Smarte Geräte können äußerst praktisch sein – sind aber auch eine potenzielle Sicherheitslücke im eigenen Haushalt. IMTEST hat darüber mit dem Experten von AV-Test, Eric Clausing gesprochen. Der Lead of IoT gibt Tipps zu den wichtigsten Fragen über die Sicherheit von Saugrobotern.
IMTEST: Können Hacker mit meinem Saugroboter meine Wohnung ausspionieren?
Eric Clausing: Perfekte Sicherheit existiert nicht! Grundsätzlich kann und muss man also bei jedem smarten Gerät, das man sich ins eigene Heim holt, davon ausgehen, dass es unter Umständen Ziel eines erfolgreichen Hackerangriffs werden könnte.
Wie schwer die daraus folgenden Konsequenzen sind, hängt allerdings vor allem von der ausgenutzten Schwachstelle ab. Aber natürlich spielt auch die Funktion des Gerätes sowie seine Ausstattung eine große Rolle.
Besitzt mein Staubsaugroboter also eine Kamera, muss ich mir als Nutzer darüber im Klaren sein, dass diese im Falle eines gehackten Geräts auch gegen mich verwendet werden könnte. Wem hier das Risiko zu groß ist, wählt lieber ein Gerät ohne Linse.
IMTEST: Können Saugroboter mit Kamera Bilder und Videos von meinem Zuhause an Fremde weitergeben?
Eric Clausing: Staubsaugroboter sind von ihren Datenerfassungsmöglichkeiten ziemlich mächtige Geräte. Je nach Ausstattung verfügen sie über Kameras und Sensoren, die ihnen eine autonome Orientierung in einer gegebenen, veränderlichen Umgebung erlauben, durch die sie sich selbständig bewegen. Dabei erzeugen die meisten dieser Geräte detaillierte Karten, um die spätere Orientierung zu verbessern oder Features, wie Fencing oder eine Bereichsauswahl zu erlauben.
Die dabei erfassten Bilder und Sensordaten haben, wie die meisten persönlichen Nutzerdaten, einen nicht unwesentlichen Wert. Sie können etwa Aufschluss über den finanziellen Status des Nutzers geben (über die Größe der Wohnfläche), die Anzahl der Mitglieder im Haushalt, Haustiere, Möbelwahl, Konsumverhalten und so weiter. Das sind alles Daten, die große Retailer in Gold aufwiegen.
Kann es also sein, dass der Hersteller meines Saugroboters die erfassten Daten weiterverkauft? Auf jeden Fall! Muss das immer so sein? Sicher nicht! Hier hilft leider nur das ausführliche Lesen der entsprechenden Datenschutzerklärung oder eine direkte Anfrage an den Hersteller zum Thema Datenerfassung und -weitergabe. Außerdem müssen diese die Daten auch adäquat gesichert abspeichern.
IMTEST: Wie kann ich mich effektiv vor einem Hacker-Angriff schützen?
Eric Clausen: Bereits bei der Auswahl des Produktes kann man dabei schon vieles richtig (oder eben falsch) machen. Da ein Normalverbraucher keine Möglichkeit hat, die Sicherheit eines smarten Produktes selbst zu prüfen, muss man sich auf entsprechende, professionelle Tests und Siegel verlassen. Wir als AV-TEST Institut bieten beispielsweise seit Jahren eine Zertifizierung für vernetzte Geräte an. Dafür werden die Produkte nach einem umfangreichen Testkatalog auf die wichtigsten Sicherheitsmerkmale und deren korrekte Umsetzung geprüft. Ein entsprechendes Siegel bescheinigt dann die Datensicherheit. Schon vor dem Kauf sollte der sicherheitsbedachte Kunde auf Kennzeichnungen dieser Art achten.
In Zukunft wollen wir zudem unsere Zusammenarbeit mit IMTEST daraufhin ausweiten, gemeinsam nicht nur Anti-Virenprogramme für Computer, sondern auch smarte Haushaltsgeräte auf Herz und Nieren zu prüfen.
Darüber hinaus kann der Nutzer dann im Betrieb aber auch die Umsetzung klassischer Sicherheitprinzipen für IT allgemein beachten:
- Passwort-Sicherheit:
So sind vor allem ausreichend komplexe, für jeden Nutzeraccount einzigartige Passwörter äußerst wichtig. Denn unsichere Passwörter sind nach wie vor eine der Top-Einfallstore bei Sicherheitsvorfällen. - Sicherheits-Updates und 2-Faktor-Authentifizierung:
Weiterhin macht es natürlich immer Sinn, sich mit allen sicherheitsrelevanten Funktionen des Produktes zu beschäftigen und diese entsprechend zu konfigurieren. Ganz oben auf der Liste sollte dabei immer die Updatefunktion stehen. Als eines der wichtigsten Sicherheitsfeatures überhaupt sollte immer darauf geachtet werden, dass die Geräte-Software auf dem neusten Stand ist. Sofern vorhanden, sollte zudem die automatische Update-Funktion aktiviert sein. Oft sind solche Sicherheitsfunktionen, wie auch etwa die 2-Faktor-Authentifizierung oder ähnliches in verschachtelten Untermenüs versteckt, um den „normalen“ Nutzer nicht zu überfordern. Aus sicherheitstechnischer Sicht lohnt sich dieser kleine Extraaufwand aber eigentlich immer! - Eigenes Netzwerk:
Wer ganz auf Nummer sicher gehen möchte, kann über die Einrichtung eines eigenen Netzwerks nachdenken. Hier kann man Geräte mit fragwürdiger Sicherheit betreiben, um im Falle eines erfolgreichen Hacking-Angriffs oder einer Infektion durch Malware zumindest das Ausmaß der Konsequenzen zu begrenzen.
„Den hundertprozentigen Schutz kann es niemals geben, aber natürlich kann man das Risiko durch einige Maßnahmen begrenzen.“
IMTEST: Vielen Dank für das Interview!
NEWSLETTER
