Untersuchung von Avast

Wenn der Wasserkocher gehackt wird

11.03.2019 von Ronald Wiltscheck
Security-Anbieter Avast hält die Vielzahl an ungesicherten IoT-Devices für Einfallstore für Attacken von Cyber-Kriminellen.

So hat rund 3,6 Millionen registrierte IoT-Devices im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) genauer unter die Lupe genommen. In Deutschland hat der tschechische Security-Spezialist über 820.000 Netzwerke überprüft. Von den fast drei Millionen darin registrierten IoT-Geräten waren mehr als 175.500 Endpoints unsicher. Außerdem wiesen fast 140.000 Router, also ein Anteil von knapp 17 Prozent aller untersuchten Netzwerk-Devices, Schwachstellen auf. Auch mehr als 8.000 Drucker (fünf Prozent) waren nicht ausreichend gesichert und über 1.000 Webcams (13 Prozent der untersuchten) konnten spielend leicht "gehackt" werden.

Webcams als Spionage-Werkzeuge

Noch schlimmer sah es in Österreich und in der Schweiz aus. Während bei den Eidgenossen fast 40 Prozent der Router Sicherheitslücken aufwiesen, lag der Anteil der ungesicherten Netzwerk-Devices in Österreich bei einem Drittel. Dafür sichern unsere südlichen Nachbarn ihre Webcams besser ab als wir: In Österreich betrug der Anteil der ungeschützten Netzwerkkameras zehn Prozent, in der Schweiz war nur jede 17te Webcam "hackbar".

Dennoch: Ondrej Vlcek, CTO und EVP & GM Consumer bei Avast, warnt vor so viele Blauäugigkeit. Seiner Ansicht nach reicht bereits ein einziges ungeschütztes Gerät aus, damit sich Cyberkriminelle Zugang dazu verschaffen, dieses infizieren und es in ein gewaltiges Botnet verwandeln können. Über auf diese Weise infizierten Geräte können böswillige Hacker das komplette Netzwerk remote steuern. Und da diese Bots unauffällig im Hintergrund agieren, merken die Besitzer meist nichts davon.

Von den fast drei Millionen registrierten IoT-Geräten in Deutschland waren Anfang 2017 mehr als 175.500 Endpoints unsicher.
Foto: Avast

Lesetipp: Avast wählt Tech Data zum Partner

So ermöglichen es beispielsweise ungeschützte Webcams, Nutzer privat zu beobachten und die Videos sogar per Live-Übertragung online zu streamen. Deswegen ist die Tatsache, dass es Tausende unsichere IoT-Geräte in Deutschland, in Österreich und in der Schweiz gibt, besorgniserregend. Hersteller dieser IoT-Devices sammeln und speichern nämlich auch sensible private Daten ihrer Nutzer, inklusive Verhaltensdaten, Kontaktinformationen und Kreditkartendetails. Wenn Cyberkriminelle solche Informationen abfangen, stellt das ein großes Risiko dar.

Managed Services Roadshow - Der Kick für Ihr Business - von AVG Business, Epson, evolutionplan, comTeam und ChannelPartner
Francois Tschachtli, Avast Business eröffnet die Managed Services Roadshow in München
"Weltweit nutzen bereits 3.250 Managed Service Provider unsere Business-Produkte."
Managed Services - Der Kick für Ihr Business
Die Roadshow fand ausschließlich in Fußballstadien statt: Millerntor-Stadion auf St. Pauli in Hamburg, Esprit-Arena in Düsseldorf, Allianz Arena in München-Fröttmaning, Stadion Letzigrund in Zürich und die Mercedes-Benz-Arena in Stuttgart.
Matthias Bantel, h+s Systemhaus
Der Geschäftsführer der Systemhauses aus Donzdorf an der schwäbischen Alb beantwortete alle Fragen aus dem Aditorium detailliert.
Andreas Asel, Epson
"Immense Einsparungsmöglichkeiten beim Drucken!"
Thomas Hefner, AVG
"Managed Services sind einheitlich, transparent, regelmäßg und flexibel."
Jens Hagel, Hagel IT Services, Hamburg
"Jeder Kunde möchte speziell zugeschnittene Leistungen."
Marcus Vogel, bluvo AG, Ratingen
"Wir begannen Managed Services mit dem Monitoring:"
Dieter Schumann, United Systems AG
Dieter Schumann, Vorstand der United Systems AG aus München, beschäftigt sich bereits seit acht Jahren mit Managed Services.
Oliver Wegner, evolutionplan
"Den Kunden im Fokus"
ChannelPartner-IDC-Systemhaus-Studie
Die Hälfte der von ChannelPartner befragten Systemhäuser möchte ihren Kunden neue, hochwertige Services anbieten.
Managed Services - Der Kick für Ihr Business Roadshow ist in München gestartet
In München war die Managed Services Roadshow ausgebucht.

"Durch die Anfälligkeit von hunderttausenden ungeschützten Geräten können Cyberkriminelle ein Botnet erschaffen, um Server und Websites zu attackieren und vom Netz zu nehmen. Erst 2016 konnten wir so einen Fall beobachten. Dabei wurde auch der Datenverkehr zu großen Websites wie Amazon und Twitter unterbrochen", erinnert sich der Avast-CTO. "Router sind das Tor zum Heimnetzwerk und können deswegen als Anlaufstelle für Hacker dienen, ganze Smart Home-Netzwerke anzugreifen. Dies ist vor allem dann der Fall, wenn die Nutzer nicht ausreichend geschützt sind, weil ihre Software beispielsweise nicht auf dem aktuellen Stand ist oder weil sie ein schwaches Passwort verwenden."

Leichtes Spiel für Cyberkriminelle in der IoT-Welt

Ondrej Vlcek, CTO und EVP & GM Consumer bei Avast: "2016 wurde der Service Provider Dyn attackiert, woraufhin die Websites Amazon und Twitter teilweise offline waren."
Foto: Avast

Für Menschen mit genügend krimineller Energie und ein wenig IT-Know-how ist es ein Leichtes, IP-Adressen und Schnittstellen zu scannen um herauszufinden, welches Gerät über welche IP-Adresse erreichbar ist. Mit ein paar zusätzlichen Bemühungen und weiterem Tricks können Hacker auch den Geräte-Typ die Marke, das Modell und die darauf installierte Software-Version herausfinden. Anschließend können sie diese Daten mit öffentlich verfügbaren Listen von ungeschützten Geräten abgleichen, um herauszufinden, welche Geräte unsicher sind. Und dann ist es nur noch ein Schritt, um die auf der Festplatte des Druckers gespeicherten Daten auszulesen oder den Wasserkocher im Smart Home zum Glühen zu bringen.

Lesetipp: Was bedeutet eigentlich Cyber Security?

Daher empfiehlt Avast, alle mit dem Internet verbundene Geräte gegen ungewollte Attacken zu proaktiv zu schützen. Hier müssen Nutzer ihren Beitrag dazu leisten, die IoT-Welt zu einem sichereren Ort zu machen. Dies können sie tun, indem sie ihre Software stets auf dem aktuellen Stand halten und starke, komplexe Passwörter verwenden.

Zum Video: Wenn der Wasserkocher gehackt wird