Der frische Geruch eines „gehackten“ Kaffees – Smarte Kaffeemaschine verlangt Lösegeld

Frühere Geräte basierten auf einfacher, sicherer Technik. Menschen vertrauten darauf, dass Hardware, wie zum Beispiel eine gewöhnliche Kaffeemaschine, vertrauenswürdig ist und nicht einfach geändert werden kann, ohne das Gerät physisch zu demontieren. Aber mit den heutigen „smarten“ Geräten sieht das anders aus …

Während Hersteller früher bei einem „Designfehler in einer Hardware“ mitunter das gesamte Gerät austauschen mussten, reicht heute ein Update. Der Prozess der Aktualisierung kann dabei sehr unterschiedlich sein und reicht vom Anschluss an das spezielle Gerät mit Hilfe eines speziellen Tools – was immer noch die physische Interaktion des Herstellers erfordert – bis hin zur Aktualisierung über das Internet.

Letzteres könnte theoretisch nicht nur der Nutzer durchführen. Auch Hacker können „smarte“ Geräte übernehmen, wie Sicherheitsexperten von Avast kürzlich bewiesen. Die manipulierte Kaffeemaschine forderte anschließend Lösegeld in Bitcoin.

Stecker ziehen als einzige Lösung

Auch wenn Hacker auf ein gut geschütztes, vernetztes Gerät zugreifen können, schützt die Programmierung normalerweise vor bestimmten (Fehl-)Funktionen. Logische Beschränkungen im Inneren des Geräts lassen beispielsweise nicht zu, dass sich Garagentore schließen, wenn sie auf ein Hindernis treffen oder dass ein Gerät überhitzt und Feuer fängt. Auch ein Überschreiben dieser Beschränkungen sollte nicht möglich sein.

Ganz anders verhält es sich mit IoT-Geräten bestimmter Hersteller. Insbesondere die Marke Smarter habe sich „unter Security-Experten [keinen] guten Ruf erarbeitet“, schreibt der österreichische „Standard“. Sowohl die ersten smarten Wasserkocher als auch die smarte Kaffeemaschine der ersten Generation zeichneten sich „durch fast schon demonstrative Vernachlässigung ihrer digitalen Sicherheit“ aus. Mit eben so einer Kaffeemaschine experimentierte Martin Hron von Avast. Das Modell wird nicht mehr produziert, befindet sich jedoch noch vielfach im Umlauf.

Aufgrund mangelnder Verschlüsselung oder Authentifizierung konnte Hron bereits nach einer Woche seine neue Kaffeemaschine fernsteuern – auch ohne die dazugehörige App. Neben der tatsächlichen Zubereitung einer Tasse Kaffee konnte Hron beliebige Nachrichten auf dem Display anzeigen sowie bestimmte Funktionen des Geräts aktivieren, einschließlich des Mahlwerks oder des Heizaggregats. Beenden könnten Nutzer die Attacken nur durch das Ziehen des Netzsteckers.

Erpressung statt Morgenkaffee

Die Updates der Kaffeemaschine offenbarten weitere Angriffsmöglichkeiten. Hron öffnete das unverschlüsselte Update auf seinem PC und begann seine eigenen Programmelemente zu schreiben. Um die passenden Befehle zu finden, war es dann doch nötig, die Maschine auseinander zu nehmen und Prozessormodell und Komponenten zu bestimmen.

Hron eigentliches Ziel, mit der smarten Kaffeemaschine eine Kryptowährung zu minen, scheiterte an der geringen Rechenleistung. Stattdessen konnte Hron die Maschine so weit blockieren, dass sie lediglich die kurze Nachricht „Wollen Sie ihre Maschine zurück?“ und einen Link anzeigte. Die hinterlegten Anweisungen forderten auf, Bitcoins zu bezahlen. Da hilft dann auch der Netzstecker nicht mehr.

Neben dem eigentlichen Gerät stellen jedoch auch Produzenten und Nutzer eine Gefahr dar. Während der durchschnittliche (smarte) Kühlschrank 17 Jahre im Einsatz ist, stellt kaum ein Anbieter über diesen Zeitraum Sicherheitsupdates zur Verfügung.

Andererseits konfigurierten viele Nutzer ihre smarten Geräte nicht, sodass diese ihre eigenen nicht gesicherten, permanent aktivierten WLAN-Netze betreiben. Auch die Einbindung in gesicherte Netzwerke helfe nicht unbedingt, denn Hacker können ein „‚Deauthorisierungs-Paket‘ schicken, das bewirkt, dass sich die Kaffeemaschine vom Netzwerk trennt und wieder ihr eigenes WLAN einschaltet“, zitiert „Der Standard“.