Hör' mal, wer da hackt! Sebastian Froede, Stephan Schulz und Christian Husemeyer führen beim F5 Forum Schwachstellen an Smart Home und Industrieanlagen vor. Foto: Hendrik Lehmann

Hacker im eigenen Haus

Thermostate, Kameras, Babyfone: Immer mehr Geräte im Haus und in Fabriken sind vernetzt. Doch viele davon sind kaum geschützt. Hacker nutzen diese Schwachstellen.

Sebastian Froede hat einen Schlüssel zu Tausenden von Häusern. Die Besitzer der Häuser wissen es nur nicht. Es ist Mittwochnachmittag und Froede sitzt er in einem Hotel in Tiergarten an seinem Laptop. Innerhalb der nächsten 20 Minuten sucht er erst nach Geräten in Häusern, die über Smart-Home-Anlagen am Netz hängen. Lichtanlagen zum Beispiel, Thermostate, Sicherheitskameras oder elektrische Fenster, wie immer mehr Häuser sie haben. Es gibt dafür eine eigene Suchmaschine, frei zugänglich im Internet. Dort findet Froede allein 2587 Anlagen der Firma Homematic, ein großer Hersteller solcher Lösungen für das vernetzte Zuhause. Das Problem: Viele dieser Systeme werden mit Standardpasswörtern ausgeliefert, die viele Käufer nie ändern. Oder die Benutzer verwenden eines der meistbenutzten Passwörter in Deutschland: „12345“, „Passwort“ oder ähnlichen Leichtsinn. Für all diese Standardpasswörter gibt es ebenfalls eine Suchmaschine, fein säuberlich aufgelistet nach Gerätetyp oder Anwendung.

Einige Minuten nachdem Froede das erzählt hat, öffnet sich auf der Beamerleinwand hinter ihm ein Fenster mit der Bedienungskonsole eines Hauses irgendwo in Deutschland. „Da könnte ich jetzt die Heizungstemperatur einstellen, die Fenster in verschiedenen Räumen öffnen oder das Licht einschalten“, erzählt Froede, während er sich durch das fremde Haus klickt. Er kann dabei auch sehen, auf welchem Stockwerk wie viele Nutzer mit dem W-Lan verbunden sind. In diesem Fall: null. Ein gutes Zeichen, dass gerade niemand zu Hause ist. Froede springt weiter zu einem anderen Haus und der dortigen Außenkamera, die ein besorgter Hausbesitzer offenbar meinte anbringen zu müssen. Eine schlechte Idee. Denn jetzt schauen Froede und mit ihm ein Saal voller Administratoren und IT-Verantwortlicher größerer Unternehmen auf die Live-Aufnahme eines Vorgartens samt Straße in einem februargrauen Vorort. Wäre das Straßenschild mit im Bild, wüssten alle, wo das Haus steht. Die Sicherheitsmaßnahme ist zum offenen Tor geworden.

Ein Netzwerk aus Kameras attackiert Twitter

„Die organisierte Kriminalität verdient inzwischen mehr Geld mit Cyberkriminalität als mit Drogen“, sagt ein Pressesprecher des Bundesamts für Sicherheit in der Informationstechnik (BSI), das mit seinen 660 Mitarbeitern in Bonn sitzt. Dass im Smart Home Kameras oder vernetzte Babyfone angezapft werden können, sei ein Problem. Vor allem weil die Nutzer es nicht mitbekommen.

Dabei ist es gar nicht so oft das Mitschneiden von persönlichen Informationen, was Hacker interessiert. Der Sprecher erinnert an das sogenannte Mirai-Botnetz, das im letzten September für Aufsehen sorgte. Dabei gelang es Hackern, Hunderttausende solcher ungeschützten vernetzten Geräte wie Kameras mit einem Virus zu infizieren. Dieser Virus erlaubte es seinen Betreibern im November, massenhaft Anfragen an die Dienste der Firma Dyn zu schicken. Da diese mit Twitter, Amazon und Spotify verbunden ist, kamen auch deren Websites zum Erliegen. Das schädliche Netzwerk ist weiter aktiv und versucht ständig, neue Geräte zu übernehmen.

