Security bei Google Home, Amazon Echo & Co.

Wie Smart Speaker Hacker einladen

02.03.2018 von Martin Hron
Google Home, Amazon Echo und Konsorten sollen unser Leben bequemer machen. Doch auch kriminelle Hacker erfreuen sich am "Komfort", den ungesicherte Smart Speaker bieten.

Smart Speaker wie Google Home oder Amazons Echo erobern nach und nach die deutschen Haushalte. Sie läuten pünktlich den Arbeitstag ein, spielen Musik ab und erledigen Online-Einkäufe. 11,7 Prozent der deutschen Haushalte sind laut Einschätzung des Statista Digital Market Outlooks sogenannte Smart Homes. Damit sind Haushalte gemeint, in denen eine oder mehrere Smart-Home-Lösungen zum Einsatz kommen.

So hilfreich Smart Speaker auch sein können - die schiere Menge an persönlichen und vertraulichen Daten, die darauf gespeichert sind, sowie die allgemein wachsende Beliebtheit von Smart-Home-Geräten machen die smarten Lautsprecher zu einem verlockenden Ziel für kriminelle Hacker.

Wer braucht schon Einbruchswerkzeug, wenn Google Home, Amazon Echo und Co. ganz bequem auf Befehl das Tor zum Smart Home öffnen?
Foto: Alexander Kirch - shutterstock.com

Persönliche E-Mails als Hörbuch

Daher ist es auch lediglich eine Frage der Zeit, bis die Smart Speaker zur Zielscheibe (zumindest) zweifelhafter Absichten werden. Die Werkseinstellungen stellen in der Regel eine schlechte Absicherung dar, da sie auf Komfort ausgelegt sind - und zwar ab dem Moment der Ankunft beim Besitzer: Die Ersteinrichtung dauert nur wenige Minuten. Das mag der Bequemlichkeit dienen, stellt aber ein erhebliches Sicherheitsrisiko dar. Wie man einen Smart Speaker einrichtet und welchen Handlungsspielraum man ihm gibt, ist an dieser Stelle entscheidend. Viele Nutzer denken vermutlich gar nicht erst darüber nach, die Werkseinstellungen zu verändern - entweder, weil sie sich der Sicherheitsrisiken nicht bewusst sind oder weil sie sich darauf verlassen, dass das Gerät natürlicherweise vom Hersteller mit entsprechenden Sicherheitsvorkehrungen ausgestattet wurde.

Bei der Einrichtung verbinden viele Nutzer gleich mehrere Online Accounts mit dem Smart Speaker - etwa ihr Amazon-Konto, Gmail, den Google-Kalender oder Spotify - unter Beibehaltung der Werkseinstellungen. Dieses scheinbar harmlose Handeln kann schwerwiegende Folgen haben: Ohne eine sichere Anmeldung - sprich ohne den Smart Speaker so zu konfigurieren, dass er überprüft, ob die eingehenden Befehle tatsächlich vom Besitzer des Geräts stammen - kann der Lautsprecher etwa E-Mails vorlesen oder Bestellungen abgeben - unabhängig davon, wer ihn dazu auffordert. Damit können nicht nur Familienmitglieder, sondern auch jeder Besucher eines Haushalts (ob eingeladen oder nicht) dem Gerät persönliche Daten entlocken.

"Alexa, wirst Du ferngesteuert?"

