Diese Woche veröffentlichte das Whsitle-Blower-Portal Wikileaks tausende Dokumente, die vom US-Geheimdienst CIA stammen sollen. Das unter dem Titel «Vault 7» publizierte Material gibt Einblicke in die mutmassliche Cyber-Spionagepraxis der Central Intelligence Agency.
Der Aufschrei war gross. Doch kann es wirklich überraschen, dass ein mächtiger Auslandsgeheimdienst Cyber-Spionage betreibt? Wohl kaum – vor allem, wenn man berücksichtigt, dass die Geheimdienste nur Türen einzurennen brauchen, welche die Konsumenten mit dem Kauf entsprechender Produkte weit geöffnet haben.
Rechtzeitig zum Weihnachtsgeschäft präsentierte die Firma Mattel Ende 2015 die Puppe «Hello Barbie». Per Knopfdruck können Kinder mit der Blondine sprechen, die Puppe antwortet dank Spracherkennung und Lernsoftware über WLAN.
Die Kehrseite der Medaille: Das dünne Gör kann gehackt werden. Das gelang Ende 2015 dem US-Sicherheitsfachmann Matt Jakubowski. Er verschaffte sich Zugriff zu sensiblen Userdaten, aber auch zu gespeicherten Audiofiles. Ausserdem hatte er direkten Zugriff auf das Mikrophon. «Hello Barbie» sei sehr anfällig für Angriffe gewesen, erklärte er danach.
Ebenfalls fürs Weihnachtsgeschäft 2015 brachte Fisher Price einen «smarten» Teddy mit Wifi-Verbindung auf den Markt. Mitarbeiter der Sicherheitsfirma Rapid7 gelang es, diverse Sicherheitslücken aufzudecken. Unter anderem sei es potenziellen Angreifern möglich, einen Teddy komplett «zu übernehmen» und zu steuern.
Wenige Wochen nachdem das Problem öffentlich wurde, erklärte Mattel, die Sicherheitslücken seien nun geschlossen.
Laut Wikileaks-Dokumenten soll die CIA fähig sein, das Samsung-TV-Gerät Smart-TV F8000 derart unter Kontrolle zu bringen, dass der Benutzer glaubt, das Gerät sei abgeschaltet, obwohl es Bild und Ton der eingebauten Kamera an den Geheimdienst weiterleitet. Bei der CIA läuft diese Operation unter dem Codenamen «Weeping Angel».
Auch TV-Hersteller Vizio überwachte das Konsumverhalten seiner Kunden im Sekundentakt. Deshalb muss der kalifornische Hersteller 2.2 Millionen Dollar Entschädigung bezahlen. Bis jetzt noch ohne Schadensersatzbezahlung kam LG weg. Auch die Koreaner zeichneten Konsumverhaltensdaten auf – auch wenn entsprechende Privatsphären-Einstellungen aktiviert waren.
Immer mehr Autobauer setzen auf Fahrassistenten – zum Beispiel auf aktive Spurhalteassistenten, die auch aktiv ins Lenkmanöver eingreifen. Auf diese Systeme habe es die CIA laut Wikileaks abgesehen. Der Geheimdienst soll die Möglichkeit besitzen, Unfälle herbeizuführen – zum Beispiel für gezielte und schwer nachweisbare Attentate.
Dass es keinen Geheimdienst braucht, um aus der Ferne die Herrschaft über ein Auto zu erlangen, bewies Wired-Journalist Andy Greenberg 2015 mit den Hackern Charlie Miller and Chris Valasek. Den beiden gelang es, Greenbergs Jeep mitten auf der Autobahn abzubremsen, die Scheibenwischer und die Klimaanlage zu kontrollieren, das Soundsystem mit Kanye West zu bespielen.
Wie die Barbie und der schlaue Teddy gilt auch die Puppe Cayla dank eingebautem Mikrophon und Wifi-Zugang als potenzielles Spionage-Werkzeug. Die Bundesnetzagentur in Deutschland gab deshalb kürzlich eine Empfehlung an Käufer heraus, das Spielzeug zu zerstören. Und tatsächlich: Der BBC gelang es scheinbar einfach, die Puppe zu hacken. Es handle sich dabei um einen Einzelfall, verübt durch einen Spezialisten, wehrt sich der Hersteller. Mittlerweile kann ein Update der Puppen-Software heruntergeladen werden, das grössere Sicherheit verspricht.
Die hereO preist sich selbst als erste Kinder-Smartwatch, welche den Eltern dank GPS den aktuellen Aufenthaltsort des Nachwuchs verrät. Erneut war es Rapid7, die herausfanden, dass sich die gut gemeinte Idee missbrauchen lässt. Wegen Sicherheitslücken war es digitale Eindringlingen möglich, nicht nur den Standort des Kindes, sondern auch den Standort anderer Familienmitglieder auszulesen.
Das Problem wurde laut Hersteller innert weniger Stunden behoben.
Eine Familie aus New York erlebte im November 2016 den blanken Horror: Mitten in der Nacht begann ein unbekannter Hacker, mit ihrem kleinen Sohn zu sprechen – über das Babyphon: «Wake up little boy, daddy’s looking for you», sagte der Unbekannte übers Babyphone. Zuvor hatte sich der Bub beklagt, in der Nacht von fremden Stimmen belästigt zu werden.
Aus dem Einzelfall wurde ein Sport. Ein Sport, der sich solcher Popularität erfreute, dass New York's Department of Consumer Affairs (DCA) eine Warnung an die Eltern erliess. Diverse Geräte verschiedener Herseller waren von der Sicherheitslücke betroffen.
2014 flog ein Botnet auf, das von 100'000 elektronischen Geräten aus über 750'000 Spam-Mails verschickte. Drei Viertel der Mails wurden von infizierten Computern verschickt.
Ein Viertel – und deshalb gilt die Aktion als Präzedenzfall – wurde von anderen Geräten verschickt: Media-Center, Set-Top-Boxen, Fernseher, Router. Entdeckt wurde das Netzwerk von der Sicherheitsfirma Proofepoint. Laut ihren Recherchen soll sich unter den infizierten Geräten auch mindestens ein Kühlschrank befunden haben.
Im Prinzip gilt: Jedes Gerät mit Internet-Zugang kann gehackt werden. Und wenn es mit einem Mikrophon und/oder einer Kamera ausgerüstet ist, ist spezielle Vorsicht geboten.
(tog)
