengeräte ohne Akku vom Strom trennen, wenn Sie sie nicht nutzen. Denn schon ein einzelnes ungeschütztes Gerät macht das ganze Netzwerk angreifbar. 

Es ist interessant, dass viele Amazon Echo und Google Home als potenzielle Wanzen ansehen, billige Smart-Home-Pendants aber nicht.
Michael Steigerwald, Experte für IT-Sicherheit

ZEIT ONLINE: Manche sorgen sich hierzulande vor stärkerer Überwachung und Hackerangriffen. Gleichzeitig kann sich jeder vierte Deutsche laut einer Umfrage vorstellen, ein Smart-Home-Gerät zu kaufen. Wie erklären Sie sich diesen Widerspruch?

Steigerwald: Das größte Problem ist das fehlende Bewusstsein der Leute. Keiner denkt daran, dass er sich mit einer smarten Glühbirne ein potenzielles Einfallstor in sein digitales Zuhause holt. Es ist interessant, dass viele Käuferinnen und Käufer Amazon Echo und Google Home als potenzielle Wanzen ansehen, billige Smart-Home-Pendants aus Asien aber nicht. Dabei sind die Google- und Amazon-Produkte aus IT-Sicht um Welten sicherer.

ZEIT ONLINE: Die Menschen wollen aber natürlich gerne günstige Geräte. Können solche Produkte beim Datenschutz mithalten?

Steigerwald: Eher nicht. Datenschutz gibt es nicht umsonst. Wenn den Kundinnen die Sicherheit ihrer Daten etwas wert ist, dann müssen sie mehr bezahlen. Ich befürchte, dass es künftig eine Zweiteilung geben wird: teure Premium-Geräte, die ständig gewartet werden, und günstige Produkte, die nur schwach oder gar nicht geschützt sind. Da ist auch der Nutzer in der Pflicht. Wenn das Bewusstsein für die Gefahren vernetzter Technologie und somit die Nachfrage nach datenschutzkonformen, sicheren Produkten steigt, werden auch die Hersteller reagieren.

ZEIT ONLINE: Manche Menschen haben den Impuls, sich solche intelligenten Geräte gar nicht erst zu kaufen, weil sie so auch keine Angriffsfläche bieten. Aber kommen wir um das Smart Home künftig überhaupt noch herum?

Steigerwald: Ich denke, dass es in naher Zukunft nur noch intelligente Glühbirnen und andere smarte Geräte geben wird. Schon heute gibt es ja fast nur noch Smart-TVs. Das liegt auch am Generationenwechsel. Die meisten jungen Leute kennen nur noch vernetzte Heimgeräte, die Älteren verzichten im Zweifel lieber auf den technischen Fortschritt, um ihre Privatsphäre zu wahren. Aber auch das wird sich ändern. Bei WhatsApp war das früher doch ähnlich. Heute nutzen es fast alle, Userinnen und User kommen kaum noch daran vorbei.

ZEIT ONLINE: Eine weitere Sorge ist, dass ein Gerät nicht mehr funktioniert, wenn das Internet ausfällt. Was dann?

Steigerwald: Es gibt mittlerweile viele Smart-Home-Lösungen, die eine eigene Zentrale im eigenen Haus haben und somit auch ohne Internet funktionieren. Es gab mehrfach Fälle, in denen Menschen ihre Glühbirnen nicht mehr ein- oder ausschalten konnten, weil sie keine Verbindung zum Internet hatten. Die Hersteller, auch im niedrigen Preissegment, werden sich des Problems langsam bewusst. Neuere WLAN-Glühbirnen funktionieren mittlerweile auch ohne Netz, einige deutsche Firmen spezialisieren sich sogar drauf, cloudunabhängige Smart-Home-Zentralen zu entwickeln.

"Bei vielen Produkten gibt es nie Updates"

ZEIT ONLINE: Nun wird ein Teil günstiger Smart-Home-Geräte in Asien produziert. Gerade die gelten als besonders unsicher. Ist das wirklich so? 

