Immer mehr Haushaltsgeräte sind mit dem Internet verbunden. Sicherheitsexperte Ahmad-Reza Sadeghi erklärt, warum das gefährlich sein kann – und wie man sich vor Hackern schützt.
Ob Saugroboter, vernetzte Lautsprecher oder Kameras mit Smartphone-Anbindung: Immer mehr internetfähige Geräte halten in unsere Wohnungen und Häuser Einzug. Das Statistik-Unternehmen Statista schätzt, dass 2024 bereits rund 45 Prozent aller Haushalte in Deutschland solche „Smarthome“-Geräte nutzen. Bis 2028 könnte der Wert sogar auf mehr als 90 Prozent steigen. Nützlich sind die intelligenten Helfer allemal. Doch sie haben auch ihre Schattenseiten, wie Sicherheitsexperte Ahmad-Reza Sadeghi in seinen Versuchen unter Beweis stellt. Der Informatikprofessor der TU Darmstadt hackt regelmäßig smarte Geräte, um sie auf Sicherheitslücken zu testen. Fündig wird er dabei fast immer.
Herr Professor Sadeghi, fangen wir gleich mit einem Horrorszenario an: Ein Einbrecher hackt mein „Smart-home“ und öffnet auf Knopfdruck die Haustür – ist das Science-Fiction oder passiert so etwas wirklich?
Das ist durchaus möglich. Sie können einem Sprachassistenten mit einer gefälschten Stimme einen Befehl erteilen. Ein paar Clips von Ihnen in sozialen Netzwerken genügen, um Ihre Stimme zu synthetisieren. Die ist von der echten dann kaum unterscheidbar –
vorausgesetzt, es gibt in den Videos keine störenden Hintergrundgeräusche. Technisch ist das alles möglich. Die Frage ist eher: Wie viel Aufwand betreibt ein Einbrecher? Noch ist die Wahrscheinlichkeit relativ gering, aber in naher Zukunft werden solche Fragen umso wichtiger werden.
Sie beschäftigen sich seit vielen Jahren mit der IT-Sicherheit von smarten Haushaltsgeräten. Wann ist ein Fernseher oder ein Kühlschrank denn „smart“?
Smart ist ein Fernseher oder ein Kühlschrank immer dann, wenn er sich mit anderen Geräten oder mit der Außenwelt verbinden und gleichzeitig viele Aufgaben automatisiert erledigen kann. Ich selbst habe zwischen 30 und 40 solcher Geräte zu Hause: Kameras, Lichtsysteme und auch Sprachassistenten, die man im Volksmund als „Alexa“ oder „Siri“ bezeichnet.
Gerade Ihnen als Sicherheitsexperte müsste doch unheimlich werden bei so vielen potenziellen Spionen …
Es kommt darauf an, wo und wofür man die Geräte einsetzt. In Zimmern, in denen ich nackig herumlaufe, will ich keine Kamera haben. Im Garten sehe ich das nicht so eng, obwohl auch dort der Rasenmähroboter bestimmte Daten nach außen sendet. Noch schlimmer sind Staubsauger-Roboter, die über Kameras verfügen. Wir haben Hackerangriffe simuliert und konnten bei dem angegriffenen Staubsauger komplette Wohnungspläne herunterladen. Deshalb ist es wichtig, sich zu schützen.
Wie schützen Sie sich denn?
Um private Daten, zum Beispiel Kameraaufnahmen, zu schützen, überprüfe ich, ob ich die Verbindung der Geräte zu ihren Servern kappen kann. Dann lasse ich sie über meinen eigenen Server laufen. Bei manchen Geräten geht das; da lassen sich die Verbindungsprotokolle manipulieren.
Das ist jetzt sicher nicht die Methode, die Otto-Normal-Verbraucher im Sinn hat …
Wenn man keinen IT-Hintergrund hat, ist es fast unmöglich, solche Tricks anzuwenden. Deshalb hilft nur eins: sehr vorsichtig sein. Informieren Sie sich über ein Produkt, bevor Sie es kaufen. Lesen Sie Presseartikel! Wurde das Produkt schon mal gehackt? Wie reagiert die Firma, wenn jemand Probleme öffentlich macht? Das gibt schon mal einen guten Eindruck.
Was sind die größten Gefahren, die von smarten Geräten ausgehen?
Es gibt zwei Szenarien: Entweder jemand greift von außen auf das Gerät zu – oder die Mitarbeiter der Firma selbst. Das Problem ist, dass sich diese Dinge nicht so einfach beweisen lassen. Sie wissen nicht, ob ein Amazon-Mitarbeiter mithört, wenn Sie etwas Privates erzählen. Wir sehen aber durchaus, dass etwas aufgenommen wird. Es liegt nah, dass zum Beispiel „Alexa“ Gespräche analysiert, um ihre Algorithmen zu verbessern. Die Sprachassistenten sollen ja besser werden und zum Beispiel Dialekte oder Akzente verstehen. Dazu braucht die Firma Material.
Also lieber keine Kreditkartennummern sagen, wenn „Alexa“ in der Nähe steht?
Und keine Passwörter! Das Problem ist auch nicht auf Alexa beschränkt. Viele Geräte sind so ausgestattet, dass sie sich mit Sprachassistenten verbinden können. Mein Rauchmelder hat zum Beispiel ein Mikrofon. Oder nehmen Sie einen GPS-Tracker, wie ihn viele Hunde oder Katzen am Halsband tragen. Damit lässt sich leicht feststellen, wo sich Herrchen oder Frauchen gerade aufhält.
