Seite wählen

Am 21. Oktober legte eine große Cyber-Attacke Teile des Internets in Nordamerika und Europa lahm. Schuld waren IoT-Devices (Internet of things), die, gehackt und mit der Malware Mirai ausgestattet, als Teil von Botnets zum Angriff übergingen. Diesmal traf die DDoS-Attacke den DNS-Provider Dyn. Das gleiche Setup hatte – in kleinerer Dimension – schon im September die Website des Cyber-Spezialisten Brian Krebs getroffen. Warnungen vor derartigem Missbrauch von “smarten Geräten” gibt es schon lange, der Sicherheitsexperte Bruce Schneier hatte schon im Januar 2014 vor dem Szenario mit gekaperten Überwachungskameras, Routern, Babyphones und Co. gewarnt. Elgato-CEO Dr. Markus Fest zur Attacke und warum die Eve-Geräte nicht betroffen waren und sind:

Die DDoS-Attacke vom 21. Oktober hat lediglich die Oberfläche von Angriffen gegen IoT-Geräte angekratzt. Ein Angreifer, dem es möglich ist, eine Malware auf Überwachungskameras, Routern, Babyphones und mehr zu installieren, kann natürlich auch Software installieren, die die Funktionalität der Geräte betrifft. Außerdem ist es möglich, dass er durch das Überschreiben des Bootloaders und des Firmware-Update-Codes der Geräte diese für den Eigentümer komplett unbrauchbar macht. Den meisten Benutzern ist es egal, wenn ihr Gerät in einer DDoS-Attacke genutzt wird, solange es weiter seinen Job tut. Diese Einstellung würde sich schnell ändern, wenn Millionen solcher “smarter” Geräte plötzlich unbrauchbar wären.

Ein guter “Lackmustest” ist es, den Hersteller von solchen Geräten nach dem Sicherheits-Whitepaper zu fragen, das die Sicherheitsarchitektur ebenso erläutert wie genutzte Algorithmen und den Schutz der Privatsphäre. Existiert ein solches Dokument nicht – und das ist oft der Fall – stehen die Chancen sehr hoch, dass die Sicherheitsarchitektur nicht professionell implementiert ist und es folglich erhebliche Sicherheitsmängel gibt. Auch wenn es auf den ersten Blick unlogisch erscheinen mag: “Security by Obscurity” (übersetzt etwa Sicherheit durch Verborgenheit) bedeutet in Wahrheit keine Sicherheit.

Apple stellt schon seit Jahren ein Sicherheits-Whitepaper zur Verfügung, in dem alle genannten Aspekte aufgeführt sind, ab Seite 23 widmet sich das Dokument HomeKit.

Wir vertrauen eindeutig darauf, dass HomeKit extrem sicher ist. Wir glauben auch – als generelle Regel –, dass Geräte, die Nicht-HomeKit-APIs nutzen, speziell eigene und nicht dokumentierte Cloud-APIs, signifikant unsicherer sind. Wir können Apples Zertifizierungsvoraussetzungen für Nicht-HomeKit-APIs nicht kommentieren.

Es ist wichtig zu erwähnen, dass ein HomeKit-fähiges Gerät, das über Fehler in den Nicht-HomeKit-APIs gehackt wurde, dennoch die Plattform HomeKit nicht gefährdet, da ein HomeKit-fähiges Gerät nicht mit anderen direkt kommunizieren kann.

HomeKit-only-Geräte wie unser Eve Light Switch, Eve Energy und andere sind extrem sicher. Der einzig annehmbare Angriff muss über das iOS-Gerät erfolgen (iPhone oder Apple TV), was erheblich schwerer zu knacken ist (und physisch vorliegen muss) als ein typisches, Cloud-gebundenes IoT-Gerät. Zudem: Im unwahrscheinlichen Fall, dass ein Angreifer Zugang zum iPhone bekommt – er gewinnt nichts dabei, wenn er eine Malware auf ein Bluetooth-LE Eve Energy überträgt.

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.