[datensicherheit.de, 08.06.2024] Surfshark hat eine neue Studie veröffentlicht: „Smart Home Privacy Checker“ berichtet über Smart-Home-Geräte sowie deren Apps und die dadurch entstehenden Datenschutzprobleme. Da der Markt für Smart-Home-Geräte weiter wächst, sollten die vorliegenden Studienergebnisse für jeden Nutzer relevant sein: „Die Tech-Giganten Amazon und Google haben die Apps für Smart-Home-Geräte entwickelt, die am meisten Daten zur Eingabe fordern. Amazons ,Alexa’ sammelt 28 von 32 möglichen Datenpunkten, was mehr als das Dreifache des Durchschnitts ist, der von typischen Smart-Home-Geräten gesammelt wird.“

Eine von zehn Smart-Home-Apps verwendet Daten zur Nutzerverfolgung

Eine von zehn Smart-Home-Apps verwendet demnach die gesammelten Daten für die Nutzerverfolgung. Smart-Device-Apps überwachten die Benutzer in erster Linie über ihre Geräte-ID, E-Mail-Adresse und Produktinteraktionen. „Fast ein Drittel der Apps, die Daten verfolgen, verfolgen genau diese persönlichen Informationen.“ Einige Apps hörten damit nicht auf – „sie verfolgen auch den genauen Nutzerstandort“.

Die Überwachungskamera-Apps für den Außenbereich sammelten im Vergleich zu anderen Smart-Home-Geräten die meisten Nutzerdaten: „Im Durchschnitt sammeln sie zwölf Datenpunkte, das sind 50 Prozent mehr als bei anderen Smart-Home-Geräten üblich. Außerdem verknüpfen sie sieben dieser zwölf Punkte mit der Benutzeridentität.“

App-Problem geht über bloße Datenerfassung hinaus und greift in intime Aspekte des Lebens der Nutzer ein

Zwölf Apps hätten seit mindestens einem Jahr keine Einzelheiten über ihre Erfassungspraktiken mitgeteilt. „In einer Zeit, in der Bequemlichkeit häufig Vorrang vor Datenschutzbedenken hat, haben unsere jüngsten Untersuchungen einen beunruhigenden Trend bei den Apps für Smart-Home-Geräte aufgedeckt, vor allem von Tech-Giganten wie Amazon und Google. Es ist wichtig zu verstehen, dass dieses Problem über die bloße Datenerfassung hinausgeht und in die intimen Aspekte des Lebens der Nutzer eingreift, was, wenn es falsch gehandhabt wird, zu Datendiebstahl, Sicherheitsverletzungen und der unerlaubten, unkontrollierten Weitergabe von persönlichen Informationen an Dritte führen kann“, erläutert Goda Sukackaite, die Datenschutzbeauftragte bei Surfshark.

Sie fordert: „Die Nutzer müssen sensibilisiert und in die Lage versetzt werden, ihre digitale Privatsphäre zurückzuerlangen!“ Um der Bedrohung entgegenzuwirken, sollten Einzelpersonen aktiv nach Datenschutzeinstellungen suchen und diese nutzen, App-Berechtigungen hinterfragen und verwalten und sich über die Datensicherheitsrichtlinien der Smart-Home-Geräte informieren, die sie in ihr Leben integrieren möchten.

Weitere Informationen zum Thema:

Surfshark
Smart Home Privacy Checker insights / 1 in 10 smart home apps collected data for user tracking

statista
Number of users of smart homes worldwide from 2019 to 2028

datensicherheit.de, 04.09.2023
Smart-Home-Anwendungen bei über 30 Millionen Deutschen im Einsatz / Smart-Home-Skeptiker sorgen sich vor allem um Datensicherheit

datensicherheit.de, 18.08.2021
Schwachstelle: Millionen Smart-Home-Geräte anfällig für unbefugten Zugriff / Mit dem Internet verbundene Smart-Home-Geräte wie Kameras, Babymonitore und digitale Videorekorder könnten betroffen sein

[datensicherheit.de, 06.08.2023] Das Trend-Thema Künstliche Intelligenz (KI) hält nun auch ganz offensichtlich Einzug in den sogenannten „Smart Home“-Bereich. Laut einer aktuellen Stellungnahme von Utimaco haben Amazon und Samsung angekündigt, „dass ihre Geräte durch KI noch intelligenter und einfacher zu bedienen sein sollen“. Bevor sich diese Geräte der neuen Generation etablieren können, müssten allerdings noch Bedenken der Verbraucher ausgeräumt werden – so einer Erkenntnis aus Utimaco-Studienergebnissen. Wenn „Smart Home“-Geräte in Zukunft durch KI noch mächtiger werden, spiele Sicherheit eine noch größere Rolle als bisher. Hersteller müssten wirksame Mechanismen implementieren und diese gegenüber ihren Kunden transparent kommunizieren, um die Vorbehalte gegenüber der Technologie auszuräumen. Zu fortschrittlichen Sicherheitskonzepten könne zukünftig eventuell auch KI selbst beitragen, „indem beispielweise typische Nutzungsmuster erfasst werden und die KI bei ungewöhnlichen Abweichungen Alarm schlägt“.

