Anzeige

Weihnachtsbaum

Auch in diesem Jahr wird jede/r Deutsche im Durchschnitt 280 Euro für Weihnachtsgeschenke ausgeben. Gerne landen dabei technische Gadgets wie interaktives Spielzeug, smarte Haushaltsgeräte oder vernetzte Unterhaltungselektronik unter dem Weihnachtsbaum.

IoT Inspector hat deshalb beliebte Artikel namhafter Hersteller (u.a. aus den USA und Deutschland) untersucht und kam zu erschreckenden Ergebnissen: Jedes dieser Produkte verfügt über Hunderte von Schwachstellen, die Angreifern im schlimmsten Fall Zugang zu den Geräten ermöglichen. Die Angreifer sind dann in der Lage, auf private Netzwerke zuzugreifen, Daten zu stehlen, Geräte zu manipulieren oder gekaperte Geräte in ihre Botnets einzugliedern.

Die Security-Experten von IoT Inspector untersuchten einen fiktiven Geschenkkorb mit sechs Produkten renommierter Hersteller. Dabei fanden sie insgesamt über 7.000 Schwachstellen. In den meisten Fällen kam veraltete Software mit bekannten Schwachstellen zum Einsatz, teilweise sogar in der neuesten Firmware-Version. Bei der Untersuchung wurden jedoch auch bislang unbekannte Schwachstellen identifiziert, die umgehend an die Hersteller gemeldet wurden. Zudem fanden die Spezialisten mangelhafte Wartungszugänge, die Angreifern eine Fernsteuerung des Geräts ermöglichen. Hierdurch können die Geräte im schlimmsten Fall ihre Besitzer ausspionieren oder als Waffe für Angriffe auf weitere Ziele eingesetzt werden.

„Zu unserem Erschrecken mussten wir feststellen, dass oft nicht einmal grundlegende Sicherheitsmaßnahmen eingehalten werden: So nutzen die Hersteller für ihre Firmware-Updates teilweise unverschlüsselte Transportwege. Cyberkriminelle können so den Datenverkehr umleiten und Malware in die Geräte einschleusen“, erklärt Rainer M. Richter, Geschäftsführer der IoT Inspector GmbH. „Bei einigen Geräten wird auch das WiFi-Passwort des Nutzers im Klartext gespeichert. In Verbindung mit anderen Schwachstellen kann das Passwort einfach ausgelesen werden, und Angreifer könnten sich dadurch unberechtigten Zugriff verschaffen. Diese sind typische Gründe, weshalb die Schwachstellen von IoT Geräten inzwischen zu einem der Haupteinfallstore für Angreifer zählen.“

Untersucht wurden folgende Geräte:

  • Smart Speaker mit Voice Control eines bekannten deutschen Herstellers: 1.634 Schwachstellen
  • Als „sicher“ beworbener Messenger für Kinder eines weltweit führenden Lernspielzeug-Anbieters: 1.019 Schwachstellen
  • Drohne eines der größten Anbieter in diesem Bereich: 1.250 Schwachstellen
  • Smart Home Kamerasystem eines US-amerikanischen Branchenriesen: 1.242 Schwachstellen
  • Haustier-Überwachungskamera, die häufig auch als Babycam verwendet wird: 643 Schwachstellen
  • Mit „größter Datensicherheit“ beworbenes Streaming-Device für Kinder: 1.551 Schwachstellen

„Uns war wichtig, nicht nur ‚No Name‘-Billigprodukte zu untersuchen, sondern zu zeigen, dass die Gefahren auch bei Produkten von renommierten Unternehmen lauern“, so Richter. „Insgesamt muss die ganze Branche endlich die Sicherheit von IoT-Geräten von Anfang an mitbedenken und umsetzen.“

Grundsätzlich sollte man bei IoT-Devices Vorsicht walten lassen und für diese ein separates Netzwerksegment einrichten. Darüber hinaus sollten Käufer/innen folgende Tipps beherzigen:

  • Prüfen Sie, ob der Hersteller eine Website hat. Viele Hersteller, die ihre Produkte auf den gängigen Onlinemarktplätzen verkaufen, sind ominöse Anbieter ohne Internetpräsenz oder Kontaktmöglichkeit.
     
  • Prüfen Sie, ob der Hersteller regelmäßige Firmware-Updates (vorzugsweise automatisch) zur Verfügung stellt.
     
  • Ändern Sie sofort das Passwort, falls das Gerät mit einem Standardpasswort ausgeliefert wird.
     
  • Finden Sie heraus, wie viele persönliche Informationen und Daten Sie einem Gerät zur Verfügung stellen. Wofür benötigt das Gerät diese Daten und wo werden diese gespeichert (nur lokal oder auch in der Cloud)? Viele Devices arbeiten mit Gesichts-, Sprach- und Fingerabdruckerkennung oder nehmen Bilder und Videos von Ihrem Haus, Ihrer Familie, Ihren Kindern auf. Fragen Sie sich, ob ein Gerät wirklich all diese Informationen benötigt.
     
  • Seien Sie sich der Angriffsfläche bewusst. So beträgt die Reichweite (und damit auch die Angriffsfläche) von Bluetooth-Verbindungen fünf bis zehn Meter, bei einer WiFi-Verbindung sind es bis zu hundert Meter. Ein Gerät, das online über eine App gesteuert wird, kann potenziell von überall auf der Welt angegriffen werden.

www.iot-inspector.com
 


Artikel zu diesem Thema

Hacker Corona
Nov 19, 2020

So wirkt sich COVID-19 auf die Datensicherheit aus

Für Cyberkriminelle scheint die Coronakrise neue Chancen zu eröffnen: Das DBIR-Team von…
2021
Nov 17, 2020

Trends der IT-Sicherheit 2021: Banking-Angriffe und KI-gestütztes Social Engineering

Anna Collard, SVP Content Strategy und Evangelist Africa bei KnowBe4, wirft einen Blick…
Hacker Weihnachten
Nov 17, 2020

Onlinekäufe zur Weihnachtszeit sind ein Paradies für Cyber-Kriminelle

Der Sicherheitsanbieter McAfee Corp. hat in einer neuen Studie herausgefunden, dass die…

Weitere Artikel

Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.
Krankenhaus IT

Krankenhäuser im Visier von Hackern

Leere Tanksäulen, verriegelte Supermarkttüren und der erste digitale Katastrophenfall in Deutschland – Menschen weltweit haben die Folgen der jüngsten Cyberattacken gegen kritische Infrastrukturen (KRITIS) am eigenen Leib gespürt: Erst Colonial Pipeline, dann…
DDoS

Zahl der DDoS-Angriffe sind rasant gestiegen

Die Zahl der DDoS-Attacken erreichte im 1. Halbjahr 2021 einen neuen Höchstwert. Die Zunahme gegenüber dem Vorjahreszeitraum mit seinem DDoS-Boom und einer Verdopplung der Angriffe betrug noch einmal 33 Prozent.
Phishing

Mehr Opfer von sicherheits- und personalbezogenem Phishing

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, veröffentlicht die Ergebnisse seines Q2 2021 Phishing Reports mit den meistgeklickten Phishing Betreffzeilen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.