Betrügerische Apps: So gefährlich ist dein Smart Home!

Generell kann man schon von einem Smarthome sprechen, wenn zu Hause ein Smartphone verwendet wird. Wenn der Drucker am Netzwerk hängt, dann ist auch das ein Smarthome. Die Begriffsdefinition ist nicht klar, und das ist ein großes Problem – denn vielen Menschen ist gar nicht bewusst, dass auch sie Nutzer eines Smarthomes sind. Deshalb spreche ich lieber vom „digitalen Zuhause“, dieser Begriff ist etwas greifbarer. Es gibt in Deutschland nur sehr wenige Haushalte, die in meinen Augen kein Smarthome sind.

Das Problem liegt vor allem in der Art und Weise, wie wir das Internet nutzen. Vor 20 Jahren brauchte jeder Computer ein Modem, um online zu gehen. Das Modem hat eine Verbindung zum Netzwerk aufgebaut und sich ins Internet eingewählt. Heute sieht das etwas anders aus: Gerade in Heimnetzwerken gibt es meist einen Router, der die Internetverbindung für alle Geräte gleichzeitig aufbaut. Diese Technologie wurde eigentlich für kleine mittelständische Betriebe entwickelt. Dort ist es sinnvoll, dass alle Geräte über einen zentralen Anschluss miteinander vernetzt sind – die Arbeitsprozesse sind darauf ausgelegt, und es gibt eine IT-Abteilung, die das Netzwerk verwaltet.

Zu Hause gibt es jedoch meist keine Netzwerk-Experten. Man steckt einfach alles zusammen und ist froh, wenn es funktioniert. Dann kommuniziert die smarte Glühbirne jedoch auf einmal mit dem Drucker oder hat Zugriff auf einen Fileserver, auf dem privaten Daten gespeichert sind. Das große Problem daran: Diese Querverbindungen sind nicht immer offensichtlich und bleiben den meisten Nutzern verborgen. Ich sehe nicht, ob eine Glühbirne womöglich gerade meine Daten abgreift und ins Netz schickt. Smarte Haushaltsgegenstände sind für die meisten Nutzer eine Art Black Box – was im Inneren geschieht und in welchem Umfang von dort aus Daten gesammelt werden, bleibt im Verborgenen.

Daten bedeuten in unserer Welt alles. Wenn man sich anschaut, welche Unternehmen das größte Wachstum haben, dann sind es entweder die, die mit Daten handeln, oder die, die Daten sammeln. Es ist in unserer heutigen Zeit nahezu unmöglich, persönliche Daten nicht preiszugeben. Darum ist es umso entscheidender, wie Unternehmen mit diesem neuen Rohstoff umgehen. Wenn ich mich beispielsweise von Google Maps navigieren lasse, dann gebe ich Google zwar meinen Standort preis, aber ich habe die Vorteile eines sehr guten Navigationssystems – der Nutzer erhält also für die Weitergabe seiner Daten eine Gegenleistung.

Nun ist die Frage, wie fair dieser Handel ist. Wie viele Daten überlasse ich einem Unternehmen, und was bekomme ich dafür zurück? Aus Expertensicht ist dieser Handel häufig einseitig zugunsten der Unternehmen, in manchen Fällen kann man da sogar von Ausbeutung sprechen. Dass unsere Daten rausgehen, können wir auf lange Sicht jedoch nicht verhindern. Wir können sie aber als eine Art Währung betrachten und uns bei jedem Handel aufs Neue fragen, wie viel für die Leistung zu bezahlen wir bereit sind.

Es ist ein Riesenproblem, dass heute alles ganz schnell auf den Markt kommen muss. Häufig sind Produkte bei der Markteinführung noch nicht ganz ausgereift. Sie basieren beispielsweise auf veralten Betriebssystemen, die Sicherheitslücken haben – um so etwas zu verhindern, braucht es zeitaufwendige Tests. Deshalb empfiehlt es sich immer, Produkte von Firmen zu kaufen, die viel Wert auf ihre internen Tests legen. Generell sollten Nutzer beim Kauf von internetfähigen Geräten auf den Hersteller achten. Den meisten Firmen würde ich zwar nicht unterstellen, dass sie versuchen, widerrechtlich an Daten zu kommen, aber es gibt Ausnahmen. Diese schwarzen Schafe locken beispielsweise mit verdächtig günstigen Geräten und finanzieren das dann hinten rum über den Handel mit privaten Daten. Ich sehe hier durchaus die Problematik, dass sich solche Geschäftsmodelle in den nächsten Jahren immer weiter verbreiten könnten.

