Ein weiterer Fall von gehacktem Kinderspielzeug sorgt für Aufregung: Diesmal handelt es sich dabei um einen smarten Teddy, der Sprachnachrichten senden und empfangen kann. Beim Hersteller Spiral Toys kam es zu einem Sicherheitsvorfall in Zusammenhang mit rund 800.000 User-Accounts. Das Unternehmen sagt, keiner seiner Kunden sei gehackt worden.
Das dürfte noch lange nicht die Spitze des Eisbergs darstellen - insbesondere, wenn Hersteller und Nutzer smarter und vernetzter Spielzeuge (nicht nur für Kinder) sich weiterhin nicht um entsprechende IT-Sicherheitsmaßnahmen bemühen. Gemeinsam mit Zach Lanier, Director of Research beim Sicherheitsanbieter Cylance, lassen wir einige schlagzeilenträchtige Spielzeug-Hacks der letzten Zeit Revue passieren - und geben Tipps für mehr Security.
CloudPets Smart Teddy
Auch wenn Spiral Toys bislang davon ausgeht, dass keinerlei User-Daten gestohlen wurden. Es ist nicht unwahrscheinlich, dass die Angreifer Zugriff auf die Sprachnachrichten der Kunden hatten. Schließlich waren die Kundendaten jederzeit online zugänglich, weil sie in einer ungesicherten NoSQL-Datenbank gespeichert waren. Authentifizierung? Fehlanzeige. Nicht nur kriminelle Hacker hätten die Daten also jederzeit einsehen und/oder stehlen können. Noch dazu waren die Teddybären die unter dem Label "CloudPets" verkauft werden, in punkto Passwortsicherheit schlecht ausgestattet: Es gab keine Vorgaben zu Länge oder Stärke der Kennwörter - ein Brute-Force-Paradies.
Tipp: Achten Sie darauf, stets ein sicheres Passwort zu benutzen - egal ob es Vorgaben dazu gibt oder nicht. Es gelten die bekannten Grundregeln: Beziehen Sie Groß- und Kleinschreibung mit ein, nutzen Sie Buchstaben, Zahlen und Sonderzeichen. Greifen Sie auf einen Passwort-Manager zurück, um nicht den Fehler zu begehen, das selbe Passwort für alle Accounts zu benutzen.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.
Fisher-Price Smart Toy
Die App-gesteuerten Plüschtiere aus dem Hause Fisher-Price gerieten ins Visier von Sicherheitsforschern, weil die zugehörige mobile Applikation einige API-Schwachstellen aufwies. So konnte der Sender von Nachrichten nicht mehr verifiziert werden. Folgen? Hacker hätten auf diesem Weg Usernamen oder E-Mail-Adressen herausfinden können, über die man wiederum an die Daten der damit verknüpften Accounts kommt. Fisher-Price speichert hier beispielsweise Informationen wie Namen, Geburtsdaten, Geschlecht und Sprache der Kinder, die die Kuscheltiere benutzen.
Tipp: Wenn sich ein IoT-Device mit einer mobilen App oder einem Desktop-Rechner verbinden muss, ist es wichtig zu wissen, wie das vor sich geht. Wenn hierbei keine https-Verbindung genutzt wird, ist die Verbindung - und damit auch die Daten - nicht abgesichert.
My Friend Cayla
Die Puppe Cayla wurde in Deutschland inzwischen von der Bundesnetzagentur verboten und stellt entsprechend den hierzulande bekanntesten Fall von gehacktem Kinderspielzeug dar. Die Puppe besitzt ein integriertes Mikrofon, das mit dem Internet verbunden ist, um Fragen der Kinder beantworten zu können. Die Sprachdaten sind allerdings für Hacker jederzeit abgreifbar, das Mikrofon lässt sich für Lauschangriffe nutzen und Kriminelle können jederzeit auf persönliche Daten zugreifen.
Tipp: Wenn das Spielzeug eine WLAN-Verbindung benötigt, sollten Sie darauf achten, dass angemessene Standards zum Einsatz kommen wie WPA2. Außerdem sollten Sie sich Gewissheit darüber verschaffen, welche Daten das Kinderspielzeug eigentlich sammelt.
i-Que Intelligent Robot
Auch mit Hilfe dieses Spielzeug-Roboters könnten Hacker Kinder und ihre Familien belauschen. Der Hersteller der Spracherkennungssoftware - Nuance Communications - wertet die so entstandenen Nutzerdaten aus und speichert diese.
Tipp: Bevor Sie Ihrem Kind eines der tollen, neuen IoT-Spielzeuge schenken, sollten Sie sich darüber informieren, wie es der Hersteller mit dem Datenschutz hält. Wenn Informationen verfügbar sind, lesen Sie sie - es ist gut zu wissen, wie ihre Daten genutzt werden. Stellen Sie keine unnötigen persönlichen Daten zur Verfügung.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Hackerangriff auf VTech
Das in HongKong angesiedelte Spielzeug-Unternehmen VTech musste Ende 2015 einen Hackerangriff auf seine App-Store-Datenbank ("LearningLodge") eingestehen. Dabei wurden 11,6 Millionen User-Konten kompromittiert und Fotos sowie Sprachaufnahmen von Kindern und Eltern gestohlen. Darüber hinaus wurden auch persönliche Informationen wie Name, Geschlecht und Geburtsdaten entwendet.
Tipp: Überprüfen Sie, ob der Spielzeug-Hersteller zuvor im Zusammenhang mit Hacks auffällig geworden ist. Wenn ja, sollten Sie sich insbesondere ansehen, wie das Unternehmen darauf reagiert hat. Wenn es sich um einen relativ neuen Hersteller handelt, besteht definitiv ein höheres Sicherheitsrisiko. Besuchen Sie auch die Webseite des Herstellers - eventuell finden sich hier Informationen darüber, wie ernst man bei dem Unternehmen die Sicherheit der Kunden nimmt. Gibt es eventuell sogar eine Meldeplattform für Sicherheitsvorfälle?
Hello Barbie
Auch die interaktive Version der berühmtesten Puppe der Welt sorgte für Kritik. Das Kinderspielzeug besitzt die Fähigkeit zu kommunizieren und kann Gespräche aufzeichnen. Diese Gespräche zwischen Kind und Puppe werden an die Server von Hersteller Mattel gesendet, analysiert und in der Cloud gespeichert. Dieses Vorgehen sorgte für Big-Brother-Vorwürfe. Die Wifi-Verbindung über die diese Daten laufen, könnte darüber hinaus auch von Hackern gekapert werden, die die Daten ebenfalls für ihre Zwecke auswerten.
Tipp: Verlassen Sie sich nicht auf große Markennamen. Recherchieren Sie vor dem Kauf im Netz. Nutzen Sie den WPA2-Standard bei Wifi-Verbindungen - WEP und WPA halten inzwischen kaum einem Hackerangriff mehr stand.
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten