Sicherheits-News

Das Internet der Dinge: Wie die Schwachstellen einer einzelnen Kaffeemaschine die gesamte Palette der IoT-Risiken widerspiegeln

Martin Hron, 19 Juni 2019

Wir haben eine Kaffeemaschine in jeder erdenklichen Weise gehackt, unter anderem haben wir sie in ein Ransomware-Tool und ein Gateway für ein Heimnetzwerk verwandelt

Stellt euch euren schlimmsten Alptraum im Internet der Dinge vor: Eure intelligenten Geräte greifen euch an. Stellt euch jetzt einen noch schrecklicheren Alptraum vor: Eure zuverlässige "intelligente" Kaffeemaschine produziert euren morgendlichen Koffeinkick nicht mehr.

Als "White Hat"-Hacker und Ingenieur habe ich ziemliche Angst vor dem Szenario, dass mir meine Tasse Lieblingskaffee am Morgen verweigert wird. Um die Schwachstellen intelligenter Geräte zu erforschen, atmete ich einmal tief durch und hackte eine Kaffeemaschine.

Was ist das Schlimmste, was passieren kann? Ein Hacker verbrennt den Kaffee? Wir waren tatsächlich in der Lage, die Kaffeemaschine in eine Ransomware-Maschine umzuwandeln. In einem noch unheilvolleren Hack konnten wir die Kaffeemaschine als Gateway nutzen und alle angeschlossenen Geräte im Heimnetzwerk ausspionieren. Wir hackten also nicht nur eine Kaffeemaschine, sondern demonstrierten auch das mögliche Hacking den gesamten Umfelds.

Und Kaffee gab es auch keinen. (Es tut mir leid, dass ich so beängstigend bin.)

Wir haben ein häufiges Problem ausgenutzt: Wie viele intelligente Geräte wurde die Kaffeemaschine mit Standardeinstellungen und einer W-LAN-Verbindung geliefert, so dass sie sofort nach dem Auspacken funktionierte. Für die Verbindung zur Kaffeemaschine über W-LAN war kein Passwort erforderlich, so dass es einfach war, dem Gerät bösartigen Code einzupflanzen.

Aktuelle Forschungen von Avast und der Stanford University zeigen, dass 66 Prozent der nordamerikanischen Haushalte über mindestens ein IoT-Gerät verfügen und 40 Prozent der Haushalte weltweit. Eine relativ kleine Gruppe von Geräteherstellern - 90 Prozent der Geräte werden von nur 100 Anbietern hergestellt - deutet auf ähnliche Schwachstellen hin, die bei großen Angriffen ausgenutzt werden könnten.

Die Kaffeemaschine, die wir gehackt haben, ist wahrscheinlich ähnlich mit der, die ihr daheim oder im Büro habt. Sie macht Kaffee, wenn ihr ein paar Tasten an der Maschine drückt - oder wenn ihr sie mit einer App auf Eurem Handy oder Tablett bedient.

Viele IoT-Geräte verbinden sich zunächst über ein eigenes W-LAN-Netzwerk mit ihrem Heimnetzwerk, das nur zum Einrichten der Maschine verwendet werden soll. Im Idealfall schützen die Verbraucher dieses W-LAN-Netzwerk sofort mit einem Passwort. Aber viele Geräte werden ohne Passwort verkauft, um das W-LAN-Netzwerk zu schützen, und viele Verbraucher fügen auch keines hinzu. Dies ist eine große Schwachstelle, denn dieses W-LAN-Netzwerk ist öffentlich, da es für jeden sichtbar ist. So können Hacker es nutzen, um euer Smart Device zu gefährden, z.B. durch das Hochladen von bösartiger Software. Sobald dieses Gerät kompromittiert ist, können später auch andere Geräte im Haus gehackt werden. Tatsächlich kann über ein einziges Smart Device auf das gesamte Netzwerk zugegriffen werden. Hacker können sogar auf die mit dem Netzwerk verbundenen Computer und mobilen Geräte zugreifen.

Wir haben die Kaffeemaschine über W-LAN infiltriert und dann bösartige Software-Updates eingerichtet, die die Kaffeemaschine zu unerwarteten und potenziell gefährlichen Aktionen veranlassten. Wir haben den Brenner überhitzen lassen, was zu einem Brand führen kann. Wir haben Brühwasser auf den Brenner gegossen. Wir haben sogar die Kaffeemaschine dazu gebracht, Ransomware-Nachrichten zu versenden, um eine Zahlung zu fordern.

Hier ist ein ernsthafteres Szenario: Ihr hört nie etwas von der gehackten Kaffeemaschine - oder einem der anderen intelligenten Geräte, die daran angeschlossen sind. Denkt daran: Eine der Möglichkeiten, wie die Kaffeemaschine aus der Ferne gehackt werden kann, besteht darin, sie als Gateway zum gesamten Netzwerk zu nutzen. Das bedeutet, dass sich Hacker auf diese Weise Zugriff auf alles verschaffen können: die E-Mails, die über das W-LAN gesendet werden, die Zahlungsinformationen, wenn ihr online einkauft, das Home Security System, den Baby Monitor usw.

All das ist gefährdet, wenn ihr IoT-Geräte anschließt, ohne sie sicher zu machen. Und Millionen von Menschen haben das getan - ohne zu merken, wie angreifbar sie sind. Deshalb haben wir diesen Versuch mit der Kaffeemaschine durchgeführt und hoffen, dass die Menschen mit Kaffeeduft in der Nase aufwachen.

IoT-Sicherheitslösungen

Was könnt ihr tun, um euer Smart Home zu sichern? Bitte beachtet diese IoT-Sicherheitstipps:

  • Sichert das drahtlose Netzwerk - Die IoT-Netzwerksicherheit beginnt und endet mit dem Router. Es wird mit einem Standardpasswort geliefert, also ändert es sofort und nutzt ein komplexes Kennwort.
  • Erwägt Cybersicherheit - IoT-Sicherheitsprodukte werden in naher Zukunft auf den Markt gebracht, wie z.B. Avast Smart Home Security.
  • Ändert Standardkennwörter - Dies gilt für jedes Gerät, das mit einem Standardkennwort ausgestattet ist, nicht nur für den Router.
  • Kennt Eure Geräte - Es mag verlockend sein, sie aus der Box zu reißen und einfach einzuschalten, aber es ist zwingend erforderlich, jedes angeschlossene IoT-Gerät als mehr als ein Gerät zu betrachten
  • Aktualisiert es so schnell wie möglich - Es kann nicht genug betont werden: haltet die Firmware der IoT-Geräte mit den neuesten Versionen und Patches auf dem aktuellen Stand.
  • Nur bei Bedarf anschließen - Wenn ihr nicht unbedingt möchtet, dass eure Kaffeemaschine oder eure Glühbirnen "smart" sind, verwendet einfach weiterhin die analogen Klassiker.

Die Risiken von IoT-Geräten sind nicht wegzudiskutieren, aber es gibt auch entsprechende Lösungen. Es besteht kein Grund zur Sorge vor der kommenden Flut an IoT-Geräten. Bleibt wachsam, was ihr in eurem Netzwerk hinzufügt und schützt es entsprechend.