Simulation eines Smart Homes
Bislang aber gibt es kaum valide Daten über externe Zugriffe auf IoT-Geräte. Deswegen baute das von Sophos beauftrage Unternehmen Koramis eine Smart-Home-Infrastruktur als Honeypot auf, das „Haunted House“ (Spukhaus, Geisterhaus). Auf einer 4 × 2,5 m großen, einer Wohnung nachempfundenen Fläche wurden insgesamt 13 IoT-Geräte und -Steuerungssysteme unterschiedlicher Hersteller eingebaut, vernetzt und mit dem Internet verbunden – klassisch wie man es in immer mehr modernen Haushalten findet.
Drei Testphasen
In zwei der insgesamt drei Testphasen wurden die Art und Häufigkeit von Zugriffsversuchen auf die Komponenten im Haunted House aufgezeichnet. Die erste Phase erfolgte über sechs Wochen mit eigens vergebenen und sicheren Passwörtern. Die zweite Phase mit demselben Aufbau lief drei Wochen, allerdings mit den Standardeinstellungen der Hersteller – so wie man es häufig in privaten Haushalten installiert findet.
Für die Einordnung dieser Ergebnisse im einen größeren Kontext, wurden in einer dritten Phase aktive Internet-Scans nach typischen und offenen IoT-Komponenten mithilfe der IoT-Suchmaschinen Shodan und Censys durchgeführt. Die Ergebnisse wurden in Heatmaps für die deutschsprachige Region, Europa und weltweit dargestellt.
Wenig überraschend, aber besorgniserregend
Die Zugriffsversuche auf das Haunted House übertrafen die Erwartungen und waren hoch. Aus fast jedem Land der Welt wurde im Versuchszeitraum mindestens einmal versucht, ein IoT-Gerät im Haunted House anzusprechen – in der ersten Phase im Frühjahr 2017 ca. 1500 tägliche Zugriffsversuche, in der zweiten Phase im Herbst 2017 rund 3800.
Die Verteilung der Zugriffe aus den einzelnen Ländern unterscheidet sich dabei bei beiden Testphasen. Besetzen China und die USA in beiden Perioden die ersten beiden Plätze, verändert sich der Drittplatzierte stark: Mexiko liegt in der ersten Testphase auf drei, in der zweiten Phase schafft es das Land nicht mal unter die Top Ten. Brasilien (vormals fünf) nimmt seinen Platz ein. An Brasiliens Stelle positioniert sich neu Japan.
Auffallend: innerhalb dieses zweiten Testzeitraumes von drei Wochen konnten 27 Angriffe auf den Server eines Herstellers identifiziert werden. Im Ergebnis lässt sich also schließen, dass sich im Testzeitrum, bei dem mit Standardeinstellungen gearbeitet wurde, durchschnittlich mehr als ein ungebetener Gast pro Tag im Haunted House umgeschaut hat. An den Systemen wurden dabei von keinem Angreifer Veränderungen vorgenommen – obwohl dieses möglich gewesen wäre.
Bei den aktiven Internet-Scans wurden viele Internet-Gateways für IoT-Komponenten gefunden, mit steigender Tendenz. In der Region DACH lässt sich zwischen März und Mai mit 3,7 % ein dauerhafter Anstieg offener Gateways verzeichnen. Hochgerechnet auf ein Jahr liegt der Wert bei linearer Fortschreibung bei 22,2 % und bestätigt damit die prognostizierte Marktentwicklung von 25 % für den DACH-Bereich (www.statista.com). Weltweit stieg die Anzahl gefundener Gateways um die Rate 3,1 %.
Die genaue Beschreibung der Haunted-House-Studie und eine ausführliche Darstellung der Ergebnisse wurden in einem Whitepaper veröffentlicht: www.sophos-events.com/smarthome. Hier finden sich auch Tipps, wie man ein Smart Home bzw. das Heimnetzwerk schützen kann. ■