Einsatz neuer, spezieller KI-Algorithmen

Demnach soll „Alexa“ ihren Nutzern zukünftig personalisierte Video-Empfehlungen geben können und auf „Echo Show“-Geräten ein Trailer angezeigt werden. „Außerdem soll die smarte Assistentin zukünftig Nachrichten zusammenfassen und basierend auf dem Verhalten ihrer Nutzer besondere Highlights für sie herausfiltern können.“ Auf Rückfragen werde „Alexa“ auch vertiefende Informationen zu bestimmten Themen recherchieren können.

Samsung möchte seine Smart-Home-Plattform „Smart Things“ weiter ausbauen und dort ebenfalls KI integrieren: „So sollen beispielsweise spezielle KI-Algorithmen zum Einsatz kommen, die den Verbrauch von vernetzten, elektrischen Haushaltsgeräten senken können.“ Eine Funktion solle etwa das Öffnen der Kühlschranktür analysieren und Nutzungsmuster erkennen, um unnötiges Kühlen zu vermeiden – „während Zeiten, in denen der Kühlschrank häufig geöffnet wird“.

Verbraucher sollen vom Mehrwert eines Smart Home mit KI überzeugt werden

„Werden sich diese neuen Technologien zeitnah in Deutschland durchsetzen? Betrachtet man Nutzungszahlen der heutigen Smart-Home-Generation, scheint es so, als seien die deutschen Verbraucher dieser Technologie gegenüber eher skeptisch.“ Denn laut einer aktuellen Utimaco-Umfrage „haben lediglich 30 Prozent der Deutschen ihr eigenes Zuhause mit smarten Geräten ausgestattet“. Das beliebteste intelligente Gerät im Haushalt sei in Deutschland der „Smart TV“: „52 Prozent der Befragten, die smarte Geräte nutzen, haben einen solchen Fernseher zuhause.“ Außerdem beliebt seien virtuelle Assistenten wie „Amazon Alexa“ oder „Google Home“ – „ein derartiges smartes Gerät nutzen 51 Prozent der Deutschen“. Geräte, welche dem Energiesparen dienen, wie beispielsweise vernetzte Thermostate, intelligente Beleuchtung etc., würden von 47 Prozent genutzt.

Eine knappe Mehrheit (51%) unter den Befragten, die keine „Smart Home“-Geräte nutzen, gibt laut Utimaco an, „dass sie dafür keinen Bedarf sehen“. Allerdings sagten auch 30 Prozent der Befragten, dass sie kein Vertrauen in die Geräte hätten, und 28 Prozent gäben an, bereits einmal Opfer von Hacking, Identitätsdiebstahl oder Datenverlust durch diese Geräte geworden zu sein. 43 Prozent der befragten deutschen Verbraucher seien der Meinung, dass die Hersteller von Smart-Home-Geräten mehr tun müssten, um für Sicherheit zu sorgen. „Gelingt es den Herstellern, diese Bedenken auszuräumen und mehr Verbraucher vom Mehrwert eines Smart Homes zu überzeugen, könnte Deutschland durch die geringe Sättigung ein sehr interessanter Markt werden.“

Bedenken gegen KI im Smart Home durch wirksame Absicherung der Geräte begegnen!

Anders als bei PC und Smartphone hätten Verbraucher bei „Smart Devices“ wenig direkte Möglichkeiten, um auf die Konfiguration und Sicherheitseinstellungen zuzugreifen. Sie müssten sich auf Sicherheitsmaßnahmen seitens des Herstellers verlassen und darauf, „dass dieser für regelmäßige Updates sorgt“. Garantien für regelmäßige und anhaltende Updates über einen gewissen Zeitraum könnten hier für mehr Sicherheit sorgen.

Ein weiteres Problem im Bereich der vernetzten Geräte stelle die Produktpiraterie dar. Weder für Händler noch für Kunden sei direkt ersichtlich, welche Bauteile sich in einem vernetzten Gerät verbergen. „Sind dort gefälschte Chips ohne oder mit unzureichenden Sicherheitsmaßnahmen verbaut, kann es gefährlich werden.“ Die Hersteller von „Smart Devices“ bräuchten wirksame Methoden, um unsichere Bauteilfälschungen bereits beim Zusammenbau ihrer Geräte ausschließen zu können. „Dafür bietet sich das Verfahren der ,Key Injection’ an. Dabei wird bereits während der Chip-Herstellung ein kryptographischer Schlüssel in die Hardware eingebracht, der zur zweifelsfreien Identifikation von vernetzten Bauteilen entlang der gesamten Wertschöpfungskette dient.“

Weitere Informationen zum Thema:

utimaco, 2023
Survey: How Trust Works in a Digital World

[datensicherheit.de, 18.08.2021] Mandiant geht in einer aktuellen Meldung auf Details zur kritischen Sicherheitslücke bei IoT-Geräten – „wie mit dem Internet verbundenen Kameras, Babymonitoren und digitalen Videorekordern“ – ein.

Offenbar Millionen von Smart-Home-Geräten potenziell gefährdet

Angreifer könnten solche Geräte über die Schwachstelle aus der Ferne kompromittieren und unter anderem:

• Live Audio abhören
• Videodaten in Echtzeit ansehen
• Dateninformationen für weitere Angriffe auf der Grundlage der Funktionen des gehackten Gerätes kompromittieren

Diese Schwachstelle betrifft nach Mandiants Erkenntnissen „Millionen von Smart-Home-Geräten, die das ThroughTek-,Kalay‘-Netzwerk nutzen“. Zum Zeitpunkt der Veröffentlichung könne Mandiant keine umfassende Liste der betroffenen Geräte erstellen. ThroughTek habe aber selbst auf seiner Website von mehr als 83 Millionen möglicherweise betroffenen IoT-Geräten berichtet.

