With my internet of things camera, I always feel like somebody’s watching me - security cameras, Überwachungskamera, caméra de surveillance, videocamera di sicurezza

Big Brother is watching me – über meine IoT-Kamera

Das Internet der Dinge hat unser Privat- und Arbeitsleben revolutioniert. Einer der ersten IoT-Erfolge waren Überwachungskameras, die auch heute noch ein bleibender Trend sind. Schließlich finden es die meisten von uns sehr praktisch, aus der Ferne beobachten zu können, was zuhause vor sich geht ‒ und das, ohne viel Geld investieren zu müssen. Aber wer schaut noch zu? Studien haben gezeigt, dass ihr nicht die einzigen seid, die die Aufnahmen eurer Überwachungskamera ansehen – auch Hacker schauen zu.  

Nur eine „interessante Statistik“? Nicht ganz.

Sicherheit steht beim Internet der Dinge ganz oben auf der Liste ‒ und Kameras spielen dabei eine große Rolle. Das führende Forschungs- und Consulting-Unternehmen Gartner schätzt, dass die Gesamtzahl der mit dem Internet verbundenen Geräte im Jahr 2017 auf 8,4 Milliarden steigen könnte. Das wäre ein riesiger Sprung von 31 % im Vergleich zu 2016. Die Anzahl dieser Geräte liegt erheblich über der Weltbevölkerung von 7,5 Milliarden Menschen ‒ das ist doch weit mehr als eine interessante Statistik. 

Absichtlich unsicher

Eine erhebliche Anzahl von IoT-Geräten ‒ einschließlich Überwachungskameras ‒ sind von Herstellerseite her unsicher. Und bei einigen von ihnen ist es nicht einmal möglich, sie nachträglich sicherer zu machen, da sie mit hardcodierten Kontonamen und Passwörtern ausgestattet wurden, die nicht geändert werden können. Diese Methode verwandelt Sicherheit in eine große Sicherheitslücke, die nur darauf wartet, ausgenutzt zu werden. Viele Geräte überspringen auch die grundlegende Sicherheitsmaßnahme, den Nutzer bei der ersten Verwendung aufzufordern, die Einstellungen zu ändern. Aber selbst wenn es möglich ist, das Passwort zu ändern, verzichten viele Nutzer darauf. Das ist genau wie beim Ändern der WLAN-Einstellungen: Wenn man die Wahl hat, umgeht man die umständliche Prozedur lieber. 

Hier kommt die Flut

In der Vergangenheit haben Forscher viele Fälle von Hacking und Unterwanderung von bestimmten IoT-Kameras gefunden. Aber dabei handelte es sich meist um Einzelfälle, ein bestimmtes Gerät oder ein individuelles Netzwerk.

Das Aufkommen des Mirai Botnetz hat diese Situation dramatisch verändert. Diese Malware scannt das Internet und sucht nach Online-Geräten, die nur von den Standardeinstellungen „geschützt“ werden. Sobald sie solche Geräte findet, werden sie von einem Botnetz „versklavt“ und sind bereit, die Befehle des „bösen Meisters“ zu befolgen. KrebsonSecurity beschrieb es so, dass die „Hitliste“ dieses Botnetzes beinahe 70 Kombinationen aus Benutzernamen und Passwort enthält, die von Herstellern verwendet werden ‒ einige Unternehmen nutzen sogar für ihre gesamte Produktpalette die gleichen Standardeinstellungen. 

Eine Frage: Was ist ein DDoS?

Normalerweise funktioniert das Internet wie die übliche Schüler-Lehrer-Beziehung: Der Schüler stellt eine Frage, der Lehrer beantwortet sie. Wenn mehrere Schüler eine Frage stellen möchten, müssen sie warten, bis sie aufgerufen werden ‒ es entsteht eine kleine Verzögerung. Aber mit einem DDoS-Angriff (Distributed Denial of Service) über Mirai bekommt der böse Meister ein ganzes Stadion voller Online-Geräte und befiehlt ihnen, den Lehrer ununterbrochen mit Fragen zu löchern, bis entweder der Lehrer oder sogar die ganze Schule dem Druck nicht mehr standhalten kann.

Mirai Botnetz erteilt dem Internet eine bittere Lektion

Nachdem Tausende, vielleicht sogar Millionen von Geräten als Sklaven ins Botnetz integriert worden waren, startete Mirai den größten DDoS-Angriff in der Geschichte des Internets. Der Angriff gegen Dyn im Oktober 2016 störte den Internetzugang in großen Teilen der USA. Außerdem machte er potenziell einige Internetdienst-Anbieter haftbar, als Dyn entdeckte, dass sie Geräte in diesem Botnetz untergebracht hatten. Und was ist mit den Menschen, die diese gehackten Geräte besitzen? Es ist noch unklar, wie sich die Dinge ändern werden, wenn sich solche Angriffe häufen. Werden Internetdienst-Anbieter in Betracht ziehen, ihre Kunden für die Missetaten ihrer Geräte zu bestrafen? 

Sicherheit beginnt zuhause

Das Paradoxe am Dyn-Angriff war erstens, dass er zum Großteil von kaum gesicherten Geräten wie Überwachungskameras verursacht wurde. Zweitens ist es für euch fast unmöglich zu wissen, ob eure Geräte sicher sind oder einer Botnetz-Armee angehören. Im Moment ist die einzige Möglichkeit, online nach Problemen zu suchen, die mit einem bestimmten Modell oder Hersteller in Verbindung gebracht werden. Bei Geräten mit White Label ‒ die von einem Hersteller produziert, aber unter verschiedenen Markennamen verkauft werden ‒ kann die wahre Identität weit unter der Oberfläche verborgen liegen.

Seid also auf der Hut, wenn ihr ein neues IoT-Gerät kaufen möchtet. Habt ihr in Betracht gezogen, das Netzwerk zu sichern und nicht einfach nur immer mehr Smart Home-Geräte hinzuzufügen? Ihr wollt bestimmt nicht, dass eure neue Kamera dabei erwischt wird, wie sie die nächste große DDoS-Attacke in der Geschichte startet.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.