Weiterlesen mit NEWS. Jetzt testen.
Lesezeit ca. 7 Min.

Sicherheit: Lücken in unsicherer Hardware schließen


PC Welt - epaper ⋅ Ausgabe 1/2020 vom 29.11.2019

Sicherheitslücken sind auch bei Hardware keineswegs selten. Unser Ratgeber erläutert, welche Geräte besonders gefährdet sind, wie Sie zu Hause konkrete Schwachstellen aufspüren und wie sich das Eindringen von Schadcode verhindern lässt.


Artikelbild für den Artikel "Sicherheit: Lücken in unsicherer Hardware schließen" aus der Ausgabe 1/2020 von PC Welt. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: PC Welt, Ausgabe 1/2020


„Bei billigen No-Name-Geräten fürs Smart Home sparen die Hersteller oft beim Wichtigsten, nämlich bei der Sicherheit.“


Daran, dass Windows und die übrige Software regelmäßig Patches gegen neu aufgedeckte Sicherheitslücken erhalten, hat man sich als PC-Nutzer längst gewöhnt. Spätestens der zwangsweise Neustart nach dem monatlichen Patch Day, wenn also Microsoft wieder ...
Weniger im Bewusstsein dagegen ist die Bedrohung durch unzureichend geschützte Hardware. Dabei sind es meist gar nicht per se die Geräte, die böswillig Schaden anrichten. Vielmehr führen auch hier veraltete Gerätesoftware (Firmware), unzureichend geschützte Zugänge, schwache Passwörter und Ähnliches dazu, dass Schadcode eingeschleust und gegebenenfalls übers Heimnetz verbreitet werden kann. Als Angriffspunkte für Hacker eignen sich besonders die Komponenten, die direkt oder per Netzwerk mit dem Internet verbunden sind. ...

Weiterlesen
epaper-Einzelheft 2,99€
NEWS 30 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von PC Welt. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 1/2020 von Durchbruch beim Quantencomputer?. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Durchbruch beim Quantencomputer?
Titelbild der Ausgabe 1/2020 von Bundesnetzagentur zeigt erste Funkloch-Karte. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bundesnetzagentur zeigt erste Funkloch-Karte
Titelbild der Ausgabe 1/2020 von Streamingdienste: Streaming: Disney+, Apple TV+ und Co.. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Streamingdienste: Streaming: Disney+, Apple TV+ und Co.
Titelbild der Ausgabe 1/2020 von Windows 10 Version 1909: Das ist neu im November-Update. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Windows 10 Version 1909: Das ist neu im November-Update
Titelbild der Ausgabe 1/2020 von Sicherheit: Firefox 70 behebt 13 Browserlücken. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicherheit: Firefox 70 behebt 13 Browserlücken
Titelbild der Ausgabe 1/2020 von Software: Panda Dome Family. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Software: Panda Dome Family
Vorheriger Artikel
Hardware: FITNESSTRACKER
aus dieser Ausgabe
Nächster Artikel Mobile: Günstig mobil surfen und telefonieren
aus dieser Ausgabe

Daran, dass Windows und die übrige Software regelmäßig Patches gegen neu aufgedeckte Sicherheitslücken erhalten, hat man sich als PC-Nutzer längst gewöhnt. Spätestens der zwangsweise Neustart nach dem monatlichen Patch Day, wenn also Microsoft wieder einmal Updates heruntergeladen und installiert hat, ruft dies in Erinnerung. Auch die meisten anderen Anbieter aktualisieren regelmäßig ihre Software – so weit, so normal.
Weniger im Bewusstsein dagegen ist die Bedrohung durch unzureichend geschützte Hardware. Dabei sind es meist gar nicht per se die Geräte, die böswillig Schaden anrichten. Vielmehr führen auch hier veraltete Gerätesoftware (Firmware), unzureichend geschützte Zugänge, schwache Passwörter und Ähnliches dazu, dass Schadcode eingeschleust und gegebenenfalls übers Heimnetz verbreitet werden kann. Als Angriffspunkte für Hacker eignen sich besonders die Komponenten, die direkt oder per Netzwerk mit dem Internet verbunden sind.
Dazu ein Beispiel: Ein Fernseher ohne Webzugang stellt keine Gefahr dar. Ist der Fernseher dagegen im Netz, was bereits für die Nutzung der Mediatheken erforderlich ist, ist er potenziell gefährdet. Die möglichen Szenarien reichen vom Unbrauchbarmachen durch einen Erpressungstrojaner bis zum Kapern von Kamera und Mikrofon. Einen solchen „großen Lauschangriff“ im Wohnzimmer wünscht sich wohl niemand. Ist das TV-Gerät zusätzlich ins Heimnetz integriert, droht der übrigen IT-Ausstattung Gefahr. Smarte Fernseher illustrieren die Gefahr besonders gut, weil sie mittlerweile in vielen Haushalten stehen, ohne dabei als „Gefahr“ wahrgenommen zu werden.

Smart-TV, Prozessor, Router, NAS – alles ist potenziell gefährdet

Angreifbar sind ferner Router, Netzwerkfestplatten (NAS), Smartphones, Audiogeräte mit Internetanschluss und vieles andere aus den Bereichen Netzwerk und Smart Home. Gerade das vernetzte Zuhause birgt weiteres Gefährdungspotenzial. So mach- ten in der Vergangenheit diverse Überwachungskameras ihrer Produktbezeichnung insofern alle Ehre, als sich aufgrund mangelhafter Absicherung Fremde unberechtigt Zugriff auf die IP-Kameras verschaffen konnten. Umgekehrt lassen sich andere Kameras unbefugt einfach ausschalten. Gerade bei billiger No-Name-Ware, oft aus Fernost, droht Gefahr, weil eine gute Sicherheitsarchitektur inklusive Service zum Patchen von Lücken eben Geld kostet.

Zwar waren zuletzt die Netzwerkplatten von Synology (links) sowie von QNAP (rechts) verstärkt Onlineangriffen ausgesetzt, die Szenarien unterschieden sich jedoch deutlich.


Solche smarten Türschlösser mit Fingerabdrucksensor gibt es in vielen Onlineshops schon für weniger als 100 Euro – allein der Preis weckt Zweifel bei Qualität und Sicherheit.


Darüber hinaus kann die unautorisierte Übernahme des smarten Zuhauses zum Ausspionieren persönlicher Gewohnheiten und sogar von Einbrechern ausgenutzt werden, beispielsweise wenn man ein smartes Schloss verwendet. Tests und Einschätzungen zur Sicherheit von Produkten für das Internet der Dinge finden Sie beim renommierten Prüfinstitut AV-Test unterwww.av-test.org/de/internet-of-things .
Ein anderer Fall: Im vergangenen Sommer warnten fast zeitgleich die beiden größten Hersteller von Netzwerkfestplatten, QNAP und Synology, vor verstärken Angriffen auf ihre Datenspeicher. Da aber endete auch schon die Gemeinsamkeit. Die Angriffe auf die QNAP-Systeme waren offenbar komplex, so dass das Unternehmen seinen Nutzern gleich sechs Ratschläge zum Absichern der NAS-Festplatten gab. Darunter auch die Empfehlung, die Gerätesoftware zu aktualisieren (www.pcwelt.de/bRtRWZ ). Die Synology-Geräte dagegen waren offenbar nur Brute-Force-Attacken ausgesetzt, bei denen die Angreifer also automatisiert Passwörter testeten. Folglich beschränkte sich der Hersteller auf den Rat an die Nutzer, starke Kennwörter zu verwenden sowie ein vorkonfiguriertes Administratorkonto zu löschen – beides ist eigentlich immer ratsam. Tipp: Schwache und mehrfach verwendete Zugangscodes umgehen Sie mit einem Passwortmanager wie Keepass (auf Heft-DVD), bei dem Sie sich die einzelnen Zugänge nicht mehr merken müssen.

Manche Infektionswege sind ziemlich ungewöhnlich

Die Aufzählung solcher Sicherheitslücken ließe sich fortsetzen. Ein weiterer Fall mit einem unvermuteten Infektionsweg soll aber klarmachen, dass es (fast) jedes Gerät treffen kann. 2018 kam ans Licht, dass weit mehr als 100 All-in-One-Drucker von HP so manipulierbar waren, dass Angreifer die Kontrolle über deren Betriebssystem und dadurch auch über andere Geräte im Heimoder Firmennetzwerk erlangen konnten – und zwar per Fax. Der Hersteller reagierte schnell, Firmware-Updates für die betroffenen Multifunktionsgeräte schlossen die Lücke über die Telefonleitung.

Eines von über 100 HP-Multifunktionsgeräten, die sich per Fax übernehmen ließen, bevor der Hersteller die Sicherheitslücke mit neuer Firmware schloss.


Aktuelle Informationen zu Sicherheitslücken und der Sicherheit von Hard- und Software gibt es auch in Newslettern wie denen von PC-WELT oder vom BSI.