Hacker müssen sich nicht in Reichweite eines Smart Speakers wie Amazon Echo befinden, um ihm Befehle zu erteilen. Tatsächlich müssen sie nicht einmal das Gerät selbst hacken. Cyberkriminellen reicht bereits eine Sicherheitslücke im Router, um sich Zugang zum Netzwerk zu verschaffen und von dort aus die verbundenen IoT-Geräte zu kompromittieren. Wenn erst ein anderes Smart-Home-Gerät gehackt wird, das Aufnahmen abspielen kann, können Kriminelle den smarten Lautsprecher mit Sprachbefehlen steuern. Wurde dieser bei der Einrichtung schwach (oder nicht) abgesichert, wird er zum willenlosen Spielzeug der Cyberkriminellen. Diese könnten Google Home oder Amazon Echo beispielsweise dazu nutzen, sich Zutritt zum Haus des Besitzers zu verschaffen. Ist ein Smart Speaker mit einer elektronischen Türverriegelung verbunden, so könnte ein Einbrecher dem Lautsprecher entweder durch ein Fenster befehlen die Tür zu öffnen oder sich über das Heimnetzwerk in ein anderes Gerät einwählen, um dieses dazu zu bringen, dem Smart Speaker den Befehl zum Öffnen der Haustür zu erteilen.

Warten auf den Hack

Dass Smart Speaker zur Zielscheibe von Hackerangriffen werden, ist (wie bereits erwähnt) vorprogrammiert. Kriminelle werden dazu vermutlich bislang unbekannte Schwachstellen ausnutzen. Bereits im vergangenen Jahr wurde die BlueBorne-Sicherheitslücke entdeckt. Dem Bundesamt für Sicherheit in der Informationstechnik zufolge waren bis zu fünf Milliarden Geräte mit Bluetooth-Funktion von dieser Schwachstelle betroffen. Unter anderem konnten auch die Smart Speaker von Amazon gehackt werden. Schwachstellen wie diese werden oft erst Jahre später gefunden - was heißt: Die Geräte, die jetzt schon auf dem Markt sind, könnten ebenfalls unsicher sein.

Ein Beispiel für eine Sicherheitslücke, die erst Jahre später ans Licht kam, ist EternalBlue - ein Exploit, der Programmierfehler in Microsoft Windows-Betriebssystemen ausnutzt. Der breiten Öffentlichkeit wurde die Schwachstelle bekannt, da sie Angreifern ermöglichte, die größte Ransomware-Attacke in der Geschichte durchzuführen. Berichte legen nahe, dass die NSA EternalBlue entdeckt hatte und geheim hielt - für wie lange, ist nicht bekannt. Ebenso wenig wie niemand weiß, wie lange sie vor ihrer Behebung von wem ausgenutzt wurde. Fällt eine Schwachstelle nämlich zuerst Cyberkriminellen auf, haben sie die Möglichkeit, ungehindert verheerenden Schaden anzurichten.

