F-Secure warnt vor „Dumb Home“

F-Secure hat smartes Türschloss KeyWe aus Korea mit einfachen Mitteln gehackt. Das Unternehmen warnt vor Sicherheitsrisiken durch ungewartete, schlecht geschützte IoT-Geräte. [...]

Ein großer Teil der Attacken wurde durch unsichere Smart-Home-Geräte verursacht. (c) Pixabay
Ein großer Teil der Attacken wurde durch unsichere Smart-Home-Geräte verursacht. (c) Pixabay

Berater des finnischen Cybersecurity-Unternehmens F-Secure haben mit erstaunlich einfachen Mitteln das „smarte Türschloss“ des koreanischen Herstellers KeyWe gehackt und geöffnet. Für Rüdiger Trost, Head of Cyber Security Solutions bei F-Secure, ist das ein weiterer Beleg dafür, dass das so genannte „Smart Home“ weltweit noch mit extremen Sicherheitsproblemen zu kämpfen hat: „Veraltete Betriebssysteme, schlechte Programmierung, fehlende Standards – die inzwischen unüberschaubare Vielzahl an vernetzten Geräten macht das ‚smarte‘ Heim zum ‚Dumb Home‘. Wer sich als Verbraucher auf solche Geräte verlässt, ist am Ende selbst der Dumme. Wir fordern endlich einheitliche, verlässliche Standards in der IT-Security für das Internet der Dinge.“ Bestätigt wird Trost darin durch die Ergebnisse des „Attack Landscape Reports“, der im September 2019 eine zwölfmal höhere Zahl von Angriffen aus dem Internet registriert hat als noch im Vergleichszeitraum des Vorjahres. Ein großer Teil dieser Attacken wurde verursacht durch unsichere Smart-Home-Geräte, die nun unter der Kontrolle von Hackern ihrerseits Angriffe auf andere Geräte durchführen, ohne dass der Besitzer davon weiß.

„Kommen Sie rein, die Tür ist offen“

Die Nutzer des vermeintlich „smarten Türschlosses“ des koreanischen Herstellers KeyWe können ihre Wohnungstür zuhause mithilfe einer Smartphone-App öffnen. F-Secure konnte die durchaus vorhandenen Sicherheitsvorrichtungen allerdings mit recht einfachen Mitteln umgehen, indem die Nachrichten zwischen dem Schloss und der App abgefangen und manipuliert wurden. „Alles, was wir dafür brauchten, war ein bisschen Know-how, ein kleines Gerät zum Abfangen der Nachrichten für 10 Euro aus dem Technik-Markt und ein bisschen Zeit, um die Nutzer zu finden“, sagt Krzysztof Marciniak, einer der Cyber-Security-Berater von F-Secure, die den Hack durchführten. Wichtige Details zum Hack hält F-Secure zurück, da bereits viele der Schlösser im Einsatz sind, zugleich aber keine Möglichkeit besteht, die Geräte mit einem Security-Update nachträglich abzusichern. Einen Sicherheitshinweis hat F-Secure dennoch veröffentlicht.

Hyppönens Gesetz: smart = verwundbar

„Die Kunden von KeyWe müssen ihre ‚smarten‘ Schlösser komplett austauschen oder aber mit dem Risiko leben. Es ist ein Unding, dass es überhaupt vernetzte Geräte gibt, die über keine oder nur mangelhafte Routinen für Sicherheits-Patches verfügen“, beklagt Rüdiger Trost. Stattdessen müsse sich die Smart-Home-Branche endlich auf gemeinsame Standards und langfristige Sicherheitsmechanismen verpflichten. Insbesondere bei vielen Crowdfunding-Projekten gibt es keinerlei Garantien, wie lange das vermeintlich smarte Gerät unterstützt und mit Sicherheitsupdates versorgt wird. „Wer sich auf solche ‚dummen‘ Produkte einlässt, riskiert es, dass sein Zuhause am Ende wie ein Schweizer Käse von zahlreichen Sicherheitslöchern durchbohrt ist“, so Trost. Schon im Jahr 2016 hat Mikko Hyppönen, Chief Research Officer bei F-Secure, sein inzwischen als „Hypponens Gesetz“ bekanntes Statement formuliert: „Wann immer ein Gerät als ‚smart‘ bezeichnet wird, ist es verwundbar.“

F-Secure-Report: Immer mehr IoT-Geräte greifen an

Im Herbst 2019 ist dieses Gesetz eindrucksvoll im „Attack Landscape Report“ bestätigt worden. Dieser Report beruht auf anfälligen Servern, die wie Köder („Honeypots“) ins Netz gestellt werden und Angriffe provozieren, die dann von F-Secure dokumentiert werden. Die Experten von F-Secure haben im ersten Halbjahr 2019 eine zwölfmal höhere Zahl von Angriffen registriert als noch im Vergleichszeitraum des Vorjahres. Mit über 760 Millionen Angriffen oder 26 Prozent des gemessenen Traffics trug Telnet den größten Anteil an der Gesamtzahl der Attacken im beobachteten Zeitraum. UPnP steht mit 611 Millionen Angriffen auf Platz 2 der Rangliste. SSH, das ebenfalls von IoT-Geräten genutzt wird, verzeichnete 456 Millionen Angriffe. Die Quellen dieser Angriffe sind höchstwahrscheinlich IoT-Geräte, die mit der Mirai-Malware infiziert wurden, die auch am häufigsten auf den Honeypots entdeckt wurde. Mirai infiziert Router, Sicherheitskameras und andere vernetzte Geräte im “Internet der Dinge”, die noch die Werkseinstellungen als Zugangsdaten benutzen.

„Die Unsicherheit des ‚Internets der Dinge’ wird immer größer, da laufend neue Geräte auftauchen, die gekapert und in Bot-Netze eingebunden werden. Und die Aktivitäten beim SMB-Protokoll zeigen, dass immer noch viel zu viele Geräte da draußen in Betrieb sind, die nie ein Sicherheits-Patch erfahren haben“, sagt Jarno Niemela, Principal Researcher bei F-Secure.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*