Ziehen Sie deshalb auch vermeintlich exotische Produkte als potenziell gefährdet in Betracht, also auch die Heizung, Küchengeräte, das Festnetztelefon und sogar das Auto. Sie fragen sich vielleicht, was es mit dem Auto auf sich hat. Kürzlich zeigte der ADAC wieder einmal, wie einfach Fahrzeuge mit dem Komfortschließsystem „Keyless“ geöffnet, gestartet und gestohlen werden können. Bereits ein paar Bauteile für zusammen 100 Euro zum Verlängern der Signale des Funkschlüssels genügen (www.pcwelt.de/aIV2vY ).
Unser Rat gilt aber auch internen PC-Bauteilen. Vielfach bekannt ist noch, dass man die Firmware der Hauptplatine regelmäßig aktualisieren sollte. Gefährdet ist aber auch die CPU, wie Anfang 2018 öffentlich wurde, als die mit „Meltdown“ und „Spectre“ bezeichneten Hardwarelücken bekannt wurden (Kasten auf Seite 53). Auch einige selbstverschlüsselnde SSDs erwiesen sich in der Vergangenheit als unsicher. Schließlich sind Router und andere Netzwerkgeräte an der Schnittstelle zwischen Internet und eigenem Zuhause besonders exponiert und gefährdet. Konkret beim Aufspüren von Sicherheitslücken bei Ihnen zu Hause hilft Bitdefender Home Scanner (auf Heft-DVD, mehr Infos im Kasten auf Seite 55).

So schützen Sie sich systematisch vor Hardware-Sicherheitslücken

So unterschiedlich die Beispiele erscheinen, die Vorgehensweise zum Schließen von lückenhafter Hardware ähnelt sich dann doch oft. Dazu zählt in erster Linie, die Gerätesoftware, also die Firmware, auf dem aktuellen Stand zu halten. Wenn ein Hersteller die Option zum automatischen Aktualisieren bietet, nutzen Sie diese. Ein Beispiel dafür sind die Fritzbox-Router von AVM, bei denen das „Auto-Update“ sogar per Default aktiviert ist. Über die Fritzbox lassen sich auch weitere Geräte des Herstellers updaten, also Funktelefone und -steckdosen oder WLAN-Repeater. Ähnliche Optionen bieten andere Anbieter von Routern, NAS-Speichern, Druckern und weiteren Komponenten. Allerdings dokumentieren sie ihre Auto-Update-Funktion nicht immer ausreichend. Falls Sie deshalb beim Support eines Ihrer Geräte nicht fündig werden, googeln Sie danach im Netz. Das hilft fast immer weiter.
Manche Hersteller veröffentlichen im Internet ferner Sicherheits-Blogs, in denen sie sicherheitsrelevante Vorkommnisse dokumentieren, Patches zur Verfügung stellen und Handlungsanweisungen veröffentli- chen. Empfehlenswert sind auch einschlägige Sicherheits-Newsletter wie die von PC-WELT (https://newsletter.pcwelt.de ) oder vom Bundesamt für Sicherheit in der Informationstechnik (BSI,www.pcwelt.de/GIp xNI ). Damit verpassen Sie nichts Wichtiges. Das BSI klassifiziert Schwachstellen und mögliche Schäden in Risikostufen von „sehr gering“ (Stufe 1) bis „sehr hoch“ (Stufe 5), um die Gefahr deutlich zu machen (www.pcwelt.de/uLXc4C ).

Darüber hinaus überprüfen Sie bitte von Zeit zu Zeit selbst auf den Supportseiten der Hersteller Ihrer Geräte, ob dort neue Firmware bereit steht.

Was tun in schwierigen und aussichtslosen Fällen?

Vernetzte Billig-Hardware haben wir am Beispiel smarter Türschlösser bereits erwähnt. Solche Produkte müssen nicht unsicher sein, doch die Vergangenheit zeigt, dass die Vermutung häufig zutrifft. Anders als bei bekannten Unternehmen, die ihre Reputation nicht verlieren möchten, tritt der eigentliche Hersteller bei No-Name-Ware meist gar nicht in Erscheinung. Da kostet jeder Patch und jede neue Firmware nur Geld. Allerdings beschränken sich unsichere Produkte keineswegs auf Onlineshops aus China. Auch Aldi hatte schon IP-Kameras im Sortiment, die sich von Angreifern übernehmen ließen. Neben dem Aktualisieren der Firmware empfiehlt sich stets auch eine Onlinerecherche, ob zum konkreten Gerät etwaige Sicherheitslücken bekannt sind. Ist dies der Fall und kein Patch verfügbar, sollte man ernsthaft überlegen, die Komponente außer Betrieb zu nehmen. Je nach Produktkategorie kann man ein Produkt alternativ auch im Gäste-WLAN des Routers weiter betreiben und damit zumindest vom übrigen Heimnetz trennen.
Gefährdet sind auch Geräte mit älteren Android-Versionen, das beschränkt sich keineswegs auf Smartphone und Tablets. So läuft mancher 4K-Fernseher noch mit veraltetem Android, ohne Aussicht auf ein Versionsupdate. Und selbst seine verbreiteten Mittelklasse-Smartphones Galaxy A3 der Modelljahre 2016 und 2017 hat der Marktführer Samsung inzwischen von der vierteljährlichen Versorgung mit Sicherheitsupdates ausgeschlossen.
Sehen Sie auf Ihrem Android-Gerät gegebenenfalls in den „Einstellungen“ beim „Stand der Sicherheitsupdates“ nach dem letzten Patchzeitpunkt. Unter Umständen ist es auch hier sicherer, ein nicht mehr unterstütztes Mobilgerät außer Betrieb zu nehmen. Beim Kauf eines neuen Smartphones lohnt es sich, zumindest über „Android One“ nachzudenken, wenngleich die Auswahl beschränkt ist. Für Geräte mit dieser speziellen Variante des Betriebssystems verspricht Google neben zwei Versionsupdates schnelle Sicherheitsupdates über mindestens drei Jahre.