Steigerwald: Ja, sie sind sehr unsicher, und das ist ein großes Problem. Firmen aus Asien haben oft ein anderes Verständnis von Privatsphäre. Sie sehen Daten nicht als so sensibel an wie wir. Die meisten Geräte sind außerdem ungeschützt. Unsere Tests haben gezeigt, dass bei chinesischen Bauteilen für Smart-Home-Produkte häufig Standard-Login-Daten verwendet werden, die in der Firmware einsehbar sind. Wir hatten hier im Labor vor ein paar Tagen eine Überwachungskamera mit einem Standard-Passwort, das sich nicht ändern ließ. Kriminelle Hacker haben da ein leichtes Spiel.

ZEIT ONLINE: Sind Geräte aus Deutschland denn besser?

Steigerwald: Nicht unbedingt. Hinter vielen bekannten Namen steckt oft umgelabelte Technik ohne wirkliche Sicherheit, oft auch aus Asien. Trotzdem gibt es einige Firmen, die sehr viel Wert auf sichere Produkte legen und nur welche vertreiben, die sie selbst nach deutschen Standards entwickelt oder zuvor analysiert haben.

ZEIT ONLINE: In der analogen Welt bekommen Menschen ja bisher eine Garantie auf ein Produkt, ein Kühlschrank soll dann zum Beispiel zehn Jahre halten. Braucht man solch eine Garantie nicht auch für digitale Geräte, sodass man sich darauf verlassen kann, dass sie upgedatet werden? 

Steigerwald: Ja. Eine große Firma, die ihren Ruf nicht gefährden will, wird einen smarten Kühlschrank auch jetzt schon mit Updates versorgen. Bei vielen Produkten, gerade aus Asien, gibt es hingegen nie Updates. Das galt in einigen Fällen sogar dann, wenn die Sicherheitslücken bekannt waren und offen im Netz standen, etwa bei Sicherheitskameras. Ein weiteres Problem ist, dass es manche Firmen nach ein paar Jahren nicht mehr gibt. Dann werden die Sicherheitslücken der Überwachungskamera, die für alle offen im Netz stehen, nie behoben. Viele Geräte sind auch gar nicht darauf ausgelegt, auf den neuesten Stand gebracht zu werden.

Prüfung und Zertifizierung ist immer ein guter Ansatz. Aber dafür ist es mittlerweile zu spät.
Michael Steigerwald

ZEIT ONLINE: Experten fordern immer wieder eine Zertifizierung von Geräten. So könnten Nutzerinnen und Nutzer sehen, welche Sicherheitsstandards ein Smart-Home-Gerät besitzt. Der TÜV bietet an, Geräte zu prüfen und zu zertifizieren; verpflichtend ist das für die Hersteller allerdings nicht. Für wie sinnvoll halten Sie Zertifizierung?

Steigerwald: Prüfung und Zertifizierung ist immer ein guter Ansatz. Aber es löst nicht das Problem, dafür ist es mittlerweile zu spät. Denn es sind schon viel zu viele Produkte im Umlauf. Angesichts des Wunsches nach günstigen Geräten ist mir völlig unklar, wie die Politik internationale Unternehmen in deutsche Richtlinien zwingen will.

ZEIT ONLINE: Also ist der aktuelle EU-Vorstoß, der Verbraucherinnen das Recht auf ein Software-Update gibt, auch wenig sinnvoll?

Steigerwald: Prinzipiell ist so was schon sinnvoll. Aber wie sollen diese Regeln durchgesetzt werden, wenn günstige Smart-Home-Geräte aus China online auf Amazon bestellt werden können? Das ist unmöglich. 

ZEIT ONLINE: Besitzen Sie selbst Smart-Home-Geräte?

Steigerwald: Ja, sehr viele, etwa Amazon Echo, zu 90 Prozent nutze ich aber selbst entwickelte Smart-Home-Technik. Es geht mir darum, abzuwägen, für wie viel Komfort ich mit wie viel Daten bezahle, das mache ich sehr bewusst.