Internet of Things – Verräterische Haustechnik

In der Schweiz dürfen elektronische Geräte nur verkauft werden, wenn sie den geltenden Produktnormen genügen. Mindestanforderungen bezüglich Sicherheit und Privatsphäre gibt es jedoch keine. Gerade im Internet of Things werden diese Ansprüche daher häufig nur ungenügend berücksichtigt, wie Beispiele zeigen.

Geräte des täglichen Lebens, eben noch «analog» und «offline» gute Dienste tuend, werben immer häufiger mit den Etiketten «smart» und «cloud» um die Gunst der Kundschaft. Spielwaren, Fernseher, Küchengeräte, Überwachungskameras und Autos kommunizieren mittlerweile über das Internet. Fast immer nutzen und übertragen die Geräte auch sehr persönliche Informationen über den Haushalt oder die Nutzer. Privatsphäre und Sicherheit stehen dabei oftmals nicht an oberster Stelle.

Ein Beispiel dafür liefert die Power Station des Heimautomationssystem maxSMART. Funktionell ist die intelligente Steckdosenleiste mit Smartphone-App durchdacht und wurde von PCtipp empfohlen. Gemäss unserem Test sieht es hinter der reinen Endbenutzersicht jedoch weniger erfreulich aus: Sowohl das getestete Gerät als auch die App kommunizierten unverschlüsselte mit dem Cloud-Server. Zudem liess sich mit wenig Aufwand dem Server des Herstellers ein kompletter Abzug der Cloud-Datenbank entlocken: Darin befinden sich im Klartext nicht nur die Seriennummern und Aktivierungscodes der Geräte, sondern auch die E-Mail-Adressen und Passwörter sämtlicher KundInnen und Administratoren. Mit diesen Daten ist es ein Leichtes, die Geräte aller bestehenden Kunden zu übernehmen und deren Smart Home fernzusteuern.

Max Hauri Produkte bei Migros
Do it + Garden Migros
Einkaufszentrum Glatt, März 2017

Nachdem die Digitale Gesellschaft den Hersteller auf die Schwachstellen und deren Auswirkungen hingewiesen haben, wurden die öffentlich einsehbaren Kundendaten innert weniger Minuten entfernt, die Kommunikation der Smartphone-Apps auf HTTPS umgestellt und die bestehenden Benutzer dazu gezwungen, ein neues Passwort zu wählen. Gemäss Hersteller entspricht zudem «die Handhabung der Passwörter neu dem Standard der heutigen Technik» – genauere Angaben über verwendete Hash-Algorithmen, die neue Technik und die neue Passwort-Richtlinie teilte er uns jedoch nicht mit. Unserer Bitte, die Benutzer über das Passwortleck aufzuklären, wurde nicht nachgekommen. Zudem findet die Kommunikation zwischen Stromleiste und Cloud-Server noch immer unverschlüsselt statt. Auch wenn der Hersteller dies verneint, ist es damit weiterhin problemlos möglich, durch Mitschneiden dieser Daten die Kontrolle über die Kundengeräte zu übernehmen.

Dass von hierzulande ansässigen Firmen verkaufte Produkte minimalen Sicherheitsansprüchen nicht genügen, ist leider kein Einzelfall. Zur Jahreswende 2015/2016 haben wir den Heise Verlag darauf aufmerksam gemacht, dass Aldi in der Schweiz (und auch Deutschland) netzwerkfähige Überwachungskameras verkauft, welche sich ab Werk ohne gesetztes Passwort über UPnP mit dem Internet verbinden: Neben WLAN-, E-Mail- und FTP-Passwörter sind somit ungebetenen Gästen auch Einblicke in private Räume sowie, je nach Model, die Verwendung des integrierten Mikrofons möglich. Der Hersteller bietet zwar ein Update an, dieses muss jedoch manuell installiert werden. Von aktuell 18’000 verbundenen Geräten listet die IoT-Suchmaschine Shodan aktuell immer noch rund 3’600 Geräte mit veralteter Software.

KundInnen müssen, ungeachtet der Preisklasse, bei jedem vernetzten Gerät damit rechnen, dass der Hersteller die Sicherheit vernachlässigt. Auch wenn bei teureren Geräten eher ein Budget für Sicherheit und Wartung eingerechnet sein dürfte, ist der Preis kein taugliches Entscheidungsmerkmal. Allenfalls könnte die Einführung eines Mindesthaltbarkeitsdatum helfen, bis zu dessen Ablauf sich Hersteller verpflichten für Updates und Sicherheit ihrer Produkte zu sorgen – und damit die nötige Transparenz für die KonsumentInnen schaffen.

Neben den Herstellern und den Konsumenten steht daher auch die Politik in der Pflicht. Während Nationalrat Balthasar Glättli mit «Cybersicherheit. Missbrauch von gehackten Geräten des Internet of Things für Botnetze durch Sicherheitsstandards unterbinden» die richtigen Fragen stellt, scheint die Motivation der Schweizer Regierung, diesbezüglich aktiv zu werden, eher gering.

Deshalb hat Balthasar Glättli in der Frühlingssession einen Vorstoss eingereicht: «Mich stört, wenn einerseits die Armee mit dem Stichwort ‚Cybersicherheit‘ massiv neue Ressourcen verlangt und andererseits gleichzeitig der Bund nicht einmal bereit ist zu prüfen, wie man zumindest minimalsten Sicherheitsstandards bei IoT-Geräten durchsetzen kann.» Zwar unterstützt Glättli die Anstrengungen, auf internationaler Ebene Standards zu setzen. Er ergänzt aber: «Völlig ungeschützte Geräte, das darf es einfach nicht länger geben.» Über den richtigen gesetzgeberischen Ansatz ist er sich allerdings noch nicht im Klaren: «Möglicherweise wäre eine längere Gewährleistungszeit mit Updatepflicht sinnvoll, allenfalls auch eine Verschärfung der Produktehaftung.»

Abschliessend ein Beispiel, dass Produktverantwortung auch anders gehen kann: Der französische Hersteller Withings liefert Firmware-Updates nicht nur für die aktuellen Produkte, sondern auch für solche, die nicht mehr produzierte werden. Die mit dem Internet verbundene Waage Withings WS-30 aus dem Jahr 2012 bekam im Januar 2017 ein Firmwareupdate, welches eine verschlüsselte Kommunikation zwischen Gerät und Cloud-Server ermöglicht.