IoT: "Defekte Geräte sind das größte Problem"
Was steckt eigentlich in meinem Staubsauger-Roboter und wozu benötigt der eine Quad Core CPU? Das fragte sich Dennis Giese, der IT-Sicherheit erforscht.
Der Blick ins Innere: Welche Daten sind auf den verschiedenen IoT-Geräten?
(Bild: Dennis Giese)
Dennis Giese ist PhD-Student an der Northeastern University und der TU Darmstadt. Er forscht zur IT-Sicherheit und hat auf gebrauchten IoT-Geräten nach Daten der Vorbesitzer gesucht.
TR: Sie haben Ihren Staubsaugerroboter auseinander genommen. Was hat Sie an seinem Innenleben interessiert?
Dennis Giese: Als ich mir 2017 einen Staubsaugerroboter für meine Wohnung zugelegt habe, habe ich gesehen, dass diese Geräte – für Haushaltsgeräte – relativ leistungsfähige Hardware besitzen, wie Quad Core CPU und viele Sensoren. Da bin ich neugierig geworden und habe mich gefragt, was darauf läuft.
(Bild: privat)
Welche Daten haben Sie vorgefunden?
Mein Gerät ist ein Xiaomi Mi Vacuum Robot. Es hat sehr viele Logdateien erzeugt. Diese Logdateien werden sehr lange gespeichert, sind nicht verschlüsselt und enthalten viele Informationen: Wann das Gerät konfiguriert wurde, wann es sich mit dem WLAN verbunden hat, ob der Saugvorgang erfolgreich war und mehr. Dazu waren die staubsaugerspezifischen Informationen vorhanden. Zusätzlich zu den Logdateien gab es auch noch die Kartendaten auf dem Gerät, also welchen Pfad der Staubsauger genommen hat und wie die Wohnung aussieht.
Durch den Datenfund auf dem Staubsaugerroboter waren Sie angespornt. Wie ging es weiter?
Ich habe zu der Zeit ein Thema für meine Masterarbeit an der TU Darmstadt gesucht und fand es eine gute Idee, die Daten auf IoT-Geräten und dem Xiaomi-Ökosystem im speziellen zu untersuchen. Dafür habe ich mir verschiedene Gerätegruppen herausgepickt von Xiaomi: Staubsaugerroboter, Smart Home Gateways, Überwachungskameras und verschiedene Lichtprodukte. Nachdem ich die Thesis abgegeben hatte, habe ich mir viele gebrauchte Geräte verschiedener Hersteller gekauft, wie Mediaplayer, Türkameras und Spielzeug. Dazu habe ich mich auf Flohmärkten, Amazon Warehouse Deals und auf eBay umgesehen. Einige Geräte waren zurückgesetzt, ein paar kaputt und andere waren immer noch im ursprünglichen Zustand.
Was haben Sie auf den Geräten entdeckt?
Die kaputten und nicht zurückgesetzten Geräte hatten immer noch am meisten Informationen. In Erinnerung bleibt mir besonders der Media Player, der viele Spuren von Pornografie, aber auch persönliche Daten enthielt. Allerdings war erschreckend, dass auch die zurückgesetzten Geräte noch sensible Daten enthielten.
Was ließe sich mit den sensiblen Daten anstellen?
Da die Geräte Zugang zum heimischen WLAN haben müssen, speichern sie die Zugangsdaten. Wenn man diese hat und weiß, wo der Standort ist, kann man sich Zugriff auf das Netzwerk verschaffen. Werfe ich beispielsweise meine smarte Glühbirne weg und der Nachbar findet sie und liest sie aus, kann das schon ein Problem darstellen. Die meisten Verbraucher sichern ihre internen Netzwerke nicht wirklich ab. Dazu kommt auch noch, dass manche Passwörter an vielen verschiedenen Stellen verwendet werden.
Was raten Sie Verbrauchern, wenn diese ihre schlauen Haushaltsgeräte wegschmeißen oder verkaufen?
Ich halte die Daten auf den smarten Geräten für weniger kritisch, als wenn man Informationen aus einem PC, Laptop oder Smartphone besitzt. Meine „Fundstücke“ sind daher kein Grund zur Panik. Aber man sollte auf jeden Fall die Geräte zurücksetzen und dazu mal in das Handbuch schauen, bevor man sie wegwirft. Beim Xiaomi-Staubsauger ist zum Beispiel ein WiFi Reset, der keine Daten entfernt, und ein Factory Reset, der sehr viele Daten entfernt, möglich. Letzterer ist aber verborgen im Handbuch und nicht direkt ersichtlich. Mit einer solchen Zurücksetzung wird man vermutlich die meisten Neugierigen erstmal davon abhalten, die Daten zu extrahieren. Auch sollte man sicherstellen, dass die Geräte aus den dazugehörigen Apps gelöscht sind.
Warum?
Ich habe vor Kurzem ein Alexa Echo erstanden, bei der der USB-Anschluss kaputt war. Nachdem ich es repariert hatte, war der Sprachassistent immer noch an dem Amazonkonto des Vorbesitzers angemeldet. So hätte ich den Sprachassistenten fragen können: Alexa, wer bin ich? Wie ist meine Standardlieferanschrift? Daher denke ich, dass defekte Gerät das größte Problem bei der Datensicherheit sind.
Könnten im Fall von Datenresten auf kaputten Geräten nicht die Hersteller für Sicherheit sorgen?
Lesen Sie mehr zum Internet der Dinge:
Xiaomi als großer Betreiber von einem IoT-Ökosystem kümmert sich noch um die Sicherheit. Bei vielen kleineren, meist chinesischen, Firmen wäre ich mir da nicht so sicher. Generell habe ich den Eindruck, dass das Verständnis der meisten Hersteller im Bezug auf Privatssphäre und Datensparsamkeit fehlt. Dazu kommt noch fehlendes Wissen und Zeitdruck bei den entsprechenden Entwicklern von den Produkten. Das sollte man sich immer vor Augen halten, wenn man großflächig IoT-Geräte bei sich Zuhause einsetzt. Insbesondere nach meinem Besuch der diesjährigen IFA habe ich das Gefühl, dass das Problem mit obsoleten IoT-Geräten in Zukunft noch viel akuter wird. Die Ausstellung war wirklich voll mit IoT-Geräten – und bei vielen davon hat sich mir der Sinn einer Vernetzung überhaupt nicht erschlossen.
Wenn ich kein versierter IT-ler bin, was kann ich tun, wenn das Gerät kaputt ist und ich meine Daten nicht löschen kann?
Wenn das Gerät wirklich kaputt ist, kann ich es vielleicht aufschrauben und speziell die Flash Chips physikalisch zerstören. Bei kleineren Geräten, etwa Wi-Fi Glühbirnen, empfehle ich, sie erstmal zu sammeln und dann gesammelt entsorgen, aber nicht im Hausmüll. Im Zuge dessen sollte man auch sein WLAN-Passwort ändern. Das hat zwar erstmal nichts mit den gespeicherten Daten auf dem Gerät zu tun, sorgt aber dafür, dass die WLAN-Zugangsdaten nicht ausgenutzt werden können. Das gleiche gilt übrigens auch für alte Smartphones und Router, was häufig vergessen wird.
(jle)
