Vorinstallierte Schadsoftware auf IoT-Geräten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei bis zu 30.000 solcher Geräte in Deutschland die Kommunikation zwischen der Schadsoftware BadBox und den Tätern unterbunden. All diesen Geräten ist gemein, dass sie über veraltete Android-Versionen verfügen und mit vorinstallierter Schadsoftware ausgeliefert wurden.

Insbesondere veraltete Firmware-Versionen bergen ein gewaltiges Risiko. Hersteller und Händler haben die Verantwortung dafür, dass solche Geräte nicht auf den Markt kommen. Aber auch Verbraucher können etwas tun: Schon beim Kauf sollte Cybersicherheit ein wichtiges Kriterium sein,“ warnt BSI-Präsidentin Claudia Plattner.

BadBox erstellt unbemerkt Accounts für E-Mail– und Messenger-Dienste

Die Schadsoftware BadBox war in allen dem BSI bekannten Fällen bereits beim Kauf auf den jeweiligen Geräten installiert. BadBox kann unbemerkt Accounts für E-Mail– und Messenger-Dienste erstellen, über die anschließend Fake-News verbreitet werden können. Weiterhin kann BadBox Werbebetrug (Ad-Fraud) durchführen, indem es im Hintergrund Webseiten ansteuert. Darüber hinaus kann die Schadsoftware als Residental-Proxy-Service fungieren. Dabei stellt sie die Internetverbindung der Nutzer unbekannten Dritten zur Verfügung, die diese dann für kriminelle Aktivitäten (Cyberangriffe, Verbreitung illegaler Inhalte) nutzen können. Dadurch kann die IP-Adresse der Betroffenen in Zusammenhang mit Straftaten gebracht werden. Darüber hinaus kann BadBox weitere Schadsoftware nachladen.

Das BSI leitet derzeit im Rahmen einer Sinkholing-Maßnahme nach § 7c BSI-Gesetz (BSIG) die Kommunikation betroffener Geräte mit den Kontrollservern der Täter um. Dies betrifft Provider, die über 100.000 Kunden haben. Für diese Geräte besteht keine akute Gefahr, solange das BSI die Sinkholing-Maßnahme aufrechterhält. Grundsätzlich besteht aber für alle IT-Produkte mit veralteten Firmware-Versionen das Risiko, dass sie für Schadsoftware anfällig sind. Dies betrifft somit neben den bei der BSI-Maßnahme auffällig gewordenen Bilderrahmen und Mediaplayern auch zahlreiche weitere Produktklassen. Internationale Berichte legen nahe, dass auch Smartphones und Tablets zu infizierten Geräten gehören können. Das BSI geht daher von einer sehr hohen Dunkelziffer aus und ruft dazu auf, entsprechende Geräte vom Internet zu trennen oder nicht weiter zu benutzen.

Internetfähige Produkte im Netzwerk überprüfen

Verbraucher, deren Geräte als infiziert identifiziert werden können, werden anhand ihrer IP-Adresse in der Regel von ihren Telekommunikationsanbietern über den Verdacht einer bestehenden Schadsoftware-Infektion in ihrem Netzwerk informiert. Der genaue Inhalt dieser Information kann sich je nach Provider unterscheiden. Da es sich im konkreten Fall um oftmals baugleiche Produkte handelt, die jedoch unter unterschiedlichen Namen und Bezeichnungen vertrieben werden, kann durch das BSI keine Produktnennung erfolgen. Das BSI bittet jedoch darum, diese Informationen ernst zu nehmen und alle internetfähigen Produkte im jeweiligen Netzwerk zu überprüfen. Ein betroffenes Gerät sollte umgehend vom Internet getrennt werden. Auch Verbraucherinnen und Verbraucher, die nicht unmittelbar informiert werden, sollten ihre Geräte überprüfen.

Das BSI empfiehlt zudem, vor dem Kauf entsprechender Produkte, die Sicherheitseigenschaften des Geräts zu überprüfen. Empfehlenswert ist ein offizieller Hersteller-Support, eine aktuelle Version des jeweiligen Betriebssystems oder ein Blick auf die Seriosität des Herstellers. Weitere Tipps dazu hält das BSI unter Smarthome – den Wohnraum sicher vernetzen bereit.