Der Zombie im Kinderzimmer – oder wie ein Fremder unbemerkt bei Ihnen wohnt

Der technologische Fortschritt ist nicht aufzuhalten und die Vernetzung von jeglicher Art Haushaltshilfen und Systeme ist längst Realität.

Man spricht in diesem Zusammenhang auch gerne vom „Internet der Dinge“ (IoT), vom intelligenten Kühlschrank, der noch intelligenteren Haussteuerung und dem sich via App meldenden Kaffeekocher. Obwohl die Verbreitung dieser Systeme in den meisten Haushalten aktuell noch klein ist, schreitet sie unaufhörlich voran. Es ist Zeit sich einige Gedanken zu dem Thema zu machen.

Technologie zu erschwinglichem Preis

Für viele „Selbstbauer“ wurden Mikrocontrollersysteme wie die ATTiny-Serie von Atmel oder Einplatinencomputer-Systeme (wie z.B. der Raspberry Pi) in den letzten Jahren in grossen Mengen zu kleinem Preis erschwinglich.

Das Internet ist voll von Selbstbauprojekten mit dem Raspberry PI. Sei es die Ansteuerung einer Drohne, für den Aufbau eines Heimautomatisierungssystems, eigene Robotik-Projekte, Musik-Streaming Systeme, etc. Allen gemein ist, dass die Ansteuerung der Systeme und die Bereitstellung von Informationen über eine Netzwerkschnittelle möglich ist.

Auch die Spielwaren-Industrie ist auf diesen Zug aufgesprungen und bietet, zu verhältnismässig kleinem Preis, intelligente und vernetztes Spielzeug feil. Als Beispiele sind exemplarisch die nicht ganz unumstrittene sprechende Barbie oder die Lego-EV3-Mindstorm-Systeme, welche im Kinderzimmer Einzug halten, genannt.

Fehlendes Sicherheitskonzept

Das Problem ist so alt wie die Computer selbst: Die Programme beinhalten Fehler, welche ein Programm zum Absturz bringen können oder, im schlimmsten Fall, einem Fremden die Kontrolle über das „intelligente System“ geben und es von aussen „steuerbar“ machen können.

Je höher die Dichte der Vernetzung, desto wahrscheinlicher wird das Produkt Ziel eines solchen Angriffs sein. Insbesondere Schadsoftware die sich autonom verbreiten, sogenannte Würmer (exemplarisch sei hier der Morris-Wurm aus dem Jahr 1988 erwähnt), stellen eine grosse Gefahr für autonom agierende Systeme dar.

Leider ist das Sicherheitsbewusstsein bei den Herstellern nicht sehr ausgereift und obwohl die Computerindustrie sich seit den 1980er Jahren mit dem Thema Systemsicherheit und Schutz gegen Schadsoftware beschäftigt, wird dies in vielen Industrien äusserst Stiefmütterlich behandelt. Ein Sicherheits- oder besser Schutzkonzept fehlt in den meisten Fällen. Dies betrifft die Spielwarenindustrie in gleichem Masse wie die Autoindustrie oder die Hersteller von medizinischen Geräten.

Leider überlassen die Hersteller oft diese wichtige Aufgabe den Kunden, welche oft nichts von den Gefahren und der Notwendigkeit eines Sicherheitsupdates (oder gar von dessen Existenz) wissen.

Die zwei Probleme – Der Anwender und der Hersteller

Während die „Selbstbauer“ sich den Gefahren durchaus bewusst sind und über das notwendige technische Wissen verfügen ihre Systeme auf dem neusten (Sicherheits)-Stand zu halten, kann dies von durchschnittlichen Anwender oder Benutzer nicht erwartet werden.

Zudem fühlen sich nicht alle Hersteller verpflichtet regelmässige Updates für ihre Produkte bereit zu stellen oder ihre Produkte so abzusichern, dass ein Angriff massiv erschwert wird und in den einfachsten Fällen ohne Folgen bleibt.

Im Gegenteil, oft sind die Systeme vollkommen ungeschützt und dies ohne ersichtlichen Grund, wie z.B. das Beispiel von LEGO-Mindstorms zeigt.

Aus Sicht des Anwenders wäre es das Beste, wenn das System sich automatisiert aktualisiert, wenn ein entsprechendes Sicherheitsupdate veröffentlicht werden, ohne dass sich der Besitzer darum zu kümmern braucht. Leider ist dies bis heute nicht der Standard, sondern eher der Ausnahme.