Was ist der schlimmste Hack, der Ihnen bisher untergekommen ist?
Man kann Geräte für ganz andere Zwecke nutzen als die, wofür sie konstruiert wurden. Manche Hacker infizieren im großen Stil smarte Kameras oder Router. Diese Privatgeräte greifen dann zu Tausenden gleichzeitig auf fremde Websites zu, ohne dass ihre Besitzer davon etwas bemerken. Durch diese massiven Anfragen werden die angegriffenen Websites überlastet und lahmgelegt – alles schon passiert, zum Beispiel bei Netflix oder Spotify. Solche Computerwürmer können sich selbst weiterverbreiten, indem sie nach ungeschützten smarten Geräten suchen. Dadurch werden sie immer mächtiger.
Und dagegen kann man gar nichts machen?
Gerade preisgünstige Geräte sind anfällig für Sicherheitslücken. Deshalb ist es wichtig, die Standardpasswörter zu ändern, denn die kennen auch die Hacker. Wie das geht, steht in der Bedienungsanleitung.
Wäre es dann nicht besser, auf smarte Geräte komplett zu verzichten?
Das würde ich nicht sagen. Die drei großen Player – also Amazon, Google und Apple – geben sich große Mühe, ihre Geräte sicherer zu machen. Alexas Spracherkennung ist heute komplett verschlüsselt – da kommen Sie nicht mehr so einfach dran. Wenn ich ein Produkt hacke und das Unternehmen danach auf die Schwachstelle aufmerksam mache, wird der Fehler in den meisten Fällen behoben. Fitnesstracker konnten wir zum Beispiel so manipulieren, dass sie statt 10.000 Schritten plötzlich eine Million Schritte angezeigt haben. Die Lücke wurde dann schnell geschlossen; die Firmen lernen also durchaus dazu.
Sind die großen Marken besser als kleine Start-ups?
Das kann man so pauschal nicht sagen. Es gibt Start-ups, deren Kerngeschäft Sicherheit ist, auch hier an der TU Darmstadt. Selbst Riesen wie Google haben mal klein angefangen. Andererseits werden gerade die großen Firmen permanent angegriffen. Dadurch haben sie wiederum viel Erfahrung, was die IT-Sicherheit angeht …
Chinesische Firmen stehen oft unter Spionageverdacht. Wie sehen Sie das?
Ich würde bei allen Geräten vorsichtig sein – egal, woher sie kommen. Natürlich hat China ein anderes politisches System, was nicht unserer Vorstellung einer Demokratie entspricht. Außerdem sind die Prozesse dort für uns ziemlich undurchsichtig. Wenn da eine Firma aufgefordert wird, Daten herauszugeben, muss sie das auch tun. Andererseits hat auch die US-Regierung schon bewiesen, dass sie spioniert. Und auch große westliche Tech-Unternehmen lassen in China produzieren. Ganz so einfach ist die Sache also nicht.
Dann ganz konkret gefragt: Von welchen Firmen und Geräten würden sie abraten, weil sie zu unsicher sind? Und welche würden Sie empfehlen?
(lacht): An deutschen Hochschulen haben wir nicht viele Anwälte; also so konkret werden wir lieber nicht. Wir warnen nicht pauschal vor Firmen, sondern immer vor einzelnen Geräten. Über diese Sicherheitslücken informieren wir die Öffentlichkeit. Zum Beispiel haben wir mal einen Staubsauger-Roboter gehackt, der woanders stand. Wir konnten ihn einfach von unserem Labor aus starten. Die Firma wollte die Sicherheitslücke anfangs nicht beheben. Erst als Journalisten darüber berichtet haben, hat sich was getan.
Klingt nach einem ständigen Wettlauf zwischen Kriminellen und Sicherheitsfachleuten. Woran arbeiten Sie aktuell?
Wir haben ein System entwickelt, das checkt, ob ein Smarthome-Gerät etwas über Wi-Fi nach außen sendet. Die vernetzten Geräte können sich nämlich auch untereinander ausspionieren – ein kompromittierter Sprachassistent kann zum Beispiel Daten aufnehmen und über den Router nach außen senden. Außerdem arbeiten wir daran, die Geräte vor Sprachsynthese besser zu schützen. Der Einbrecher, über den wir am Anfang gesprochen haben, könnte mit einer gefälschten Stimme also nicht mehr so einfach das Garagentor öffnen.
Spricht angesichts dieser Nachteile überhaupt etwas fürs Smarthome?
Ja, natürlich. Vernetzte Geräte sind total nützlich. Letztens musste ich eine Vorlesung unterbrechen, weil ständig eine Warnung auf meinem Smartphone erschienen ist: Da stand jemand in meinem Garten, also dort, wo sich kein Fremder aufhalten soll. Durch die Kamera habe ich gesehen, dass es ein Postbote war. Ich habe das Mikrofon aktiviert und ihm per Lautsprecher gesagt, wo er das Paket abstellen soll. Der Mann war total erschrocken. Woher kommt plötzlich diese Stimme? So was hatte er noch nie erlebt. Ein Smart-home kann also auch für mehr Sicherheit sorgen, solange es keine absurden Züge annimmt. Deshalb ist die Technik so beliebt.