„Internet der Dinge“: Hacker verschafft sich Zugriff auf Babykamera und beobachtet schlafendes Kleinkind

In Houston, im Bundesstaat Texas in den USA, wurden die Eltern einer zweijährigen Tochter aus dem Schlaf gerissen, als sie hörten wie jemand über die im Zimmer der Tochter installierten Babykamera mit ihre sprach. Ein Hacker hatte sich nach einem Bericht des regionalen Fernsehsenders WBTV Zugriff zu der am Internet angeschlossenen Babykamera verschafft, sodass er sie steuern konnte und über den eingebauten Lautsprecher kommunizieren konnte. So dramatisch dieses Erlebnis für die Eltern auch gewesen war (die Tochter schlief und bekam von der Aktion nichts mit), zeigt es doch ein Problem auf: Es werden immer mehr technische Geräte ans Internet angeschlossen, welche diesen Zugang gar nicht zwangsläufig benötigen und setzen sich damit selbst dem Risiko aus, Ziel eines Angriffs zu werden.

Ein weiteres Beispiel hierfür lieferte der Wissenschaftler Nitesh Dhanjani auf seinem Blog. Er beschreibt wie mit Hilfe von Malware das Lichtsystem Philips Hue gehackt werden kann. Philips Hue ist ein Lichtsystem welcher per App gesteuert werden kann, wozu die LED-Lampen mit einer „Bridge“ verbunden werden muss, welche ihrerseits ans Internet angeschlossen werden muss. Sicherlich ist Philips Hue zweifellos ein innovatives Produkt. Doch muss sich der Nutzer bewusst sein, welchen Preis er, abgesehen vom Kaufpreis, hierfür zahlt. Und das „Internet der Dinge“ wächst stetig, auch mit Gegenständen wie Türschlössern, welche bei einem möglichen Missbrauch größeren Schaden anrichten können als Lampen.

Das Angriffe auf verwundbare Systeme zunehmen werden, je mehr dieser Systeme es gibt, liegt auf der Hand. Im März dieses Jahres berichtete arstechnica ausführlich über junge Hacker, welche sich mit Hilfe von Fernwartungssoftware Zugang zu Webcams verschafften und die Nutzer dieser Webcams als „Sklaven“ hielten. Arstechnica berichtete damals von einem über 134 Seiten langen Thread im Hack Forums, indem die Hacker mit ihren „Ergebnissen“ prahlten. Wie auch bei der gehackten Babykamera geht es den Eindringlingen nicht darum materiellen Schaden anzurichten oder sich selbst zu bereichern. Es geht ihnen einzig um den Spaß den sie dabei anscheinend empfinden. Doch macht das die Situation nicht unkomplizierter.

Spätestens dieses Beispiel zeigt auf, dass es eben nicht immer die Nutzer sind, welche die Verantwortung für solche Angriffe tragen. Der Nutzer einer Webcam kann diese, außer durch zukleben der Linse, nur schwer schützen. Vielmehr scheint man bei der Suche nach Verantwortung auf ein Henne-Ei-Problem zu stoßen. Einerseits bieten die Hersteller technische Geräte an, welche Funktionen zum Anschluss an das Internet bereitstellen. Als Nutzer geht man also davon aus, dass diese auch sicher sind. Andererseits wird niemand gezwungen diese Funktionen zu nutzen. Die Entscheidung liegt beim Nutzer. Ob das Anschließen einer Babykamera oder einer LED-Lampe ans Internet sinnvoll ist, ist dabei noch eine ganz andere Frage und wird vermutlich sehr unterschiedliche Antworten zu Tage fördern.

Dazu kommt in Zeiten von PRISM, Tempora, XKeyscore und Co. noch eine ganz andere Sorge: Was Hobbyhacker von zu Hause können, dass können die Geheimdienste schon lange. Je mehr technische Geräte ans Internet angeschlossen werden, seien es Kameras, Lampen oder Waschmaschinen, umso mehr Informationen sind potentiell abzugreifen. Hierbei geht es dann nicht um die spätere Analyse von Metadaten, sondern um die Informationsgewinn in Echtzeit. Ein Blick durch die Webcam verrät ob eine Person zu Hause. Ist sie nicht im Zimmer und die Waschmaschine läuft dennoch, ist die Wahrscheinlichkeit groß, dass sich die Person dennoch in der Wohnung aufhält. Und so weiter.