Top 5 Hacks 2017
5. HBO
Der US-Pay-TV-Sender gerät 2017 nicht zum ersten Mal ins Visier krimineller Hacker. Unveröffentlichte Episoden des Serienhits „Game of Thrones“ werden dabei geleakt und die persönlichen Daten mehrerer Schauspieler kompromittiert. <br><br /> Die verantwortlichen Cyberkriminellen drohen mit weiteren Veröffentlichungen und versuchen so sechs Millionen Dollar von HBO zu erpressen. Ohne Erfolg. Im Nachgang der Attacke berichten verschiedene Ex-Mitarbeiter des Unternehmens von einem allgemein eher laxen Umgang mit der IT-Sicherheit. <br><br />
4. NSA
Bei der National Security Agency (NSA) dreht sich alles um Geheimhaltung. Möchte man meinen. Dennoch wird die US-Behörde 2017 gleich von mehreren Datenpannen ereilt. Zuerst veröffentlicht Wikileaks im März tausende von geheimen Dokumenten, die unter anderem Auskunft über die Beziehungen zwischen NSA und CIA Auskunft geben, dann gelangen Medienberichten zufolge geheime Dokumente zu den Methoden und Verteidigungsmaßnahmen der NSA über einen Vertragspartner in die Hände russischer Hacker. <br><br /> Ende November 2017 wird schließlich bekannt, dass circa 100 Gigabyte an Daten (die detaillierte Auskunft über ein militärisches Geheimprojekt enthalten), ungeschützt auf einem AWS-Server vorgehalten werden. <br><br />
3. Uber
Im November 2017 wird bekannt, dass der Fahrdienstleister bereits 2016 gehackt wurde. Dabei werden die Informationen von weltweit 57 Millionen Kunden gestohlen. <br><br /> Statt den Vorfall zu melden, geht man bei Uber lieber seinen "eigenen" Weg, bezahlt den kriminellen Hackern Schweigegeld in Höhe von 100.000 Dollar und kehrt das Geschehene unter den Teppich. Uber-CEO Dara Khosrowshahi behauptet zunächst, nichts von den Vorgängen gewusst zu haben – wenig später wollen Medienberichte diese Behauptung widerlegen. <br><br />
2. Equifax
Der US-Finanzdienstleister sorgt 2017 für einen traurigen Hack-Höhepunkt, als die Daten von circa 143 Millionen Kunden kompromittiert werden. Die Datensätze enthalten Namen, Geburtsdaten, Sozialversicherungsnummern, Adressen, Führerschein- und Kreditkartendaten. <br><br /> Ein Paradies für Identitätsdiebstahl, das durch eine ungepatchte Sicherheitslücke in Apache Struts geschaffen wird – und vermutlich über Monate unentdeckt bleibt. Auch das Zeitfenster, das Equifax verstreichen lässt, bevor es den Vorfall meldet, ist „kritisch“: Am 29. Juli wird der Hackerangriff bemerkt, am 7. September die Öffentlichkeit informiert. Passend dazu wird wenig später bekannt, dass das Unternehmen bereits im Dezember 2016 vor Sicherheitslücken und möglichen Hacks gewarnt worden war. <br><br />
1. WannaCry & Petya
WannaCry ist die bislang größte Ransomware-Attacke, die Mitte Mai 2017 Unternehmen, Behörden, Institutionen und Krankenhäuser in mehr als 150 Ländern weltweit heimsucht. Bei der Angriffswelle kommen gestohlene NSA-Hacking-Tools zum Einsatz, die eine Schwachstelle im Windows-SMB-Protokoll ausnutzen. Letztlich kann WannCry durch das mehr oder weniger zufällige Auffinden eines „Kill Switch“ entschärft werden. <br><br /> Ende Juni 2017 verbreitet sich dann eine neue Ransomware-Variante, die dieselbe Sicherheitslücke wie WannaCry ausnutzt. Wieder sind viele Unternehmen, Regierungsinstitutionen und Krankenhäuser betroffen. Die schnelle Ausbreitung über eine bereits bekannte (und ausgenutzte) Sicherheitslücke rückt ein weiteres Mal die vielerorts laxen Security-Prozesse ins Rampenlicht. <br><br />

Sicherheit vor Bequemlichkeit

Mit rasanten Verbreitung der Smart Speaker wächst auch die Gefahr möglicher Hacks. Je mehr wir uns mit IoT-Geräten umgeben, desto größer ist der Anreiz für Cyberkriminelle, diese auch ins Visier zu nehmen. Die Sicherheitsrisiken von intelligenten Geräten im Allgemeinen und Smart Speakern im Speziellen müssen stärker ins Bewusstsein gerückt werden. Nutzer müssen über die Risiken aufgeklärt werden, die beispielsweise damit verbunden sind, die Werkseinstellungen dieser Geräte beizubehalten.

Dass Handlungsbedarf besteht, zeigt auch eine Studie zum Thema IoT- beziehungsweise Smart-Home-Sicherheit: Hundertausende IoT-Geräte weisen Schwachstellen auf. Und das, obwohl kriminelle Hacker nur ein einziges, ungeschütztes Gerät benötigen, um aus einer Vielzahl von Devices ein riesiges Botnetz zu kreieren, das fortan für kriminelle Aktivitäten ferngesteuert wird.

Merke: Gerade bei IoT-Devices sollten Sie die Sicherheitsoptionen ausreizen und sie nicht zugunsten der Bequemlichkeit außer Acht lassen. Denn das erleichtert nicht nur Ihnen, sondern auch kriminellen Hackern das Leben. (fm)