Verbraucher mit Smart-Home-Geräten sollten diese und deren Anwendungen stets auf dem neuesten Stand halten

„Wir empfehlen Verbrauchern mit Smart-Home-Geräten dringend, ihre Geräte und Anwendungen auf dem neuesten Stand zu halten. Außerdem sollten sie komplexe, einzigartige Passwörter für alle mit diesen Geräten verbundene Konten erstellen. Auch wenn es wie eine lästige Pflicht erscheinen mag, ist das keine schlechte Vorgehensweise: Nehmen Sie sich jeden Monat ein wenig Zeit für die Aktualisierung Ihrer Haushaltsgeräte, so wie Sie sich auch für jede andere Aufgabe im Haushalt Zeit nehmen würden“, empfiehlt Jake Valetta, „Director of Professional Services“ bei Mandiant.
In einem Blog-Beitrag hat Mandiant nach eigenen Angaben die über Monate gesammelten Daten und Untersuchungsergebnisse sowie Empfehlungen für Smart-Geräte-Nutzer zusammengefasst.

Weitere Informationen zum Thema:

FIREEYE, Jake Valletta & Erik Barzdukas & Dillon Franke, 17.08.2021
Threat Research Blog / Mandiant Discloses Critical Vulnerability Affecting Millions of IoT Devices

ThroughTek, August 2021
Please Update the SDK Version to Minimize the Risk of Sensitive Information Being Accessed by Unauthorized Third-Party

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten / Bereits 37% der Deutschen haben Smart-Home-Anwendungen im Haushalt

datensicherheit.de, 30.03.2021
Erneut wurden IoT-Geräte zum Einfallstor für Hacker / Kriminelle konnten Tesla, Cloudfare und Gefängnisse über IoT-Sicherheitskameras ausspähen

BSI maßgeblich an Entwicklung des neuen Europäischen Standards beteiligt

[datensicherheit.de, 13.07.2020] Für mehr Sicherheit vernetzter Geräte im sogenannten Smart Home soll laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) der Europäische Standard (EN) 303 645 nun die Grundlage liefern. Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI eine Prüfspezifikation, um zu definieren, wie Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können.

Abbildung: ETSI

(EN) 303 645: Grundlage für mehr Sicherheit vernetzter Geräte…

Smart Home: Schutz durch neuen Standard mit maßgeblicher BSI-Beteiligung

Als Cyber-Sicherheitsbehörde des Bundes war das BSI nach eigenen Angaben „maßgeblich an der Entwicklung des am 30. Juni 2020 durch die europäische Normungsorganisation ETSI (European Telecommunications Standards Institute) veröffentlichten Standards beteiligt“.
Auf Basis dieses neuen Standards erarbeitet das BSI nach eigenen Angaben mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI derzeit bereits eine Prüfspezifikation zu EN 303 645 – diese soll definieren, „wie die Anforderungen aus dem Sicherheitsstandard strukturiert und umfassend getestet werden können“.

Jedes internetfähige Gerät eröffnet Angriffsmöglichkeiten – auch im Smart Home

„Immer mehr Menschen in Deutschland nutzen die Möglichkeiten der Digitalisierung und Vernetzung des eigenen Zuhauses. Jedes neue internetfähige Gerät eröffnet aber auch Cyber-Kriminellen neue Angriffsmöglichkeiten“, warnt BSI-Vizepräsident Gerhard Schabhüser.
Daher habe das BSI gemeinsam mit Herstellern, Prüfinstituten und internationalen Regierungsorganisationen die Entwicklung des neuen Standards vorangetrieben. Es gilt demnach, „vernetze Geräte als Teil des täglich wachsenden Internets der Dinge (IoT) auf eine sichere Basis zu stellen“.

Neuer EU-Standard ein Meilenstein für Verbraucher und ihr Smart Home

Mit dem neuen EU-Standard sei dies gelungen – „für die Informationssicherheit und Privatsphäre der Verbraucherinnen und Verbraucher in Deutschland und Europa ist dies ein Meilenstein“, so der BSI-Vizepräsident.
Der neue, weltweit anwendbare Mindestsicherheitsstandard EN 303 645 diene als Empfehlung für die sichere Entwicklung (Security by Design) von IoT-Geräten. Er baue auf dem vorherigen Standard TS 103 645 auf und auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 sei in die Erstellung des neuen europäischen Standards eingeflossen.

Unzureichend geschützte IoT-Geräte auch ein Risiko für das Smart Home

Unzureichend geschützte IoT-Geräte seien ein Risiko für die Informationssicherheit und Privatsphäre der Nutzer und daher ein beliebtes Ziel von Cyber-Angreifern. Kompromittierte Geräte könnten missbraucht werden, um an persönliche Daten der Besitzer zu gelangen oder um großflächige Cyber-Angriffe auf Infrastrukturen Dritter durchzuführen.
Um diesen Bedrohungen zu begegnen, beinhalte dieser Standard verpflichtend umzusetzende Anforderungen: „Hierzu gehören sichere Authentisierungsmechanismen, ein angemessenes Update-Management und die Absicherung der Kommunikation“, erläutert Schabhüser.