Es gibt durchaus Fälle, in denen Geräte gezielt mit Schadsoftware bespielt und anschließend über den Gebrauchtmarkt in Umlauf gebracht werden. Wird diesen vermeintlichen Schnäppchen dann der Zugriff auf das Heimnetzwerk gegeben, beginnen sie heimlich mit dem Datenklau. Deshalb würde ich aber nicht generell von Gebrauchtgeräten abraten – ähnliche Betrügereien können nämlich auch bei Neuware auftreten. Ich weiß von mehreren Fällen, bei denen gezielt das Rückgaberecht großer Online-Versandhäuser wie Amazon ausgenutzt wurde. Die Betrüger bestellen dabei für sehr hohe Summen palettenweise Geräte.

Dann werden professionelle Umverpackungsstätten eingerichtet, in denen die Geräte vorsichtig entpackt und mit Schadsoftware versehen werden. Anschließend werden die Verpackungen wieder ordnungsgemäß verschweißt, und die komplette Ladung wird zurückgeschickt. Die scheinbar ungeöffneten Produkte gelangen dann über Amazon ganz normal als Neuware in den Verkauf. So etwas kann auch direkt bei der eigentlichen Geräteproduktion passieren. Es gibt immer wieder Mitarbeiter, die trotz strenger Sicherheitschecks ihren Job riskieren und sich mit dem Aufspielen illegaler Programme etwas dazuverdienen. So warten dann unter Umständen zwischen vielen unbedenklichen Produkten einer Charge auch ein paar tickende Zeitbomben.

Nein, so etwas kann in wirklich jeder Produktgruppe passieren. Ich habe schon miterlebt, wie Fachleute sich auf diesem Wege zu Demonstrationszwecken über Drucker von namhaften Herstellern in Netzwerke gehackt haben. Grundsätzlich stecken in jedem Gerät, das internetfähig ist und auf Mikroprozessoren basiert, Fehler. Wenn diese Fehler auf die richtige Art und Weise ausgenutzt werden, kann man schnell Zugriff auf das Gerät und damit auch auf das gesamte Netzwerk erlangen. Potenziell sind Smartphones, Tabletts und Smart TVs dafür etwas anfälliger. Hier spielt der User ständig neue Software in Form von Apps und Updates auf. So kann ein betrügerisches Programm als nützliche App getarnt werden, die dann von den Usern nichtsahnend installiert wird. Das ist gefährlicher, als beispielsweise ein Küchengerät mit festem Betriebssystem. Hier wird deutlich seltener eine neue Software aufgespielt und wenn, kommt diese in der Regel direkt vom Hersteller.

Der erste Schritt ist ein vernünftiger Umgang mit internetfähigen Geräten und Medien im Allgemeinen. Ich sehe immer noch sehr viele Menschen, die sorglos ihre Daten im Internet teilen, hier muss einfach deutlich mehr Aufklärungsarbeit geleistet werden. Gerade Jugendlichen ist häufig nicht bewusst, welch unseriösen Quellen sie Zugang zu ihren persönlichen Daten und Fotos erlauben. Zusätzlich sollte in jedem Smarthome ein guter Router mit entsprechend geprüfter Firewall vorhanden sein. Dieser fungiert als eine Art Türsteher, der verdächtige Datenpakete von vornherein aussortiert – zumindest solange sie von außen kommen.

Habe ich ein Gerät, das aus dem Smarthome nach außen kommuniziert, ist der Tunnel in beide Richtungen geöffnet und damit auch frei für Betrüger. Das effektivste Mittel gegen versteckte Datensammler ist also vollkommene Transparenz! Mit moderner Hardware lassen sich sämtliche Datenströme in einem Netzwerk sichtbar machen. So kann ich als Nutzer sofort erkennen, welche Informationen mein Smarthome verlassen und welches Gerät dafür verantwortlich ist. Richtig angewandt, lassen sich mit einer solchen Lösung alle Vorzüge eines „digitalen Zuhauses“ bedenkenlos nutzen.