»Man will ja nichts Böses«

Doch zurück zu Sebastian Froede. Auch Froede ist von Beruf Hacker. Nur nennt sich das in seinem Fall „IT Security Analyst“ und bezahlt wird er nicht schwarz, sondern durch die Sicherheitsfirma Koramis. Beim F5 Forum in Berlin ist er nur zu Vorführzwecken. „Moralische Gründe“ nennt Froede als seine Motivation, Schwachstellen zu stopfen, anstatt damit schnelles Geld zu machen: „Man will ja nichts Böses, sondern helfen, dass das Gute gewinnt.“

Seit er 15 ist, hat Froede sich intensiver mit Hacken beschäftigt. Heute geht er mit seiner Firma in andere Unternehmen und identifiziert vor Ort Sicherheitslücken. Denn, so sagt Stephan Schulz von der Firma F5 neben ihm: „Neben Smart Homes findet man genauso Industrieanlagen.“ Und die lohne es sich natürlich eher anzugreifen. Die größeren Angriffe in letzter Zeit hätten uns gezeigt, wie verletzlich die Systeme sind. Für Schulz, dessen Firma zu der Vorführung im Hotel eingeladen hat, sind das gute Verkaufsargumente – vor allem, als dann eine Industrieanlage auf der Leinwand auftaucht.

2.700 Prozent mehr Schadsoftware

In den letzten Jahren hat sich ein beständig wachsender Markt rings um IT-Sicherheit entwickelt. Die Unternehmensberatung KPMG schätzt ihn in Deutschland auf Basis verschiedener Studien auf vier Milliarden Euro im Jahr 2016, Wachstumsrate zehn Prozent. Zwei Milliarden Euro davon wurden für Software ausgegeben, zwei Milliarden für Services. Es fehle häufig noch an der Strategie, die Tools einzusetzen, sagt Michael Falk, Partner im Bereich Cybersecurity der KPMG. Aber sind die meisten Sicherheitslücken nicht so bekannt, dass man darauf vorbereitet ist? Ist das nicht Panikmache? „Nein, das zeigt unsere Erfahrung“, sagt Falk. „Wenn ich mir anschaue, auf welche Weise viele Unternehmen angegriffen werden, dann sind das oft die ganz einfachen Sachen.“ Dabei seien vor allem Know-how, Patente, Konditionen bei Ausschreibungen oder im Einkauf, aber auch Kundendaten das Ziel der Angriffe auf Unternehmen. Oft beginnen diese Angriffe mit harmlos anmutenden E-Mails, wie das BSI sagt. Die Zahl dieser Mails, mit denen Schadsoftware verbreitet wird, hat 2016 im Vergleich zu 2015 um 2700 Prozent zugenommen.

Gerade Unternehmen, die kritische Infrastruktur verwalten wie zum Beispiel Kraftwerke oder Banken, sind inzwischen recht gut gesichert, da sind sich Falk und der BSI-Sprecher einig. Bei den vernetzten Haushalten bleibt das Problem vorerst. „Diese Systeme sind nicht gerade auf Sicherheit getrimmt“, sagt Falk, „viele Produkte werden möglichst schnell auf den Markt geworfen, während die Sicherheit noch im Entwicklungsstadium ist.“ Der KMPG-Experte sagt aber auch, dass für gewöhnlich da angegriffen wird, wo sich ein profitables Geschäftsmodell bietet. Viele der Systeme in Haushalten seien kein interessantes Angriffsziel. Was hätten Hacker schon davon, anderen die Heizung hochzudrehen oder Solaranlagen auszuschalten?

Die Einbruchsmethode der Zukunft?

Aber ja, es könnte eine Einbruchsmethode der Zukunft sein, sagt Falk. Viel interessanter aber findet er die Frage, wer eigentlich haftet, wenn über eine gehackte Fensteröffnungsanlage eingebrochen wird. Die Versicherer könnten eine Branche sein, die anfangen, Druck zu machen, weil sie immer noch jemand anderen suchen, der zahlen muss.

Um diese Sicherheitslücken künftig zu schließen, wäre staatliche Regulierung gegenüber den Herstellern nötig, da sind sich die Experten einig. Die Cybersecurity-Strategie der Bundesregierung soll da einen Anfang machen. Demnach könnten vernetzte Geräte zumindest zertifiziert werden. Bis dahin sollten sich Hausbesitzer fragen, welche Teile des Hauses sich wirklich an das World Wide Web anzuschließen lohnen. Oder ob sie nicht selbst ein ganz klein bisschen Hacken lernen wollen, um zumindest ihre Geräte so einzustellen, dass sie nicht anderen zum Verhängnis werden.