Interview mit Rüdiger Trost
Im Smart Home tummeln sich immer mehr vernetzte Geräte. Wie sicher sind diese? F-Secure-Sicherheitsexperte Jürgen Trost rät zur Vorsicht.
Bedeuten die Wikileaks-Enthüllungen nun eine Art Anleitungsbuch für Hacker?
Rüdiger Trost: Ja und nein. Auch wenn die Enthüllungen gegebenenfalls Rückschlüsse auf das Know-how von Geheimdiensten bieten, ist davon auszugehen, dass die Hersteller eben diese geleakten Lücken jetzt patchen.
Wie gut ist das Schutzniveau der SH-Geräte im Allgemeinen?
Trost: Leider eher schlecht. Die meisten Smart-Home-Geräte werden von Unternehmen hergestellt, die mit Sicherheit nichts am Hut haben bzw. die Produkte mit minimalen Anforderungen auf den Markt bringen, um das Produkt dann anhand der Kundenreaktionen weiterzuentwickeln. Zudem stellen einige Unternehmen nach kurzer Zeit keine Updates mehr zur Verfügung. Daher könnten diese Geräte schwere Sicherheitslücken aufweisen.
Schützt nicht der Router vor Angriffen?
Trost: Nein. Der Router verhindert vielleicht direkte Zugriffe von außen, allerdings bauen Smart-Home-Geräte in der Regel auch Verbindungen von innen nach außen auf und sind über diesen Kanal ebenfalls angreifbar.
Wie sicher sind Geräte, die ohnehin auf Horchen und Sehen ausgelegt sind (zum Beispiel Amazon Echo/MS Kinect)?
Trost: Jedes zusätzliche Gerät stellt einen Angriffspunkt dar. Bei diesen Geräten kommt aber noch ein weiterer Punkt hinzu: Man muss dem Hersteller vertrauen, dass er die übertragenen Daten, also die Ton-Mitschnitte, nur für den angegebenen Zweck verwendet. Man sollte sich Gedanken darüber machen, ob man möchte, dass ein Wirtschaftsunternehmen (aus den USA) ein Mikrofon in den eigenen vier Wänden installiert. Hier steht wie so oft der Komfort der Privatsphäre entgegen. Ohne Kommunikation mit der Cloud funktionieren die Geräte nicht, also muss man sich entscheiden.
Wie schützen sich unsere Leser am besten, wo man ja im Fernseher keine AVSuite installieren kann?
Trost: Smart-Home-Geräte sind derzeit nicht so sehr im Visier der Hacker, die größte Gefahr ist im Moment eher, wie Hersteller mit den persönlichen Daten ihrer Kunden umgehen. Es gibt aber Möglichkeiten, um die Risiken zu verringern: • Smart-Home-Geräte sollten nicht direkt mit öffentlichen Internetadressen verbunden sein. Mit einer zwischengeschalteten Firewall oder einem NAT-Router lässt sich sicherstellen, dass die Geräte aus dem Internet heraus nicht erkannt werden. Zudem sollte UPnP auf dem Router deaktiviert werden, damit die Geräte nicht einen Port auf der öffentlichen Internetadresse öffnen können. • In den Datenschutz- und Sicherheitseinstellungen des Geräts kann alles, was nicht benötigt wird, entfernt werden, beispielsweise Sprachbefehle für Smart TVs oder Spielkonsolen. • Bei der Registrierung für den Cloud-Service des Smart-Home-Geräts sind starke, individuelle Kennwörter empfehlenswert, die sicher aufbewahrt werden müssen. Empfehlenswert ist zudem die Zwei-Faktor-Authenti zierung. • Überwachungskameras sollten vom Netz getrennt werden, wenn sie gerade nicht im Einsatz sind. Das gilt auch für Geräte, die Audioaufnahmen in die Cloud übertragen. • Die Nutzung von Verschlüsselung (vorzugsweise WPA2) im Heim-WLAN ist ebenfalls anzuraten wie die Verwendung und sichere Aufbewahrung eines starken WLAN-Passworts.
schwere Diese Geräte können Sicherheitslücken enthalten. Rüdiger Trost, Sicherheitsexperte bei F-Secure