Weitere Informationen zum Thema:

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04)

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 02.05.2019] Das Smart Home erobert die Wohnung. Laut des Branchenverbands Bitkom besitzt mindestens jeder vierte eine Smart-Home-Anwendung. Gerade Video-Überwachung zählt hier zu den beliebtesten Anwendungsgebieten. ESET-Forscher haben nach eigenen Angaben schwerwiegende Sicherheitslücken in einer beliebten Cloud-Kamera der Firma D-Link entdeckt.  Die „D-Link DCS-2132L“ sendet die Videodaten im „mydlink“-Tunnel unverschlüsselt an das Smartphone des Besitzers. Angreifer können sich so per Man-in-the-middle Attacke in den Videostream einklinken oder diesen manipulieren. Die ESET-Forscher haben D-Link im August 2018 bereits umfangreiches Material über die Schwachstellen zur Verfügung gestellt. Bisher wurden bei diesem Kameramodell aber nicht alle von ESET gemeldeten möglichen Angriffspunkte geschlossen.

„Dieser Fall zeigt einmal mehr, dass Unternehmen bei der Entwicklung neuer Geräte, insbesondere im Smart Home Bereich, höhere Sicherheitsstandards anlegen sollten“, fordert Thomas Uhlemann, ESET Security Specialist. „Im aktuellen Fall raten wir Besitzern dringend, sofort zu prüfen, ob der Port 80 über das Internet erreichbar ist und den Fernzugriff in den Einstellungen zu deaktivieren.“

Angreifer können Videostream abfangen und manipulieren

Besitzer der Kamera haben die Möglichkeit, durch eine spezielle App, zum Beispiel auf ihrem Smartphone, die Kamera aus der Ferne zu nutzen. Leider sind nur Teile des Datenverkehrs verschlüsselt und sensible Bereiche, wie Anfragen zur Kamera IP- und MAC-Adresse, Versionsinformationen, der Video- und Audio-Stream sowie weitere Informationen sind unverschlüsselt einsehbar. Sogar die Firmware der Kamera lässt sich durch die Sicherheitslücken austauschen. Ob das Update der Gerätesoftware legitim ist, wird nicht abgefragt. Daher ist es ohne weites möglich, eine manipulierte Firmware mit Spionagesoftware, Krypto-Miner, Botnetze oder anderen Trojaner zu installieren.

D-Link hat Fehler nur teilweise behoben

Bereits im August des letzten Jahres haben die ESET-Forscher die Sicherheitslücken an D-Link gemeldet. Hierauf hat das Unternehmen umgehend reagiert und die Behebung der Fehler angestoßen. Seitdem wurden zwar einige Probleme behoben, andere sind aber noch immer vorhanden.  Noch immer können Angreifer die Audio- und Video-Streams abfangen und die Firmware ersetzen.

Das können Nutzer jetzt tun

• Ports überprüfen: ESET rät Besitzern der Kamera, umgehend zu prüfen, ob der Port 80 über das Internet erreichbar ist. Für diesen Test kann zum Beispiel ein Port Scanner genutzt werden.
• Fernzugriff überdenken: Überwacht die Kamera sensible Bereiche des Haushalts oder Unternehmens? Dann sollten Nutzer umgehend den Fernzugriff deaktivieren.
• UPnP deaktiveren: Universal Plug and Play (UPnP) ist für die reibungslose Kommunikation zwischen den Geräten im Netzwerk zuständig. Wenn diese Funktion nicht erforderlich ist, sollte sie besser ausgestellt werden.
• SicherheitsUpdates installieren: Regelmäßig  sollten Anwender die Geräte im Smart Home auf Updates überprüfen und sie umgehend installieren.
• Voreingestellte Passwörter ändern: Viele smarte Geräte verfügen über einen WebLogin. In einigen Fällen besteht der Administrator-Zugang aus simplen Kombinationen wie „admin:admin“ oder „admin:root“. Kriminelle kennen diese „Zugangsdaten“. Anwender sollten daher den Zugang sofort mit einem anderen, starken Passwort oder besser einer Passphrase ändern.

Weitere Informationen zum Thema:

WeLiveSecurity
D-Link Cloud-Kamera angezapft

datensicherheit.de, 26.04.2019
ESET Sicherheitsreport: Bedrohungslage für Unternehmen und Privatanwender auch 2019 hoch

datensicherheit.de, 13.10.2018
ESET: Hacker-Gruppen kooperierten bei Angriff auf Energieversorger

datensicherheit.de, 20.09.2016
photokina 2016: BSI informiert über Sicherheitsmaßnahmen für Kameras

[datensicherheit.de, 16.11.2018] Mit zunehmender Digitalisierung hält das Internet der Dinge Einzug in immer mehr Privathaushalte in Deutschland. Zentraler Bestandteil des heimischen Netzwerks aus PC, Smartphone, Smart-TV, Smart-Home-Geräten wie Rolladensteuerung oder WLAN-fähigem Kühlschrank ist der Router, der sowohl das Tor zum Internet als auch Management-Plattform für das Heimnetzwerk ist.

Über den Router laufen alle Informationen und Daten, die im heimischen Netzwerk und/oder über das Internet ausgetauscht werden. Wer Zugriff auf den Router hat, der hat oftmals auch Zugriff auf die privaten Daten. Um einen Zugriff unbefugter Dritter zu verhindern, sollte der Router also angemessen abgesichert sein. Vor dem Hintergrund seiner Zuständigkeit für den Digitalen Verbraucherschutz hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher nun die Technische Richtlinie „Secure Broadband Router“ (TR-03148) veröffentlicht.