Es sei noch einmal deutlich gesagt. Für diese Entwicklung ist nicht der Nutzer alleine verantwortlich, sondern ebenso die Hersteller, welche ihre Geräte teilweise nicht genug gegen Hackerangriffe absichern. Mehrere Berichte aus diesem Jahr zeigen allerdings auf, wie angreifbar teilweise sogar kritische Infrastrukturen im Internet sind, indem sie nicht sorgfältig installiert werden. In 9 Monaten haben zwei Forscher alleine in den USA eine Liste mit 7200 Geräten und Servern erstellt, von denen die meisten einen Login mit Standardpasswort über ein Webinterface erlaubten. Im April diesen Jahres veröffentlichte Technology Revieweinen Bericht, wonach HD Moore, Forschungsleiter bei Rapid7, in einem Experiment in seinem eigenen Keller über 114.000 unsichere Geräte im Internet fand, welche ebenfalls durch Standardpasswörter gesichert waren (13.000 erlaubten den Login ganz ohne Passwort). Und auf der diesjährigen OHM wurde eine Druckauftrag gestartet, welcher von rund 100.000 Druckern rund um die Welt verarbeitet wurde. Die Drucker waren in der Regeln nicht über einen Router, sondern direkt mit dem Internet verbunden.

Was muss hieraus folgen? Einerseits müssen die Nutzer sensibilisiert werden. Ihnen müssen die Konsequenzen ihres Handelns, also des Anschlusses ihrer Geräte ans Internet, aufgezeigt werden. Wie bereits gesagt sind die Entwicklungen an sich nichts Negatives. Sie sind innovativ und können das Leben in einigen Bereichen sicherlich bereichern. Die Nutzern muss aber bewusst sein, worauf sie sich einlassen. Gleichzeitig müssen aber auch die Unternehmen die Verantwortung anerkennen, welche sie mit der Produktion solcher Geräte tragen. Sie müssen dafür Sorge tragen, dass sie ausreichend gegen Angriffe gesichert sind und somit nicht die Privatsphäre der Nutzer gefährden. Die Entscheidung zur Nutzung solcher technische Geräte bleibt letztlich jedem selbst überlassen. Einige freuen sich ihr Arsenal an technischen Spielzeugen weiter ausbauen zu können, während andere so langsam anfangen sich vor lauter Überwachungspotential zu gruseln.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Solange die Firmware nicht _komplett_(!) open source ist und man selbst ein Passwort für eine vorhandene Verschlüsselung vergeben _muss_(!) ist Vorsicht geboten- müsste man nur irgendwie den Leuten erklären…

    Plug&Play for NSA :D

  2. Das ist definitiv so… Teilweise wird aber auch nicht mal ansatzweise überlegt, was Geräte am Internet für Folgen und auch Gefahren haben könnten. Immerhin haben die Internetprovider teilweise bei uns teilweise reagiert. Viele liefern die WLAN-Router für die Neukunden nur noch verschlüsselt aus. Ansonsten wäre die Problematik wohl noch viel grösser. Was natürlich nicht heisst, dass kein Angriff via Internet erfolgen kann.. ;)

  3. … zumal ich fest davon überzeugt bin, dass es nur eine Frage der Zeit ist, bis jemand ein kriminelles Geschäftsmodell für solche Lücken findet. Was da in Hinblick auf Phishing/Skimming/Botnets… auf der digitalen Seite und in Hinblick auf „Enkeltrick“ etc auf der analogen Seite läuft, zeugt meines Erachtens von einer Menge krimineller Kreativität, und nicht zuletzt die Bitcoin-Weak-RNG-Geschichte letztens zeigt, dass es „da draußen“ Kriminelle gibt, die sich auch in kompliziertere Sachen einlesen.

    Von daher fürchte ich werden wir schon bald sehen, wie man mit ferngesteuerten Lampen, Babyphonen und Wasserwerken an das Geld anderer Leute kommt. Erste Vermutung wäre, dass man mit blinkenden/flackernden Lampen Leute recht gut in einen bestimmten Raum bekommt (von den Gefahren für Epileptiker mal abgesehen), und mit Babyphonen kontrollieren kann, ob andere Räume auch wirklich gerade frei sind …

  4. Oh je, Babyphones. Ich ahne schon, welche Idee der Friedrich als nächstes hat …

    „Für diese Entwicklung ist nicht der Nutzer alleine verantwortlich, sondern ebenso die Hersteller,“ zB Laptopkameras mit Schieber zum Zumachen, Mikrofone und WLans, die hardwaremäßig abgeschaltet werden können …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.