"Wenn ihr nicht tut, was ich sage, dann entführe ich euer Kind. Ich bin gerade bei ihm!" Mit dieser Warnung werden Ellen und Nathan Rigney plötzlich aus dem Schlaf gerissen. Doch nach einem kurzen Moment des Schreckens stellt sich heraus: Es handelt sich um eine leere Drohung. Fremde hatten sich für den geschmacklosen Scherz in das Netzwerk der jungen Familie aus Texas gehackt und die Kontrolle über den Babymonitor übernommen. Sicherheitsexperten der Universität von Kalifornien warnen: Weil viele Babykameras mit veralteter Software laufen, könnten sich solche Fälle in Zukunft häufen.

Die sogenannte FaceApp ist derzeit in aller Munde. In wenigen Schritten lassen sich damit beispielsweise Gesichter auf Fotos künstlich altern. Mehr als 100 Millionen Mal wurde die Anwendung bereits heruntergeladen, doch unter den Downloads befindet sich auch hochgefährliche Schadsoftware. Betrüger entwickeln Apps, die dem Vorbild zum Verwechseln ähnlich sehen. Werden sie von unaufmerksamen Usern heruntergeladen, verbindet sich die Schadsoftware mit dem WLAN und erlangt Zugriff auf alle Geräte des Netzwerks. So kommen die Betrüger an sensible Daten wie Passwörter, Bankdaten oder persönliche Fotos.

Nie wieder vor verschlossener Wohnungstür stehen und nach dem Schlüssel suchen – mit diesem Versprechen werben Hersteller smarter Türschlösser. Die Schließvorrichtung ist mit dem Internet verbunden, das Smartphone wird dank Schlüssel-App zum automatischen Türöffner – jedoch nicht nur für den Besitzer! Amerikanische Sicherheitsforscher konnten 2016 in einem Versuch 12 von 16 Türschlössern digital knacken und sich Zugang zu der jeweiligen Wohnung verschaffen. Obwohl die Hersteller schnell reagierten, lassen sich viele Schlösser noch heute einfach öffnen. Erst im März 2019 gelang es den Forschern, eine der beliebtesten Schließanlagen zu hacken: Die Sicherheitslücke im System betraf 112 000 Geräte in 20 000 Haushalten.

Moderne Fernseher haben einen integrierten Rechner und sind ununterbrochen mit dem Internet verbunden. Darüber hinaus sind die Geräte für Video-Telefonie häufig mit Kamera und Mikrofon ausgestattet – ein beliebtes Ziel von Hackern. Über die Internetverbindung lassen sich die Geräte leicht knacken. Anschließend senden sie einen Live-Stream direkt aus dem Wohnzimmer – ohne dass die Nutzer etwas davon merken. Zusätzlich können sich Angreifer Zugang zu hinterlegten Kontodaten verschaffen und darüber Einkäufe tätigen.

Rezepte einfach herunterladen und automatisch kochen lassen – mit diesem Komfort-Versprechen locken moderne Küchengeräte. Doch in ihrem Inneren können sich geheime Zusatzfunktionen verbergen, von denen der Nutzer nichts ahnt. So fanden Sicherheitsexperten in einer Multifunktions-Küchenmaschine aus China beispielsweise ein verstecktes Mikrofon, das Gespräche im Haushalt aufzeichnen konnte.

Mit den Daten eines digitalen Wasserzählers können Einbrecher gefahrlos Wohnungen ausspähen und Informationen über den Tagesablauf der Bewohner ableiten: Wird seit 24 Stunden kein Wasser verwendet, sind sie vermutlich im Urlaub. Gibt es zwischen 9 und 18 Uhr keinen Wasserverbrauch, befindet sich während der Arbeitszeit niemand in der Wohnung – perfekte Voraussetzungen für einen Einbruch.

E-Mail-Adressen, Handynummern, Passwörter – diese und weitere persönliche Daten sind kein Geheimnis mehr, wenn im Haushalt eine smarte Glühbirne installiert wird. Viele der Geräte stammen aus China und werden über einen ESP8266-Kleinprozessor gesteuert. Dieses Bauteil ermöglicht es, das Licht bequem per App anzusteuern – durch teils gravierende Sicherheitslücken können sich Hacker über die Schnittstelle jedoch auch Zugriff zum Netzwerk des gesamten Haushalts verschaffen und sensible Daten abgreifen.