Die Technische Richtlinie richtet sich vor allem an die Hersteller von Breitband-Routern und definiert ein Mindestmaß an IT-Sicherheitsmaßnahmen, die für Router im Endkundenbereich umgesetzt sein sollten. Ziel der TR ist es damit auch, die Sicherheitseigenschaften für Verbraucherinnen und Verbraucher transparent zu machen. Dies können Hersteller durch eine geeignete Kennzeichnung am Gerät unterstützen. Somit ist die Veröffentlichung der TR Router ein wichtiger Schritt in Richtung eines IT-Sicherheitskennzeichens, wie es die Bundesregierung in der Cyber-Sicherheitsstrategie von 2016 und im Koalitionsvertrag vorgesehen hat. Das BSI wird auch für weitere Geräte des Internets der Dinge und des Smart Homes Mindestanforderungen an deren IT-Sicherheit formulieren.

„Mit jedem neuen Smartphone, Laptop oder smarten Haushaltsgerät wird nicht nur das Internet der Dinge ein Stückchen größer, sondern auch die verfügbare Angriffsfläche. Das smarte Zuhause steht längst im Fokus von Internet-Kriminellen, die täglich neue Methoden und Angriffsmittel entwickeln, um ins Heimnetz einzudringen, Daten zu stehlen oder Web-Transaktionen zu manipulieren. Im Sinne des Digitalen Verbraucherschutzes ermöglichen wir mit der Technischen Richtlinie für Router einen besseren Schutz des Heimnetzwerks, damit die Anwender die Vorteile der Digitalisierung und des smarten Zuhauses genießen können. Wir appellieren an die Hersteller, dieses Angebot anzunehmen und per ‚Security by Design‘ ein Mindestmaß an Sicherheit in die Router einzubauen“, erklärt BSI-Präsident Arne Schönbohm.

Die Technische Richtlinie ist das Ergebnis einer intensiven und konstruktiven Diskussion mit Herstellern, Telekommunikationsanbietern und Verbänden sowie Vertretern von Behörden und Zivilgesellschaft. Als Schnittstelle zwischen dem öffentlichen Internet und dem privaten Netzwerk kommt den Routern eine besondere Rolle zu. Sie sind nicht nur Schutzschild für Angriffe gegen Komponenten innerhalb des privaten Netzes, sondern auch ein potentielles Einfallstor für Cyber-Angriffe. So gab es etwa im November 2016 einen breit angelegten Cyber-Angriff, der auch Router eines deutschen Telekommunikationsanbieters betraf und dazu führte, dass rund 900.000 Router ausfielen und die Besitzer teils über mehrere Tage nicht telefonieren oder das Internet nutzen konnten. Darüber hinaus wurde durch eine im Mai 2018 vom American Consumer Institute (ACI) veröffentlichte Studie deutlich, dass auf vielen Routern auch seit langem bekannte Sicherheitslücken vorhanden sind und bis dahin nicht geschlossen wurden.

Transparenz für den Anwender

Mit der Technischen Richtlinie hat das BSI eine Grundlage geschaffen, um Router widerstandsfähiger zu machen und besser gegen Angriffe zu schützen. Die Technische Richtlinie konkretisiert schon jetzt in der Praxis erprobte Sicherheitsanforderungen an die Schnittstellen und Funktionalitäten des Routers über dessen gesamte Betriebszeit. So wird etwa die Fähigkeit gefordert, dass Updates auf dem Router eingespielt werden können und für den Verbraucher klar zu erkennen ist, wie lange der Router mit (sicherheitsrelevanten) Updates versorgt wird. Zur Einhaltung der Technischen  Richtlinie ist der Hersteller angehalten, schwere Sicherheitslücken durch die Bereitstellung eines entsprechenden Updates zu schließen oder aber die Pflege des Routers transparent aufzukündigen. Hierdurch wird Angreifern die systematische Ausnutzung von Sicherheitslücken in Routern zumindest erschwert, wenn nicht sogar verhindert.

Weitere Anforderungen der TR betreffen eine Minimierung der auf dem Gerät ausgeführten Dienste für die vom Nutzer ausgewählten Funktionalitäten, eine zwingend auf dem Router zu implementierende Firewall sowie Anforderungen an initiale Passworte und Verschlüsselung. So werden etwa Anforderungen an die für den Zugriff auf die Konfigurationsoberfläche des Routers notwendige Authentisierung definiert. Zudem adressiert das BSI in der TR auch das von vielen Routern  angebotene WiFi, um einen unbemerkten und unberechtigten Zugriff auf das private Netzwerk zu verhindern.

Weitere Informationen zum Thema

BSI
BSI TR-03148 Sichere Breitband Router

datensicherheit.de, 07.11.2018
Neuer BSI-Lagebericht 2018: E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt

datensicherheit.de, 11.10.2018
BSI: Lagebericht zur IT-Sicherheit in Deutschland 2018 veröffentlicht

„8. Tag des Einbruchschutzes“ am 28. Oktober 2018

[datensicherheit.de, 23.10.2018] Nach Angaben des BUNDESVERBANDs DER SICHERHEITSWIRTSCHAFT (BDSW) findet am 28. Oktober 2018 bereits zum achten Mal der „Tag des Einbruchschutzes“ statt. Sein Motto lautet demnach „Eine Stunde mehr für mehr Sicherheit“. Die immer mehr eingesetzte Smart-Home-Technologie wird dabei als Ergänzung zur mechanischen Sicherung gesehen.

