Anzeige

Weihnachtsbaum

Auch in diesem Jahr wird jede/r Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landen dabei technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum.

IoT Inspector hat deshalb beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und kam zu erschreckenden Ergebnissen: Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer sind dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

Die Security-Experten von IoT Inspector untersuchten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller. Dabei fanden sie insgesamt über 7.000 Schwachstellen. In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die umgehend an die Hersteller gemeldet wurden. Zudem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden.

„Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erklärt Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH. „Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Diese sind typische Gründe, weshalb die Schwachstellen von IoT Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“

Untersucht wurden folgende Geräte:

  • Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
  • Als „sicher“ beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
  • Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
  • Smart Home Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
  • Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
  • Mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

„Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern“, so Richter. „Insgesamt muss die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.“

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer/innen folgende Tipps beherzigen:

  • Prüfen Sie, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
     
  • Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
     
  • Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
     
  • Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt.
     
  • Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.

www.iot-inspector.com
 


Artikel zu diesem Thema

Hacker Corona
Nov 19, 2020

So wirkt sich COVID-19 auf die Datensicherheit aus

Für Cyberkriminelle scheint die Coronakrise neue Chancen zu eröffnen: Das DBIR-Team von…
2021
Nov 17, 2020

Trends der IT-Sicherheit 2021: Banking-Angriffe und KI-gestütztes Social Engineering

Anna Collard, SVP Content Strategy und Evangelist Africa bei KnowBe4, wirft einen Blick…
Hacker Weihnachten
Nov 17, 2020

Onlinekäufe zur Weihnachtszeit sind ein Paradies für Cyber-Kriminelle

Der Sicherheitsanbieter McAfee Corp. hat in einer neuen Studie herausgefunden, dass die…

Weitere Artikel

Phishing

Business-E-Mail Compromise – die vernachlässigte Cybersecurity-Bedrohung

Das FBI beschreibt Business-E-Mail Compromise (BEC) als einen ausgeklügelten Betrug, auch CEO-Betrug genannt, der auf Unternehmen abzielt, die mit ausländischen Lieferanten zusammenarbeiten und/oder regelmäßig Überweisungen tätigen.
Ransomware

Fertigungs- und Produktionsbetriebe zahlen am seltensten Ransomware-Lösegeld

19 Prozent. Nur so wenige Unternehmen aus der Fertigung und Produktion bezahlen Lösegeld nach einem Ransomware-Angriff, um ihre verschlüsselten Daten zu befreien. Weitaus weniger als der branchenübergreifende Durchschnitt mit 32 Prozent.
Industrie 4.0

Schlecht geschützte industrielle Steuerungssysteme gefährden KRITIS

Industrielle Steuerungssysteme sind oft unzureichend gegen Cyberattacken gesichert, wie Sicherheitsforscher von CloudSEK berichten. Das betrifft auch Unternehmen der Kritischen Infrastruktur.
Cyber Crime

Brand Protection - Von Einhörnern und Cyberverbrechen

Unternehmen investieren viel Geld und Energie in den Markenaufbau. Die Marke ist mittlerweile einer der wichtigsten Erfolgsfaktoren eines Unternehmens – ob Mittelstand oder Großkonzern. Sie zu schützen ist also essenziell.
TikTok

TikTok LIVE-Betrug: Gestohlenes Live-Filmmaterial mißbraucht

Tenable deckt heute auf: Gestohlenes Videomaterial von Prominenten, Content-Erstellern und anderen wird von Betrügern ausgenutzt, indem sie die LIVE-Funktion von TikTok missbrauchen, eine Funktion, die für TikTok-Benutzer bestimmt ist, die mindestens 1.000…
Deepfakes

Deepfakes - Manipulationen als Gefahr

Wie lässt sich prüfen, ob Informationen echt und vertrauenswürdig sind – gerade solche, die über das Internet oder die Sozialen Medien verbreitet werden?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.