Categories: Sicherheit

IT-Security @home: Wie ich das Botnetz vermeide

Um es vorwegzuschicken: Ich liebe technisches Spielzeug und Gadgets aller Art und habe in meinem Leben viel Nützliches, Unnützes und völlig Überflüssiges besessen, ausprobiert und eingesetzt. Je nach Kosten und Nutzen waren dann Freude oder Ärger unterschiedlich groß, je nachdem wie gut oder schlecht das jeweilige Objekt der Begierde war.

Doch in den letzten Monaten hat sich vieles grundlegend geändert: Eine Vielzahl von Devices, das Internet der Dinge und damit viele hilfreiche und mindestens genau so viele sinnlose Dinge mit Intelligenz und Netzwerkanbindung tauchen immer häufiger in Privathaushalten auf. Mit dem Wort Vernetzung werden Freude, aber auch Ärger und Schaden in neuen Dimensionen möglich.

Das verbogene Plastikspielzeug mit viel zu schnell leeren Batterien, das schnell in der Ecke landete, war gestern. Heute laden wir das untaugliche oder potentiell bösartige Gerät wieder auf und schaden damit uns, unserer Netzwerksicherheit, oder unserer eigenen Privatsphäre. Es kann aber auch den Nachbarn oder die Allgemeinheit in Form des nächsten Opfers einer Botnetz-Attacke betreffen. Mit großer Wahrscheinlichkeit merken wir es dann nicht einmal. Die Tatsache, dass die typischen Consumer als Empfänger von Geschenken nicht zwingend die notwendige Sensitivität beim Umgang mit komplexen technischen Infrastrukturen und deren Endgeräten an den Tag legen, tut hier ein Übriges.

Geiz ist…

Eine Vielzahl gezielt kostengünstig (um nicht billig zu sagen) produzierter mobiler Devices, insbesondere Tablets, überschwemmen Discounter, Elektronikmärkte und Heerscharen von Versendern im Internet. Vordergründige Leistungsmerkmale (Displaygröße, kostenlose Software oder eben der günstige Preis) überdecken das Vorhandensein veralteter und dokumentiert unsicherer Betriebssystemstände. Dies geschieht in Tateinheit mit der mangelnden Möglichkeit, nachhaltig Updates und Sicherheits-Patches zu beziehen und sie auch vertrauenswürdig einzuspielen. Möchte man einem solchen Gerät dann vertrauliche Daten, Fotos, Chats oder gar sein Homebanking anvertrauen? Sicher nicht.

Die Investition in ein marginal teureres und dafür durch einen gewährleisteten Pflegeprozess abgesichertes Markengerät ist eine Investition in die eigene Sicherheit und Privatsphäre. Oft machen diese Investitionen sich schon bei der Inanspruchnahme von einfachsten Reklamationen im Rahmen der Gewährleistung bezahlt. Auch die Entscheidung für vermeintlich deutlich teurere, aber konzeptionell sicherere Plattformen ist im Zweifelsfall eine Überlegung wert. Auch wenn es Elektronikgroßhändler nicht gerne so in der Werbung darstellen: Billig alleine ist nicht der einzig sinnvolle Maßstab.

Patchen

Intelligente Geräte in Kinderzimmer, Wohnzimmer und im ganzen Haus stellen Sicherheitsanforderungen ganz neuer Art. Hier gibt es leider die vollständige Palette der Möglichkeiten an Ursachen. Diese reicht von „konzeptionell unsicher“, „von Werk ab mit Hintertüren und versteckten Funktionalitäten versehen“, über „durch Unvermögen unsicher implementiert“ bis hin zu „veraltet“ oder einfach „ungepatcht“. Prüfen Sie am besten vor dem Einkauf, was Sie da Ihren Kindern, Eltern, Freunden oder Ihrem eigenen Haushalt aufbürden. Informationsquellen gibt es dank weltweit vernetzter Produktinformations-Quellen und Testberichten meist genug. Versiertere schauen auch mal bei der IoT-Suchmaschine Shodan vorbei, um herauszufinden, welche Typen potentiell zu beschaffender Geräte mit dem Internet verbunden sind, wo sie sich befinden und ob sie bedroht sind oder gar schon ausgenutzt werden.