Abbildung: BDSW BUNDESVERBAND DER SICHERHEITSWIRTSCHAFT

Empfehlungen zu effektiver Sicherungstechnik für das eigene Zuhause

Neuauflage der Broschüre „Sicher wohnen“ mit dem Thema „Smart Home“

Zu Beginn der dunklen Jahreszeit möchte die Polizeiliche Kriminalprävention wieder verstärkt zu effektiver Sicherungstechnik für das eigene Zuhause werben:
„Die Initiative ,K-EINBRUCH‘, zu der der ,Tag des Einbruchschutzes‘ gehört, hat sich zum Ziel gesetzt die Sensibilität der Bürgern gegenüber dem Thema Einbruch in ihr Zuhause zu steigern“, erläutert Dr. Harald Olschok, BDSW-Hauptgeschäftsführer und geschäftsführendes Präsidiumsmitglied. Auch die Mitgliedsunternehmen des BDSW stünden interessierten Bürgern „gerne mit Rat und Tat“ zur Seite.
Bei der nächsten Polizeidienststelle vor Ort könnten sich interessierte Bürger über Veranstaltungen zum Aktionstag informieren. Zudem sei von der Initiative „K-EINBRUCH“ die Broschüre „Sicher wohnen“ neu aufgelegt und um das Thema „Smart Home“ ergänzt worden.

Smart-Home-Technologie als Ergänzung der mechanischen Sicherung

Weit über ein Drittel aller Einbrüche scheiterten bereits an einer guten Sicherung der Häuser oder Wohnungen. Die Polizei empfiehlt daher eine mechanische Sicherung aller Fenster und Türen, damit „ungebetene Gäste“ erst gar nicht hineinkommen.
Die immer mehr eingesetzte Smart-Home-Technologie könne dabei allenfalls als Ergänzung zur mechanischen Sicherung dienen, denn Smart-Home-Lösungen allein stellten „kein durchgängiges und damit zuverlässiges Einbruchmelde- bzw. Gefahrenwarnsystem“ dar.
„Auf der Plattform ,www.k-einbruch.de‘ gibt es neben Verhaltenstipps zahlreiche Informationen zu Sicherheitstechnik oder beispielsweise auch ein ,interaktives Haus‘, das diejenigen Stellen an Haus oder Wohnung aufzeigt, die besonders gesichert werden sollten. Außerdem informiert die Seite über Möglichkeiten der staatlichen Förderung von Einbruchschutz.“ Dort gebe es zudem alle weiteren kostenlosen Medien zum Thema Einbruchschutz als Download.

Weitere Informationen zum Thema:

KEINBRUCH – Eine Initiative Ihrer Polizei und der Wirtschaft
EINBRUCHSCHUTZ WIRKT

KEINBRUCH – Eine Initiative Ihrer Polizei und der Wirtschaft
Download: Broschüre „Sicher wohnen“ (Themen: Diebstahl, Einbruch; 56 Seiten, A5)

[datensicherheit.de, 27.06.2018] Nach Einschätzung von TÜV Rheinland ist das sogenannte Smart Home längst Realität, aber noch nicht Standard. Demnach gehen eigene Experten davon aus, dass sich das sehr schnell ändern wird: Bereits in fünf Jahren würden sich ihrer Einschätzung nach in jedem Privathaushalt rund 500 Geräte, Produkte, Anwendungen und Komponenten befinden, die internetfähig bzw. bereits mit dem Internet verbunden seien. Diese Prognose ist in den „Cybersecurity Trends 2018“ zu finden. Das Problem sei, dass viele dieser „smarten“ Produkte und Anwendungen „nicht ausreichend auf Datensicherheit und Cybersecurity überprüft“ worden seien.

Vernetzte Geräte: Sammlung und Austausch von Daten

Zu den „smarten“ vernetzten Geräten gehörten Online-Steuerungssysteme für Rolladen, Licht oder Heizung ebenso wie Fernseher, Kühlschranke oder Rasenmähroboter, Mobiltelefone, Tablet-PCs oder Babyphones.
„Vernetzte Geräte müssen Daten sammeln und untereinander austauschen, damit sie funktionieren. Sonst sind diese nicht ,smart‘. Gleichzeitig müssen sie in Sachen Datensicherheit und gegen Cyber-Einbrüche gut gesichert sein“, erläutert Dr. Daniel Hamburg, Leiter des „Center of Excellence Testing and Certification“ bei TÜV Rheinland.
Hamburg fordert unter anderem, dass Standards zur Prüfung von Gerätesicherheit um Prüfungen für Datensicherheit und Cybersecurity erweitert werden: „Sonst öffnen wir mit dem ,Smart Home‘ einer neuen Art von Einbrechern Tür und Tor.“

Cyber-Kriminelle als Einbrecher der nächsten Generation

Tatsächlich gebe es bereits heute immer wieder Zwischenfälle, in denen es mit vergleichsweise einfachen Mitteln möglich sei, in Systeme und Produkte einzudringen, die mit dem Internet verbunden sind. Dies erfolge beispielsweise über Schadsoftware oder über das WLAN.
Zuletzt hätten Experten von TÜV Rheinland beispielsweise in einem Versuch einen sogenannten Wechselrichter einer Solarstromanlage gehackt. Dadurch wäre es möglich gewesen, verbundene Speichersysteme oder gar das Stromnetz selbst zu beeinträchtigen. Auch Alarmanlagen oder Überwachungssysteme seien von Einbrechern bereits gehackt und ausgehebelt worden.