Trau schau wem

Vor dem Kauf eines „intelligenten“ Produktes, das mit der Aussenwelt kommunizieren kann, empfiehlt es sich, dass der zukünftige Besitzer sich über die Möglichkeit von Sicherheitsupdates informiert oder wie die entsprechenden Systeme mit der Umwelt (und dem Internet) agieren und ob einzelne Features auch komplett abgeschaltet werden können. Da etablierte und bekannte Firmen eher um den Ruf des Unternehmens besorgt sind, ist die Wahrscheinlichkeit regelmässige (Sicherheits)-Updates zu erhalten tendenziell grösser als bei einem No-Name Brand aus Fernost.

Ein weiterer Punkt, der in diese Überlegung nicht vernachlässigt werden darf sind Occasionsgeräte. Sei dies nun Handy, eine Haussteuerung oder ein Roboter-Bausatz mit einem Linux-Kernel. Alle können durch ein Schadprogramm kompromittiert worden sein. Ob dies nun durch den Vorbesitzer absichtlich installiert wurde, um etwas über den neuen Besitzer „herauszufinden“, oder ob dieser auch schon Opfer dieses Programmes wurde, ist hierbei unerheblich.

Wichtig in diesem Zusammenhang ist, wenn möglich einen „Factory Reset“ durch zu führen und sicher zu stellen, dass das neu erworbene Occasionsgerät über die neusten Sicherheitsupdates verfügt. Dies verhindert nicht alle möglichen Angriffsszenarien, aber es schränkt die Wahrscheinlichkeit eines solchen schon ziemlich ein.

Mit dem Internet-der-Dinge kommt die Menge-der-Updates

In einem modernen Haushalt kommen schnell einige Dutzend Systeme, welche mittels LAN oder WAN vernetzt sind zusammen. Eine manuelle Aktualisierung aller Komponenten würde, je nach Haushaltsgrösse und Art der eingesetzten Systeme und dem Aktualisierungszyklus des Herstellers, fast einer Vollzeit-Anstellung gleichkommen.

Die Köngisdisziplin für die Hersteller und die Industrie wird sein, dass entsprechende Update-Mechanismen bereitgestellt werden, die vollkommen automatisiert ablaufen und die Systeme bestmöglich gegen einen Angriff aus dem Cyberspace schützen und dabei den Benutzer nicht belasten. Diesem aber dennoch die Möglichkeit bieten, steuernd einzugreifen, wenn er dies wünscht. Natürlich nebst der Möglichkeit bestimmte Funktionen durch den Besitzer komplett abschalten oder entsprechende Betriebsparameter setzen zu können.

Ansonsten kann es passieren, dass die automatische Haustürsteuerung nicht nur von Ihnen geöffnet werden kann, die Gespräche der Tochter dank sprechendem (und hörendem) Barbie auf einen Server in der USA abgelegt werden, die WiFi Kamera, welche den Sitzplatz überwacht, einen offenen Stream weltweit aussendet und der LEGO-Mindstorm Roboter zu einem ferngesteuerten Zombie im Kinderzimmer wird.

Neue Technologien bieten interessante Möglichkeiten – Werden Sie sich auch der Gefahr bewusst

Als Endbenutzer ist es wichtig sich der Gefahr bewusst zu werden, wenn möglich nur Systeme zu kaufen für welche regelmässige Updates bereitgestellt werden und bei welchen diese idealerweise automatisiert installiert werden.

Wenn nicht zwingend notwendig sollte die Netzwerkfunktion deaktiviert werden und das heimische LAN/WAN sollte so eingerichtet werden, dass sämtlicher Datenverkehr über eine Firewall läuft, die von einer Person ihres Vertrauens betreut wird und die „nicht gewollten“ Datenverkehr nach aussen und ihnen unterbindet.

Aufgrund der Komplexität einer solchen Installation und der daraus resultierenden Einschränkung beim „Benutzererlebnis“ bzw. Störungen mit neuen Applikationen, ist dies leider nicht immer umsetzbar.

Dennoch ist es wichtig, dass sich die Käufer solcher intelligenten Produkte der Gefahren bewusst sind und für sich die Frage beantworten wie wichtig der persönliche Datenschutz ist und ob man mit einem möglichen Zombie im Kinderzimmer oder Wohnzimmer leben kann.

Wir leben in einem interessanten Zeitalter, mit vielen tollen Möglichkeiten, aber wie in jeder Geschichte, gibt es immer zwei Seiten der Medaille die betrachtet werden müssen.