Kennen Sie „Shodan“? Was für manche klingt wie eine neue Netflix-Serie über japanische Samurai-Anführer, ist in Wirklichkeit Traum und Alptraum zugleich für IT-Sicherheitsfachleute – und eine Fundgrube für Hacker. Denn hinter dem Namen verbirgt sich ein ganz spezieller Internetdienst, eine Suchmaschine für jegliche mit dem Netz verbundenen Endgeräte. Shodan.io ist eine Art Super-Google fürs Internet der Dinge, Englisch Internet of Things, kurz IoT.
Was von seinen Entwicklern einst gedacht war, um Details von Internetkomponenten zu recherchieren, entpuppte sich als ebenso wertvolles wir missbrauchsgefährdetes Werkzeug im Netz. Denn damit lassen sich jegliche Arten vernetzter Geräte finden – auch solche mit Sicherheitslücken oder bekannten IT-Schwachstellen. Immer wieder haben Fachleute mithilfe von Shodan demonstriert, wie schlecht Abermillionen von mit dem Internet verbundenen Endgeräten in Unternehmen und bei Privatpersonen gegen Schnüffler und Spione aus dem Netz geschützt sind.
Blick in fremde Gärten, Wohnzimmer und Kinderbetten
Auch die WirtschaftsWoche dokumentierte detailliert, wie einfach es die Kombination aus IoT-Suchdiensten und schlecht geschützter Technik Dritten macht, beispielsweise mit ungesicherten Webcams in fremde Wohnzimmer, Gärten oder gar Kinderbetten zu blicken. Zigtausendfach tauchen auch heute noch fernsteuerbare Steckdosen, vernetzte Rollladensteuerungen, Wasch- oder Spülmaschinen und Bewegungsmelder bis hin zu Webcams in der Shodan-Suche auf.
Neben der individuellen Nachlässigkeit vieler Nutzer, das Passwort für den Zugriff auf die Technik ganz abzuschalten oder Voreinstellungen wie die Nutzername-Passwort-Kombination „admin“, „1234“ beizubehalten, gab es bislang auch ein grundlegendes Problem für Käufer vernetzter Technik: Für viele über Elektronikmärkte oder übers Netz vertriebene Endgeräte, speziell von No-Name-Anbietern, teils aber sogar von Markenherstellern, gab es nach dem Kauf schlicht keinerlei Service und keine Updates mehr.
Ab Werk gegen Hacker ungeschützt
Gerade bei Billigprodukten, zumeist aus chinesischer Produktion, sind bis heute die darin verbaute Hard- und Software schon zum Verkaufszeitpunkt technisch überholt, selbst bekannte Schwachstellen ungesichert. Die vermeintlich smarte Vernetzung von Privat- oder Gewerbebauten mag zwar mehr Komfort im Alltag bringen. Vor allem aber öffnet sie Hackern mitunter im wahrsten Wortsinn Tür und Tor, wenn es Schwachstellen beispielsweise in vernetzten Alarmanlagen erlauben, Bewegungssensoren oder Alarmsirenen bequem übers Netz abzuschalten.
All dem will die EU nun mit dem neuen Cyber-Resilienzgesetz einen Riegel vorschieben, über dessen Details sich Europaparlament und der Europäische Rat soeben verständigt haben. Das von der EU-Kommission im Herbst 2022 vorgeschlagene Regelwerk, das bisher eher im Schatten der beiden weiteren zuletzt verabschiedeten großen EU-Digitalgesetzen stand, dem Digital Service Act und dem Digital Markets Act, soll das Sicherheitsniveau vernetzter Technik in der EU in den kommenden Jahren signifikant erhöhen.
So schreibt das Gesetz den IoT-Herstellern, aber auch Importeuren und Vertreibern vernetzter Geräte unter anderem Mindestfristen von in der Regel fünf Jahren vor, in denen sie für ihre Technik Sicherheitsupdates bereitstellen müssen. Das soll etwa sicherstellen, dass Produkte wie vernetzte Heimkameras, Kühlschränke, Fernsehgeräte oder Spielzeug, aber auch Firewalls und Router sicher sind, bevor sie in Verkehr gebracht werden.
Pflicht zur Warnung vor Schwachstellen
Zudem müssen die Produzenten belegen, dass die Produkte und ihre Komponenten und die Lieferketten über den gesamten Lebenszyklus der Technik sicher sind. Tauchen Schwachstellen auf, müssen die Hersteller diese an die nationalen Cybersicherheitsbehörden in Europa melden. Nach der Einigung zwischen Parlament und Rat Ende November steht nun noch die formelle Verabschiedung des Cyber-Resilienzgesetzes durch beide Gremien aus, sie gilt aber als Formsache.
Zwei Mankos hat der Beschluss dennoch: Nach Inkrafttreten haben Hersteller, Importeure und Handel bis zu 36 Monate Zeit, die Vorgaben umzusetzen. Zudem gelten die Regeln auch nur für neu verkaufte Produkte. Es ist daher nicht anzunehmen, dass Shodan schlagartig keine ungesicherten Webcams oder digitalen Türschlösser mehr findet. Dennoch: Die Chancen stehen gut, dass Zahl der gefundenen Systeme künftig deutlich sinkt.
Bis dahin sollten Smart-Home-Nutzer am besten erst einmal selbst aktiv werden. Denn über den Suchdienst kann jeder einen schnellen Check seiner vernetzten Alltagstechnik vornehmen – und unsichere Technik entweder absichern oder gleich ersetzen.
Lesen Sie auch: Wie Bund und Länder den Schutz von Kommunen, Schulen und andere Bildungseinrichtungen gegen Hacker vernachlässigen.