Die Firmware-Aktualisierung lässt sich bei den Fritzbox-Routern über drei Stufen einstellen: Empfehlenswert ist das automatische Aufspielen inklusive wichtiger Updates. Alles Weitere erledigt das Gerät dann von alleine.

SCHUTZ GEGEN MELTDOWN, SPECTRE & CO.

Gegen die CPU-Sicherheitslücken wie Meltdown, Spectre, Ridl, Fallout und Zombieload schützen Sie sich zum einen mit regelmäßigen Updates der Mainboard-Firmware. Mehr Infos und ausführliche Anleitungen zum Flashen von Bios und Uefi lesen Sie in unserem Onlineratgeber (www.pcwelt.de/2454594 ). Steckt in Ihrem PC einer der besonders gefährdeten Intel-Prozessoren (www.pcwelt.de/0XA5Dl ), installieren Sie spezielle Patches, genannt „Microcode Updates“. Für die Vorversion 1903 finden Sie sie unterwww.pcwelt.de/eYF4kb ; für die aktuelle Version waren die Patches bei Redaktionsschluss noch nicht fertig. Mit Inspectre (auf Heft-DVD) oder dem MDS Tool (https://mdsattacks.com ) lässt sich der CPU-Sicherheitsstatus überprüfen.

100%ige Sicherheit bietet auch das Prüfprogramm Inspectre (auf Heft-DVD) nicht, doch die wichtigsten Vorsichtsmaßnahmen gegen Prozessorlücken sind an diesem PC aktiviert.

UNSICHERE TOOLS DER HARDWARE-HERSTELLER

Es muss nicht immer die Hardware selbst oder die Firmware sein, die zu Sicherheitslücken durch den Hersteller führen. Häufig genug sind es auch deren auf Notebooks und Desktops-PCs vorinstallierte Tools. Solche Hilfs- und Wartungsprogramme sind zwar praktisch, weil sie das Updaten von Bios/Uefi, Treibern und Anwendungen vereinfachen. Wenn sie aber selbst Sicherheitslücken aufweisen, sind sie kontraproduktiv. Aus diesem Grund erklären wir online (www.pcwelt.de/2454594 ), welche Herstellertools betroffen sind, wie Sie sie deinstallieren und Ihren Rechner trotzdem stets up to date halten und schützen.

Die Rechner von Lenovo wiesen in der Vergangenheit bereits mehrfach Sicherheitslücken durch vorinstallierte Software auf. Im Bild ist die Updateund Prüf-App Lenovo Vantage unter Windows 10 im Einsatz.

UNSICHERE GERÄTE IM HEIMNETZ AUFSPÜREN

Der Bitdefender Home Scanner (auf Heft-DVD) hilft dabei, unsichere Geräte im Heimnetzwerk aufzuspüren. Das Programm sucht dabei unter anderem nach veralteter Firmware, offenen Ports und schwachen Standardpasswörtern. Unser zugehöriger Onlineratgeber (www.pcwelt.de/182990 ) erläutert ausführlich, was die konkret aufgedeckten Schwachstellen bedeuten, wie Sie sie schließen und was Sie tun können, wenn sich die Hardware nicht so einfach absichern lässt. Perfekt ist jedoch auch der Home Scanner nicht: So gut er in den meisten Fällen arbeitet, so meldete er in unseren Tests bei einem ungepatchten Android-Tablet „Keine Risiken gefunden“.

In diesem Netzwerk kann der Bitdefender Home Scanner keinerlei Risiken erkennen. Keines der Geräte inklusive Smart TV und Access Point weist Sicherheitslücken auf.


Foto: © sema_srinouljan – AdobeStock