Sie haben zu Hause Google Home oder Amazon Alexa? Dann sind Sie in guter Gesellschaft - Juniper Research prognostiziert, dass bis 2022 ganze 55 Prozent aller US-Haushalte mit dieser Art von Smart Device ausgestattet sein werden. Egal, ob Sie Ihren Smart Speaker als Wecker verwenden, zum Musik abspielen nutzen oder einfach online einkaufen. Tatsache ist, dass sich mit der Zeit wertvolle und persönliche Daten über Sie und Ihre Gewohnheiten ansammeln und gespeichert werden. Das macht Smart Divices für Cyberkriminelle, die Ihr Geld oder Ihre Identität stehlen wollen, zu einem attraktiven Angriffspunkt.
Es ist nur eine Frage der Zeit, bis derartige Smart Speaker in den Fokus von Hackern kommen. Denn viele günstige Modelle sind so konzipiert, dass die Erst-Konfiguration eine hohe Benutzerfreundlichkeit bieten soll. Der Sicherheitsaspekt rückt dabei leider oft in den Hintergrund und die Standardeinstellungen schützen leider nur unzureichend. Die Ersteinrichtung nimmt nur wenige Minuten in Anspruch - dieses Maß an Benutzerfreundlichkeit mag zwar ein attraktives Verkaufsargument darstellen, doch die Sicherheit leidet.
Der Sicherheitsgrad wird maßgeblich durch die Art und Weise bestimmt, wie Sie den Smart Speaker einrichten und welche Aufgaben das Gerät ausführen soll. Eine Anpassung der Werkseinstellungen wird von vielen Benutzern nicht einmal in Betracht gezogen - entweder, weil sie sich der Sicherheitsrisiken nicht bewusst sind oder weil Sie darauf vertrauen, dass das Gerät absolut sicher ist.
Bei der Einrichtung verknüpfen viele Benutzer gleich mehrere Konten mit ihrem Smart Speaker - etwa ihr Amazon-Konto, Gmail, Google Kalender oder Spotify - und behalten dabei die Werkseinstellungen des Gerätes bei. Ein Fehler! Denn diese scheinbar harmlosen Schritte können schwerwiegende Folgen nach sich ziehen. Ohne eine sichere Anmeldung - sprich, ohne dass der Smart Speaker prüfen muss, ob die eingehenden Befehle tatsächlich vom Besitzer des Gerätes stammen - kann der Smart Speaker unabhängig davon, wer die entsprechenden Sprachbefehle gibt, E-Mails laut vorlesen oder Bestellungen abgeben. Damit können Familienmitglieder, aber auch jeder Besucher dem Smart Speaker persönliche Daten entlocken.
Um einem Smart Speaker Befehle zu erteilen, müssen sich Hacker nicht unbedingt in Reichweite eines Lautsprechers befinden. Tatsächlich müssen sie nicht einmal das Gerät selbst hacken. Angreifern reicht eine Sicherheitslücke im Router, um sich Zugang zum Netzwerk zu verschaffen und von dort aus IoT-Geräte zu hacken. Das Hacken eines aufnahme- und wiedergabefähigen Smart-Geräts gibt Angreifern die Möglichkeit, sich mit einem Smart Speaker zu unterhalten. Eine mangelhafte Sicherheitskonfiguration des Smart Speakers hat zur Folge, dass das Gerät jedermanns Befehlen Folge leistet. So könnten Kriminelle beispielsweise einen Smart Speaker missbrauchen, um sich physischen Zutritt zu einer Wohnung zu verschaffen: Ist ein Smart Speaker mit einem Smart-Schloss verbunden, könnte ein Einbrecher dem Smart Speaker durch ein gekipptes Fenster den Befehl geben, die Tür zu entriegeln, oder er könnte sich ins Heimnetzwerk einhacken, um ein anderes Gerät dazu zu bringen, dem Smart Speaker den Befehl zur Entriegelung der Haustür zu erteilen.
Menschen mit böswilligen Absichten stellen für Smart Speaker das größte Risiko dar und es ist nicht unwahrscheinlich, dass auch Sie in absehbarer Zeit mit Angreifern zu tun bekommen werden. Letztes Jahr wurde ein Exploit namens "BlueBorne" entdeckt; dieser hat es jedem potenziellen Angreifer ermöglicht, die Kontrolle über ein Gerät zu übernehmen, sofern der Angreifer über die entsprechenden Tools verfügte - Tools, die frei verfügbar waren. Der Smart Speaker Alexa war eines der Geräte, das über diesen Exploit besonders häufig gehackt wurde. Auch nicht erkannte Sicherheitslücken geben Anlass zur Sorge. Oft kommen Sicherheitslücken erst Jahre später ans Licht, sodass IoT-Geräte schon jetzt Sicherheitslücken enthalten, die noch gar nicht bekannt sind. Ein solches Beispiel ist "EternalBlue".
Weitläufig bekannt wurde "EternalBlue" im Jahr 2017, als es Angreifern gelang den größten und bekanntesten Ransomware-Angriff der Geschichte durchzuführen. Vielen ist er besser bekannt als "WannaCry". Es gibt Berichte, dass die NSA die Sicherheitslücke kurz bevor es in die falschen Hände geriet, entdeckt hat, es aber lange geheim hielt. "EternalBlue" ist das perfekte Beispiel dafür, wie eine unbemerkte Sicherheitslücke verheerende Schäden anrichten kann.
Je mehr IoT-Geräte in Gebrauch sind, desto größer ist der Anreiz für Cyberkriminelle, diese ins Visier zu nehmen. Smart Speaker stellen ein besonders interessantes Angriffsziel dar, da sie dafür ausgelegt sind, Unmengen an persönlichen Daten aufzusaugen und meist Zugriff auf verschiedene persönliche Konten wie Spotify, Amazon, eBay und E-Mail-Postfächer haben. Eine Sicherheitslücke, die für einen Angriff ausgenutzt wird, könnte bereits morgen, in fünf Jahren oder auch nie entdeckt werden. Sicher ist jedoch: Je mehr smarte Geräte genutzt werden, desto größer ist das Risiko, dass Sicherheitslücken durch Cyberkriminelle ausgenutzt werden.
Anstatt einfach nur den Tag abzuwarten, an dem Hacker per Fernzugriff Kontrolle über Ihren Smart Speaker erhalten, müssen Sie als Benutzer ein stärkeres Bewusstsein dafür entwickeln, mit welchen privaten Informationen Sie den smarten Speaker versorgen und müssen sich auch fragen, was jemand mit Ihren persönlichen Informationen alles anstellen kann.