Benutzer klassischer IT-Geräte von Windows bis macOS und iOS sind zwar nicht wirklich verwöhnt, wenn es um den Komfort von Update-Prozessen geht, aber hier sind diese üblicherweise wohl-definiert und lassen sich mit vertretbarem Aufwand umsetzen. Das Update von anderen Geräten kann sich aber aufwändig gestalten, gerade wenn es hier um viele Geräte geht. Die Nutzung von SD-Karten und USB-Sticks ist insbesondere für Geräte notwendig, die entweder nicht mit dem Netz direkt verbunden sind oder Updates nicht online beziehen wollen. Damit wird dann das notwendige Update beschwerlich und im Einzelfall kann schon der reine Zeitaufwand die vermeintlich eingesparten Beschaffungskosten mehr als wettmachen.

Zurückschicken

Die Gruppe der Geräte, die nicht für die Möglichkeit einer Aktualisierung der installierten Software vorgesehen sind, wächst dramatisch. Als Paradebeispiel gelten hier Überwachungskameras, die auch schon in der aktuellen Berichterstattung über massive Botnetze traurige Berühmtheit erlangt haben. Aber viele andere Geräte, gerade niedrigpreisige, gehören ebenfalls zu dieser Kategorie. Festzuhalten gilt: Geräte, die man nicht patchen kann und damit praktisch sofort oder in naher Zukunft direkte Bedrohungen darstellen, haben in keinem Haushalt etwas zu suchen.

Hat man dies nicht schon vorher durch Produktrecherche herausfinden können, oder ist man der unglückliche Empfänger eines solchen Geschenkes, ist dieses zwingend im Rahmen der Gewährleistung zurück zu senden. Dies sollte der Beschenkte trotz anfänglicher Begeisterung prüfen. Ein unsicheres Gerät im Familien- wie im Unternehmensnetz reißt eine Lücke in jede, auch in ansonsten gut abgesicherte Infrastrukturen. Sicher bietet sich manchmal die Option, ein Gerät vom Internet getrennt, etwa in isolierten Netzen, zu betreiben. Aber dies widerspricht dann in praktisch jedem Fall der grundlegenden Konzeption des Internets der Dinge und wird den Standard-Anwender überfordern.

Vermeiden

Drohnen, etwa Quadrocopter für den Hausbedarf, werden immer beliebter. Schaut man sich in seinem privaten Umfeld oder auf der eigenen Straße um, bekommen das Internet of Things und die damit verbundenen Gefahren ein wirkliches Gesicht. Dann muss man der Frage, ob man jeder dieser Personen die Möglichkeit geben möchte, eine fliegende Kamera mit WLAN-Verbindung vor dem eigenen Wohnzimmerfenster schweben zu lassen, kritisch gegenüberstehen. Hier stellt sich die Frage, ob die Vermeidung dieses zweifelhaften Vergnügens nicht in vielen Fällen die sinnvollere Entscheidung ist.

Und das gilt auch für wenig spektakuläre Devices und Einsatzbereiche: Will man sich wirklich durch ein Gerät, das den ganzen Tag im Wohnzimmer steht, einen dauerhaft belauscht und lediglich auf eine Bestellung per Stichwort wartet, kontinuierlich die eigene Privatsphäre potentiell beeinflussen lassen? Oder benötigt man wirklich diesen einen mit dem Internet verbundenen Knopf, der an der Waschmaschine klebt und genau nur einem dokumentierten Zweck dient, nämlich Waschpulver zu bestellen? Will man seine Mediennutzung durch billige Set-Top-Boxen, eBook-Reader, Medien-Sticks im HDMI-Port oder das günstige asiatische „Smart“-TV überwacht wissen? Und will man all diese Unsicherheit, Bedrohung und Überwachung dann seinen Lieben schenken? Es gibt so viele sinnvolle Anwendungen des Internets, auch im privaten Umfeld, aber gehören diese wirklich dazu? Und falls ja, muss es dann wirklich das billigste Gerät aus dem Angebotsprospekt des Discounters sein?

Prüfen

Seien Sie kritisch bei sich selbst, und unterstützen Sie andere konstruktiv bei konzeptionellen und bei Produktentscheidungen. Lesen Sie Testberichte und hinterfragen Sie grundsätzliche Entscheidungen. Helfen Sie technisch nicht so versierten Freunden, Familienmitgliedern und Nachbarn. Helfen Sie mit, dass in Ihrem Bekanntenkreis kein technisches Gadget für den Aufbau eines Botnets genutzt wird.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

1 Stunde ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

2 Stunden ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

19 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago