Go to Top

Erpresserischer Thermostat

Ransomware

Das smarte Haus ist bei uns noch selten, in den USA aber schon groß in Mode – Heizung und Alarmanlage können via Internet gesteuert werden, Licht und Jalousien können mit dem Handy bedient werden, auch die Kaffeemaschine und der Kühlschrank sind (bald) im Netz.

Auf der Hackerkonferenz DEF CON in Las Vegas zeigten Andrew Tierney und Ken Munro – Sicherheitsforscher der britischen Firma Pen Test Partners – was passiert, wenn man Ransomware für smarte Wohnungen programmiert. Die Wissenschaftler nutzten eine Sicherheitslücke in einem der internetfähigen Thermostate um Erpressersoftware auf dem Gerät zu installieren. Das Ergebnis: die Software regelte die Heizung auf die höchste Einstellung (bei einer Außentemperatur von über 30 Grad) und informierte die „Besitzer“ des Hauses, dass der Thermostat erst nach einer Zahlung von einem Bitcoin wieder regulär einsetzbar sei.

Allerdings musste die Schadsoftware über eine SD-Karte, auf der die persönlichen Einstellungen des Hauseigentümers gespeichert sind, in das Gerät eingeschleust werden. Da die Daten auf der Speicherkarte vom Thermostat nicht geprüft werden, war es möglich, das Gerät zu korrumpieren. In der Praxis wird diese Art der Erpressung nicht so einfach durchführbar sein, da die Schadsoftware auf irgendeinem Weg auf der SD-Karte gespeichert werden müsste.

Den Forschern ging es aber nicht darum, zu zeigen, wie man smarte Haushaltsgeräte hackt. Sie wollten auf das generelle Risiko hinweisen, das von smarten Haushaltsgeräten ausgeht. Die Geräte sind häufig leicht angreifbar, da viele Hersteller auf Schutzmaßnahmen keinen großen Wert legen – oder einfach zu wenig Ahnung von Computersicherheit haben.

Wer in eine solche Hilfe im Haushalt aber erst einmal unter seine Kontrolle gebracht hat kann über das heimische WLAN, das im smarten Haus von vielen weiteren Geräten verwendet wird, einiges an Unheil anrichten. Nicht nur PC, Tablet oder Smartphone wären in Gefahr, ein Angreifer könnte auch das smarte Türschloss so beeinflussen, dass der Eintritt ins Eigenheim erst nach der Überweisung von fünf Bitcoins gewährt würde.

Bildquelle: © Ken Munro