Datenschutz: Auf Einhaltung der Vorschriften achten!

Damit Verbraucher bereits beim Kauf mehr Sicherheit haben, ob Produkte und Systeme den aktuellen Anforderungen an Datenschutz und Online-Sicherheit entsprechen, fordern Experten demnach „unabhängige Prüfungen nach einheitlichen Standards“.
Hamburg: „Seit 40 Jahren gibt es in Deutschland das GS-Zeichen für geprüfte Sicherheit von Produkten. Ähnliche Prüfzeichen benötigen wir jetzt für smarte Produkte, um geprüfte Datensicherheit und Cybersecurity für die Verbraucherinnen und Verbraucher auf einen Blick erkennbar zu machen. Das schafft eine Vergleichsmöglichkeit im Markt und sorgt für Vertrauen in die Hersteller.“
Entsprechende Prüfungen habe TÜV Rheinland seit 2017 entwickelt: Hierbei kontrollierten die Fachleute den Datenschutz und die Datensicherheit von Produkten beziehungsweise von Anwendungen, die mit diesen Produkten in Verbindung stehen. Denn mit einem internetfähigen Gerät sei fast immer auch ein Service verbunden, zum Beispiel die mobile und flexible Steuerung über ein Smartphone.
Beim Kauf neuer smarter Geräte sollten sich Verbraucher in jedem Fall auch über die Einhaltung von Datenschutzvorschriften informieren und nicht nur auf den Preis achten.

„Cybersecurity Trends“ bereits zum vierten Mal erschienen

Die „Cybersecurity Trends“ von TÜV Rheinland seien 2018 zum vierten Mal erschienen. Sie seien über mehrere Monate innerhalb eines internationalen Teams recherchiert und erstellt worden.
Dieser Report basiere auf einer Umfrage unter führenden Fachleuten für Cybersecurity von TÜV Rheinland und den Erfahrungen von Unternehmen in Europa, Nordamerika sowie Asien. Dazu hätten die Fachleute auch Unternehmen und Organisationen verschiedener Branchen befragt und weltweit Sicherheitsverletzungen des vergangenen Jahres analysiert.
Die „Cybersecurity Trends 2018“ sollen Auskunft zu acht bedeutenden Entwicklungen rund um Datensicherheit, IT-Security, Datenschutz und Cyber-Kriminalität geben. Dazu zählten unter anderem die Auswirkungen der neuen Datenschutzbestimmungen innerhalb der Europäischen Union – Stichwort Datenschutzgrundverordnung (DSGVO) –, der Trend zu biometrischen Erkennungssystemen im Alltag sowie der Aufbau Künstlicher Intelligenz (KI) rund um Cybersecurity.

Weitere Informationen zum Thema:

TÜVRheinland
Cybersecurity Trends 2018 / Cybersecurity in einer zunehmend digitalen Welt

datensicherheit.de, 26.10.2016
Cyber-Angriffe durch IoT-Botnetze: BSI nimmt Hersteller in die Pflicht

datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen

[datensicherheit.de, 14.03.2018] „Smarte“ Standard-Geräte wie Babyphones, Überwachungskameras, Türklingeln und Thermostate konnten von Cyber-Forschern der Ben-Gurion-Universität des Negev (BGU) nach eigenen Angaben problemlos übernommen werden. Im Rahmen ihrer laufenden Forschung zur Erkennung von Schwachstellen in Geräten und Netzwerken, wie sie sich im „Smart Home“ und „Internet of Things“ (IoT) verbreiten, haben die Forscher demnach viele gängige Geräte auseinandergenommen und im Zuge ihres „Reverse Engineering“ schnell ernsthafte Sicherheitsprobleme aufgedeckt.

Leichtes Spiel für kriminelle Machenschaften

„Es ist wirklich beängstigend, wie leicht ein Krimineller, Voyeur oder Pädophiler diese Geräte übernehmen kann“, berichtet Dr. Yossi Oren, Dozent an der BGU-Abteilung für Software- und Informationssystemtechnik und Leiter des Implementation Security and Side-Channel Attacks Lab bei „Cyber@BGU“.
„Mit diesen Geräten in unserem Labor konnten wir laute Musik über einen Babyphon spielen, einen Thermostat ausschalten und eine Kamera aus der Ferne einschalten, sehr zur Sorge unserer Forscher, die selbst diese Produkte verwenden“, so Oren.
Es habe nur 30 Minuten gedauert, um Passwörter für die meisten Geräte zu finden, und einige von ihnen seien schon durch eine Google-Suche nach der Marke gefunden worden, erläutert Omer Shwartz, Doktorand und Mitarbeiter in Dr. Orens Labor: „Hacker können auf ein IoT-Gerät wie eine Kamera zugreifen und ein komplettes Netzwerk dieser ferngesteuerten Kameramodelle erstellen.“

Billigkeit geht zu oft vor Sicherheit

Die BGU-Forscher hätten mehrere Möglichkeiten entdeckt, wie Hacker von schlecht gesicherten Geräten profitieren könnten. So sei festgestellt worden, dass ähnliche Produkte unter verschiedenen Marken dieselben gemeinsamen Standardkennwörter verwendeten. Verbraucher und Unternehmen änderten Gerätekennwörter nur selten nach dem Kauf, so dass sie jahrelang mit bösartigem Code infiziert seien.
Sie konnten sich laut BGU auch an ganzen Wi-Fi-Netzwerken anmelden, indem sie einfach das in einem Gerät gespeicherte Passwort abriefen, um Netzwerkzugriff zu erhalten.
Oren drängt die Hersteller dazu, auf einfache, fest codierte Passwörter zu verzichten, Remote-Access-Funktionen zu deaktivieren und Informationen aus freigegebenen Ports zu erschweren, wie z.B. von einer Audiobuchse, die sich schon in anderen Studien von „Cyber@BGU“ als verwundbar erwiesen habe. „Es scheint oft wichtiger zu sein, IoT-Produkte zu einem attraktiven Preis auf den Markt zu bringen, als sie richtig zu sichern“, sagt er.

BGU-Tipps für IoT-Produktsicherheit:

Mit dem Ziel, Verbrauchern den Schutz intelligenter Heimgeräte zu vereinfachen, bieten die BGU-Forscher eine Reihe von Tipps, um IoT-Geräte, Familien und Unternehmen sicherer zu machen:

• Kaufen Sie IoT-Geräte nur von namhaften Herstellern und Anbietern.
• Vermeiden Sie den Erwerb gebrauchter IoT-Geräte (diese könnten bereits Malware installiert haben).
• Untersuchen Sie jedes Gerät online, um festzustellen, ob es ein Standardkennwort hat, und ändern Sie es vor der Installation.
• Verwenden Sie sichere Kennwörter mit mindestens 16 Buchstaben (diese sind schwer zu knacken).
• Mehrere Geräte sollten nicht dieselben Passwörter haben.
• Aktualisieren Sie regelmäßig die nur von namhaften Herstellern bezogene Software.
• Berücksichtigen Sie sorgfältig die Vorteile und Risiken der Verbindung eines Geräts mit dem Internet.

Preiswerte Geräte offenbaren komplexe Datensicherheitsherausforderungen

„Die zunehmende Popularität der IoT-Technologie birgt viele Vorteile, aber diese Flut neuer, innovativer und preiswerter Geräte offenbart komplexe Sicherheits- und Datenschutzherausforderungen“, warnt Yael Mathov, der ebenfalls an der Studie beteiligt war.
„Wir hoffen, dass unsere Ergebnisse die Hersteller stärker zur Rechenschaft ziehen und helfen, sowohl die Hersteller als auch die Verbraucher auf die Gefahren aufmerksam zu machen, die mit der weitverbreiteten Verwendung ungesicherter IoT-Geräte verbunden sind.“

Weitere Informationen zum Thema:

datensicherheit.de, 08.02.2018
Angreifer überwinden selbst Faradaysche Käfige und Luftstrecken

Springer Link, 26.01.2018
Opening Pandora’s Box: Effective Techniques for Reverse Engineering IoT Devices

datensicherheit.de, 08.11.2017
Studie: Cybersicherheit im Kontext von IoT und Operational Technology

datensicherheit.de, 06.10.2016
SANS Institute: Warnung vor IoT-Botnetzen

[datensicherheit.de, 14.02.2017] Laut der aktuellen „DsiN-Index“-Studie zeigt sich jeder fünfte Verbraucher skeptisch hinsichtlich der Hausvernetzung. Deutschland sicher im Netz e.V. (DsiN) wirbt daher für einen Dialog zu Sicherheitsfragen rund um das vernetzte Zuhause.

Starke Vorbehalte gegen vernetzte Haustechnik und Unterhalktung

Jeder vierte Verbraucher hält laut DsiN vernetzte Haustechnik für „mindestens gefährlich“ und jeder fünfte vernetzte Unterhaltung „riskant“, so eine Feststellung des „DsiN-Sicherheitsindex 2016“. Gleichzeitig halte das „Smart Home“ weiter Einzug in deutsche Haushalte. Die Initiative DsiN mahnte deshalb anlässlich der „Safer Internet Day“-Konferenz des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) am 14. Februar 2017, einen Dialog mit Verbrauchern zu starten, der solche Vorbehalte ernstnimmt.

Bedenken der Verbraucher aufnehmen!

„Ob Verbraucher dem ,Smart Home‘ vertrauen, hängt wesentlich von ihrem Sicherheitsgefühl und Datenschutz ab“, betont DsiN-Geschäftsführer Dr. Michael Littger. Deshalb brauche man „einen gemeinsamen Dialog, der die Bedenken der Verbraucher einbezieht“.
Laut DsiN bestehen bereits „gute Sicherheitslösungen“ im „Smart Home“ oder befinden sich in der Entwicklung. Diese lieferten Antworten auf Sicherheitsfragen in vernetzten Diensten und Produkten.
Doch müsse der Verbraucher verständlich über Sicherheit und Datenschutz aufgeklärt werden, fordert Littger.

Weitere Informationen zum Thema:

DsiN Deutschland sicher im Netz e.V.
SiBa – Aktuelle Meldungen

DsiN Deutschland sicher im Netz e.V.
DsiN-Sicherheitsindex 2016

datensicherheit.de, 07.02.2017
DsiN ruft zum Engagement gegen digitale Angriffe auf