Security News

Jedes Fitness-Gerät mit Kamera und Mikrofon ist ein potenzielles Sicherheitsrisiko

Vladislav Iliushin, 8 April 2021

Der normale Fitness-Fan beim Training zu Hause ist jedoch meist kein lukratives Angriffsziel.

In der Pandemie treiben viele Menschen im eigenen Wohnzimmer Sport, um ausgeglichen und fit zu bleiben. Das Heimtraining boomt und wird von einer Angebotsvielfalt bedient. Unter den Laufbändern, Crosstrainern, Indoor-Bikes, Rudergeräten und Heimtrainern, die das Label „smart“ tragen, heben sich die ab, die neben dem Trainingseffekt und der Erfolgsstatistik auf dem Bildschirm auch Multimedia-Erlebnisse bieten.

In dieser Kategorie findet sich auch das deutsche Startup Vaha wieder, das einen interaktiven Fitnessspiegel entwickelt hat. Dieser kombiniert Workouts mit einem „Personal Training“ per Video-Call. Global in der Champions League spielt bereits der US-Hersteller Peloton, dessen Zugpferd ein Hightech-Ergometer ist. Ein prominenter Nutzer ist US-Präsident Joe Biden, der im Weißen Haus virtuelle Radwege abfahren will. Sein Fitnessrad verfügt über die Optionen, an Live-Kursen mit anderen teilzunehmen und mit ihnen über den Bildschirm zu interagieren. Sicherheitsexperten meldeten in der New York Times Bedenken an, die einen zweiten Blick lohnen – auch um Rückschlüsse für die normalen Nutzer*innen zu ziehen. Schließlich stellen sie sich die Frage: Wie sicher ist mein smartes Fitnessgerät im heimischen Wohnzimmer?

Ein Gerät mit Kamera, Mikrofon und Internetverbindung ist ein Sicherheitsrisiko

Kritisch sieht den Sport des Präsidenten in der New York Times Richard H. Ledgett Jr., ehemaliger stellvertretender Direktor der US-Sicherheitsbehörde NSA. Ihm bereitet Sorge, dass Joe Biden mit anderen Nutzern beim Training kommunizieren könnte. Dadurch bestehe die Gefahr eines Hackerangriffs, der über eine Sicherheitslücke das Weiße Haus ausspionieren könnte.

Der Geheimdienst-Experte hat insofern recht, als jedes Gerät, das eine Kamera, ein Mikrofon und eine Internetverbindung hat, potenziell ein Sicherheitsrisiko darstellt. Es gibt wie bei anderen vernetzten Geräten viele Ansatzpunkte. Ein ungesichertes Smart Home lädt dazu ein, etwa beim Router, Netzwerk oder Gerät nach Schlupflöchern zu suchen. An der Freizeitaktivität des US-Präsidenten könnten Hacker*innen auch die Gesundheitsdaten interessieren, die intelligente Geräte aufzeichnen. Aus dem Wissen über den Gesundheitszustand von Politikern und Prominenten ließe sich Kapital schlagen.

 

Der normale Fitnessfan ist eher kein lukratives Ziel

 

Ein solches Sicherheitsrisiko besteht für einen normalen Nutzer oder eine normale Nutzerin weniger. Hobbysportler*innen lassen sich kaum mit der Herzfrequenz erpressen, die jemand erbeutet hat. Außerdem ist heute das Internet vielerorts noch zu langsam, als dass es sich für Cyberkriminelle lohnen würde, massenhaft Kameras und Mikrofone zu kapern. Der Aufwand wäre schlich zu hoch. Hinzu kommen die hohen Kosten für den Speicherplatz, um die abgegriffenen und zu analysierenden Daten abzulegen. Die Technologie wird allerdings in den nächsten Jahren günstiger und mit künstlicher Intelligenz womöglich effizienter zu realisieren. Irgendwann kann deshalb das Geschäftsmodell für Hacker*innen aufgehen, mit Machine-Learning-Algorithmen, die auf Gesichtserkennung trainiert sind, gestohlene Massendaten von Kameras nach interessanten Personen gezielt zu durchleuchten. Gedanken sollten sich Nutzer*innen schon heute machen, welche Daten das Trainingsgerät erhebt und mit wem es diese teilt. Im Zweifel lohnt es sich den Anbieter zu fragen.


Gefährdet wie andere Smart-Home-Nutzer

 

Zur kriminellen Praxis gehört es, mit geringem Aufwand möglichst viele Ziele zu attackieren. Dafür greifen Hacker*innen im Smart-Home-Umfeld vor allem mit drei Methoden an. Wer sich Ransomware bedient, versucht den Erpresser-Trojaner über eine Schwachstelle einzuschleusen, das smarte Gerät zu übernehmen und Lösegeld zu fordern. Beim zweiten Ansatz verschaffen sich Hacker*innen den Zugriff über die Hardware, die für das illegale Schürfen von Kryptowährung genutzt wird. Die dritte Variante ermöglichen vernetzte Geräte, die ungesichert sind. Gelingt es den Cyberkriminellen eine Heerschar solcher smarten Trainingsbegleiter zu übernehmen, können sie diese für eine DDoS-Attacke missbrauchen. In dem Szenario bombardiert der Geräte-Verbund eine Website mit Millionen Anfragen, sodass deren Server völlig überlastet wird und zusammenbricht. Belege, wonach Fitnessgeräte auf diese drei Arten missbraucht wurden, gibt es bisher nicht.

Klassische Sicherheitsregeln im Smart Home befolgen

Die Nutzer von smarten Fitnessgeräten halten sich am besten an die allgemeinen Sicherheitsregeln für das Smart Home. Das fängt mit dem Ändern der Standardeinstellung des Routers an, also dem Festlegen eines individuellen Passworts für Verbindung und Verwaltung. WLAN-Verschlüsselung ist wichtig sowie das (automatische) Aktualisieren der Router-Firmware. Das Verschlüsseln von Daten, etwa über eine sichere VPN-Verbindung, erhöht die Netzwerkssicherheit. Das Aufspielen von Sicherheits-Updates sofort nach dem Veröffentlichen schützt das smarte Gerät. Wer das höchste Sicherheitslevel will, betreibt sein Fitnessgerät in einem separaten Netzwerk. So weit wollte der EX-NSA-Verantwortliche Richard H. Ledgett Jr. nicht immer gehen. Seine Hauptforderung war, Kamera und Mikrofon an Joe Bidens Fitnessrad abzumontieren, um Abhörversuche auszuschließen.

Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter