27. Oktober 2017

Eine unausgesprochene Einladung an Fremde – Das Internet der Dinge schafft auch Verbindungen, die Sie nicht wollen
(Datenhorror Teil 2)

Internet of Things – ein Alptraum für die Privatsphäre?

Das eigene Zuhause über das Smartphone steuern – ein zunehmender Trend, der Flexibilität verspricht und gleichermaßen Risiken birgt. Die eigene Haustür wird beim Verlassen gründlich abgeschlossen, wieso verriegeln wir nicht gleichermaßen akribisch unsere digitalen Pforten? Im Jahr 2016 gab es in Deutschland rund 151.000 Einbrüche – in Anbetracht dessen, dass ca. 40 Millionen Deutsche jährlich Opfer von Cyberangriffen werden, erscheint diese Zahl verschwindend gering.
Das „Internet der Dinge“ (engl. Internet of Things, IoT) eröffnet kriminellen Hackern ganz neue Möglichkeiten in Ihre Privatsphäre einzudringen. Hinter dem Begriff versteckt sich die vernetzte Infrastruktur von elektronischen Alltagsgegenständen. Häufig werden all diese smarten Devices durch das Internet verbunden und können darüber bequem ferngesteuert werden. Viele Geräte weisen jedoch eklatante Sicherheitslücken auf. Zudem sehen sich viele Hersteller nicht in der Verantwortung, die Datensicherheit den Risiken entsprechend anzupassen. Die generierten Datenmengen werden dann an unbekannte Drittanbieter übermittelt und diesen wird dann die Verantwortung zugeschoben.

Smart Home Hacking

Smart Home als Einfallstor
Intelligent verknüpfte Haushaltsgeräte werden immer beliebter. Das Angebot an smarter Beleuchtung, ferngesteuerten Heizthermostaten oder Bluetooth-basierten Türschlössern wächst wöchentlich. Doch sind diese Geräte auch so sicher, wie wir es für unser Zuhause erwarten?
Daten über das alltägliche Leben von Besitzern vieler dieser smarten Helfer werden in Cloud-Speicherdiensten protokolliert. Wann verlassen Sie jeden Morgen das Haus? Wann haben Sie es gerne besonders warm im Wohnzimmer? Wer ein smartes Thermostat, wie beispielsweise Tado° verwendet, teilt diese Information mit dem Hersteller.
Das vernetzte Haus hat, auch bedingt durch mangelndes Sicherheitsbewusstsein der IoT-Gerätehersteller, häufig gravierende Sicherheitslücken. Einen Test von Bluetooth Türschlössern ergab 2016, dass drei Viertel der getesteten Geräte mit geringem Aufwand überlistet werden können. Kriminelle brauchen somit weder Brechstange, noch Dietrich-Set, um sich Zugang zu Wohnungen zu verschaffen. Ein Laptop oder ein Smartphone mit entsprechender Software genügt, um ein Bluetooth Türschloss mit mangelhafter Sicherheitskonfiguration zu überwinden.
Solche Schwachstellen ließen sich in den meisten Fällen durch ein Softwareupdate beheben. Jedoch stellen viele IoT-Gerätehersteller aus Kostengründen keine Aktualisierungen für ihre bereits verkauften Produkte bereit.

Smarte Fernseher als moderne Späher
Viele Benutzer von Laptops kleben die integrierte Kamera des Gerätes ab. Bei dieser Vorgehensweise wird die Möglichkeit bedacht, dass sich Fremde Zugriff auf die Kamera verschaffen und intime Einblicke erhalten könnten. Auch intelligente Fernseher haben integrierte Mikrofone und Kameras – ist Ihnen das bewusst? Und wie klebt man eigentlich ein Mikrofon ab?
Nutzer von Smart-TVs der Marke Samsung dürften 2015 schwer gestaunt haben. Samsung veröffentlichte seine Lizenzvereinbarungen mit folgendem Hinweis: „Bitte beachten Sie, dass sämtliche gesprochenen Worte, auch persönliche oder sensible Informationen, bei Ihrer Nutzung der Spracherkennung erhoben und an einen Drittanbieter übertragen werden.“. Darüber hinaus trage Samsung keine Verantwortung dafür, inwiefern diese Drittanbieter (die für den Nutzer vollkommen unbekannt sind) Privatsphäre- und Sicherheitsmaßnahmen umsetzen würden.
Die Enthüllungsplattform Wikileaks berichtete außerdem, dass der US-Geheimdienst CIA ein Schadprogramm entwickelt haben soll, um Smart-TVs in Spionagewerkzeuge umzuwandeln. Das Programm soll dem Nutzer suggerieren, dass das Gerät ausgeschaltet ist und dabei unerkannt Aufzeichnungen anfertigen. Das Wirtschaftsmagazin Forbes kritisierte darüber hinaus, dass das Programm den WLAN-Schlüssel des verbundenen Netzwerks auslesen könnte.

Wenn das Kinderspielzeug zur Bedrohung wird
Können intelligente Spielzeuge Ihr Kind ausspionieren und schlimmstenfalls manipulieren? Das Smart Toy „Cayla“, eine „intelligente“ und internetfähige Puppe, darf in Deutschland nicht mehr verkauft werden. Außerdem rät die Bundesnetzagentur zur ordnungsgemäßen Vernichtung der Puppe. Wieso?
Zunächst einmal scheint an der Puppe nichts ungewöhnlich zu sein. Allerdings verfügt Cayla über ein integriertes Mikrofon und einen Lautsprecher. Die Puppe kann via Bluetooth mit einer Smartphone-App verbunden werden und so mit dem Benutzer in den Dialog treten. Die Verbindung mit dem Internet birgt allerdings ein erhebliches Risiko: Smart Toys lassen sich gezielt von außen manipulieren. Was passiert, wenn sich jemand in die Schnittstelle zwischen Puppe und App einklinkt und selbst durch die Puppe mit dem eignen Kind kommuniziert? Der europäische Verbraucherverband BEUC warnt ausdrücklich vor den zahlreichen Sicherheitslücken der Smart Toys. Sollte sich jemand den Zugriff über die Puppe verschafft haben, kann er das Geschehen im Umkreis der Puppe nicht nur abhören, sondern die Kinder auch aktiv zu Handlungen auffordern. Ein Szenario, das andere Gadgethersteller bereits als manipulative Werbung missbraucht haben. Ein Test von Stern TV demonstriert, welche Folgen ein Zugriff auf das Kinderspielzeug haben kann und weswegen beim Spielzeugkauf besondere Vorsicht geboten ist.

Herzschrittmacher als Ziel für Kriminelle
Natürlich kann die Dimension der potenziellen Gefahren noch weiter vertieft werden. Immer mehr Menschen verbessern ihren Gesundheitsstatus durch elektronische Hilfsmittel. Von schrittzählenden Armbändern zu Hörgeräten oder Herzschrittmachern. Welche Risiken kann der technologische Wandel in der Medizin mit sich bringen? Der Pharmakonzern Abbott Laboratories musste Anfang 2017 rund 465.000 Herzpatienten um ein Software-Update ihrer implantierten Herzschrittmacher bitten. Wie sich herausstellte, wies die Geräteflotte der zuvor aufgekauften Herstellerlinie (St. Jude Medical) eine erhebliche Sicherheitslücke auf, die es Hackern ermöglichte, Zugriff auf die Herzschrittmacher zu erhalten und diese nach Belieben zu steuern oder zu deaktivieren. Das ermöglicht theoretisch sogar einen vorsätzlichen Angriff auf das Leben des Trägers. Die betroffenen Benutzer wurden dazu aufgefordert, sich zeitnah in ein Krankenhaus zu begeben, um ein dreiminütiges Update vornehmen zu lassen. Nach Aussagen des Pharmakonzerns ist noch niemand durch die bedeutungsschwere Sicherheitslücke zu Schaden gekommen.

Fazit:
Die Vernetzung des technologischen Alltags hat zahlreiche Vorteile. Unser Leben wird mehr und mehr durch den Einsatz digitalisierter Gegenständen vereinfacht. Sich keine Gedanken mehr über vergessene Schlüssel machen zu müssen, sondern stattdessen die Wohnungstür mit der smarten Armbanduhr zu öffnen, ist sehr komfortabel.

Jedoch bringen neue Technologien auch immer neue Gefahren und Herausforderungen mit sich. Über die zahlreichen Daten, die im Internet of Things anfallen, muss sich jeder bewusst sein. Diese sensiblen Informationen aus dem Leben des Nutzers müssen einem besonderen Schutz unterstehen.
Leider gibt es derzeit jedoch bei vielen IoT-Produkten noch große Defizite, die Informationen ausreichend gegen Missbrauch zu sichern. Fälle, in denen sich kriminelle Hacker und Unternehmen nach Belieben an den Daten der Nutzer bedienen, sind momentan keine Seltenheit.
Uns stellt sich hier die Frage, an wen wir unsere Bedenken adressieren sollten. Zum einen muss der Verbraucher bei Technologien, die er selbst immer weniger versteht, beim Kauf auf Sicherheitsmerkmale achten. Auch Hersteller sollten für ihre Produkte, an denen sie natürlich möglichst viel verdienen wollen, hohe Sicherheitsstandards und eine langfristige Updateversorgung umsetzen. Letztlich ist aber auch die Politik gefragt, Bürger vor Datenmissbrauch und Ausspähung zu schützen.
Es besteht jedoch die Hoffnung, dass sich die Situation schon mit der Einführung der EU- Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018 verbessert. Diese nimmt Unternehmen in die Pflicht, für den verantwortungsbewussten Umgang mit personenbezogenen Daten zu sorgen.

Ich erkläre mich mit der Erfassung meiner Daten einverstanden. (Pflichtfeld) Datenschutzerklärung

Verwandte Artikel

Droht der vollkommene Verlust der Privatsphäre? Wie steht es um die informationelle Selbstbestimmung? Jeder zweite Deutsche wird jährlich Opfer von Cyberkriminalität. Trotzdem gehört die Herausgabe von persönlichen Daten für Viele zum Alltag. Was passiert, wenn Barrieren überwunden werden und Hacker online Zugriff auf unsere Privatsphäre erhalten? Das Dating-Portal Ashley Madison stand 2015 im Schussfeuer eines solchen Szenarios.

Datenschutz und Datensicherheit – zwei Begriffe, die den meisten Bürgern schon einmal begegnet sind oder zumindest sein sollten. Schließlich sind diese auch im deutschen Grundgesetz verankert. Doch was meint „Datenschutz“ überhaupt und wo liegt der Unterschied zur Datensicherheit? Wir haben Ihnen in einem übersichtlichen Glossar die wichtigsten Begrifflichkeiten rund um Datenschutz und Co. zusammengestellt und erklärt.