Hacker
14.11.2017, 09:15 Uhr
Smart-Home: In Minuten sind die Hacker da
Viele Smart-Home-Geräte sind ein Einfallstor für Hacker. Die IT-Security-Firma hat untersucht, wie schnell Hacker exponierte IoT-Devices der gescheiten Häuser aufspüren.
Was passiert, wenn ein Smart-Home am Internet hängt? Die IT-Sicherheitsfirma Sophos hat die Probe aufs Exempel gemacht und ein Haus mit diversen intelligenten Geräten und Dingen mit dem Netz verbunden, sozusagen als Honigtopf im Grossformat. «Das Ergebnis war erstaunlich. Sobald unser Smart-Home auf Shodan gelistet war, erhielten wir 2000 bis 3000 Einlog-Versuche pro Tag», berichtet Michael Veit von Sophos.
Das als «Hounted House» titulierte Heim ist bis unters Dach mit intelligenten Dingen vollgestopft. Hier sind smarte Schlösser, Lampen, Heizungssysteme und -radiatoren, Alarmanlagen sowie jede Menge Sensoren verbaut.
In wenigen Wochen stellte Sophos 70'000 Einlogversuche fest, und zwar von mehr als 24'000 unterschiedlichen IP-Adressen aus.
Über das Ausmass der Einbruchsversuche waren sogar die gestandenen IT-Security-Experten von Sophos erstaunt. «Uns wurde klar, dass es viele Hacker gibt, die es mittlerweile auf Smart-Homes abgesehen haben», so Veit.
Darauf wollten die Sophos-Leute wissen, wie viele Smart-Home-Geräte bereits offen im Internet präsentiert werden und nur darauf warten, gehackt zu werden. Mit speziellen Suchmaschinen wie Shodan und Censys fanden sie weltweit 68'000 Geräte. Dabei legt die Sophos-Heatmap eine Konzentration von verwundbaren IoT-Geräten in der Schweiz nahe. Die Geräte sind meistens mit einem Passwort geschützt, was für ambitiöse Hacker aber kein allzu grosses Hindernis darstellt, wie Computerworld verschiedentlich schon aufgezeigt hat.
Immerhin: Der Passwortschutz der Smart-Home-Geräte scheint die Bösewichte noch abzuhalten. Sophos hat bislang keinen erfolgreichen Einbruch registriert.
Es ist allerdings eine Frage der Zeit, bis Hacker herausfinden wie sie etwa Ransomware platzieren können. Dann dürften sie etwa den Hausbesitzern im Winter die Heizung abdrehen und ein Lösegeld in Bitcoin fordern, um das Heizsystem wieder freizugeben. Vorstellbar sind auch Dienstleistungen an Einbrecher, etwa Informationen zu Häusern, bei denen die Bewegungssensoren schon seit längerer Zeit keine Personen mehr registriert haben.