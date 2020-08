Göttingen

Diesen Tag wird das Ehepaar aus dem Landkreis Göttingen so schnell nicht vergessen. Völlig überraschend stehen morgens mehrere Polizisten vor ihrer Tür. Die Beamten teilen mit, dass man wegen des Verdachts der Computerkriminalität ermittele. Über die Internetverbindung der Familie sei Geld von einem gehackten Konto abgebucht worden, deshalb sollten sämtliche internetfähigen Geräte beschlagnahmt werden. Die Eheleute sind fassungslos. Sie sind sich keiner Schuld bewusst und zudem beruflich auf ihre Computer angewiesen. Statt sofort alle Geräte sicherzustellen, überprüfen die Cybercrime-Experten vor Ort die IT-Ausstattung der Familie und machen eine Entdeckung: Ein vor mehreren Jahren installiertes Smart-Home-System ist nicht ausreichend gesichert. Ein Unbekannter konnte so ihre private IP-Adresse ausspähen und für Internet-Betrügereien nutzen.

Smart Home als Eingangstor für Internetkriminalität

Die Eheleute sind erleichtert, dass die Ermittler der Göttinger Task Force Cybercrime den Verdacht gegen sie so schnell aus der Welt räumen konnten. Gleichzeitig sind sie schockiert darüber, dass ausgerechnet ihr Smart Home als Eingangstor für Internetkriminalität diente. Schließlich hatten sie sich von der 2007 installierten Haustechnik nicht nur mehr Komfort, sondern auch mehr Sicherheit versprochen.

Anzeige

Ein Vorteil solcher Systeme besteht darin, dass man sich per Smartphone, Tablet oder PC mit dem lokalen Netzwerk verbinden und die vernetzten Geräte im Haus bedienen kann. Um Einbrecher abzuschrecken, lassen sich zum Beispiel die Jalousien oder die Beleuchtung so steuern, dass der Anschein erweckt wird, dass jemand im Haus ist.

Weitere HAZ+ Artikel

Sicherheitslücke nicht durch Update geschlossen

Genau diese Zugriffs- und Steuerungsmöglichkeiten hatte sich jedoch auch der bislang unbekannte Täter verschafft. Er nutzte eine systemimmanente Sicherheitslücke, die vor rund zwei Jahren entdeckt wurde. Der betroffene Smart-Home-Anbieter habe damals auf seiner Internet-Seite über die aufgedeckte Schwachstelle informiert und Nutzern geraten, ein System-Update vorzunehmen, sagt Task-Force-Mitarbeiter Swen Weiland. Die Eheleute hatten diese Warnhinweise jedoch nicht gesehen und die Software daher auch nicht aktualisiert. „Cyberkriminelle machen sich so etwas sofort zunutze und suchen mit Hilfe von sogenannten Bots das Internet nach unzureichend geschützten lokalen Systemen ab“, erläutert der Informatiker.

„Der Täter konnte über das Internet in die Smart-Home-Zentrale eindringen, ohne dafür ein Passwort eingeben zu müssen“: Jörg Gottschalk, Leiter der Ermittlungsgruppe der Task Force Cybercrime der Polizeiinspektion Göttingen, ermittelt nach dem IP-Adressen-Diebstahl im Raum Göttingen. Quelle: Heidi Niemann

Betrüger spähen IP-Adresse aus

In diesem Fall hatte sich der Internet-Betrüger auf zweifache Weise Zugang zu privaten Daten verschafft, indem er sich sowohl in das Smart Home des Ehepaares als auch in das Konto eines Mannes aus der Grafschaft Bentheim „einhackte“. Er rief diesen an, gab sich als Bankmitarbeiter aus und erklärte, dass es durch einen technischen Fehler eine Überweisung auf dessen Konto gegeben habe. Um diese angebliche Fehlbuchung schnell korrigieren zu können, benötige er eine TAN-Nummer. Der Angerufene generierte die TAN und teilte sie dem angeblichen Bankmitarbeiter mit. Dieser überwies sodann 3000 Euro von dessen Konto auf ein Fremdkonto. Um nicht identifiziert zu werden, nutzte er dabei die ausgespähte IP-Adresse des Ehepaares.

Lesen Sie auch: Polizeidirektion Hannover und Leibniz-Uni entwickeln Software gegen Cybercrime

Kriminelle steuern Rollläden fern

Wegen der nicht behobenen Sicherheitslücke war deren private IP-Adresse offen zugänglich gewesen. „Der Täter konnte über das Internet in die Smart-Home-Zentrale eindringen, ohne dafür ein Passwort eingeben zu müssen“, sagt der Leiter der Ermittlungsgruppe der Task Force Cybercrime, Jörg Gottschalk. Dies erklärt auch ein früheres gespenstisches Erlebnis: Eines Abends seien plötzlich die Rollläden hoch und runter gegangen, sagt die Ehefrau. Sie habe daraufhin ihren Mann gebeten, die Jalousien in Ruhe zu lassen. Dieser hatte jedoch die Steuerung gar nicht bedient.

Lesen Sie auch: Nach Ermittlung von Göttinger Cybercrime-Team: Haftstrafen für Internetbetrüger

Polizei sichert digitale Spuren der Betrüger

Den Spezialisten der Polizei gelang es, auf dem IT-System die „Hack“-Aktivitäten des Internetbetrügers nachzustellen und die digitalen Spuren zu sichern. „Die Ermittlungen zu diesem Betrugsfall dauern noch an“, sagt Chef-Ermittler Gottschalk. Gleichzeitig sorgten die Experten dafür, dass Kriminelle nicht mehr in das System eindringen können. Sie spielten die Software-Updates auf und veränderten Einstellungen, so dass die Geräte nicht mehr automatisch mit dem Internet verbunden sind.

Sicherheitstipps für die digitale Haustechnik Digital gesteuerte und vernetzte Systeme können die Sicherheit verbessern, bergen allerdings auch Risiken. Nutzer von Smart-Home-Systemen sollten daher entsprechende Schutzvorkehrungen treffen, um zu vermeiden, dass Daten durch Dritte mitgelesen und dadurch ausgespäht werden können, sagt der Beauftragte für Kriminalprävention der Polizeiinspektion Göttingen, Polizeihauptkommissar Marko Otte. Besonders wichtig sei zudem, digital gesteuerte Fenster und Rollläden gegen unbefugte Betätigung zu sichern. Hier einige Tipps der Präventionsexperten: Alle Komponenten sichern: Verlassen Sie sich bei vernetzten Geräten nicht darauf, dass an einzelnen Komponenten Sicherheitselemente installiert wurden. Das ganze System muss gesichert sein. Updates machen: Aktualisieren Sie regelmäßig die Betriebssoftware Ihrer Komponenten und installieren Sie aktuelle Sicherheitsupdates. Nutzen Sie alle vorhandenen Sicherheitselemente und Einstellungen Ihrer Geräte. Starke Passwörter: Benutzen Sie sichere Passwörter, die aus möglichst vielen Zeichen zusammengesetzt sind. Verwenden Sie Kombinationen von großen und kleinen Buchstaben, Ziffern und Sonderzeichen. Nutzen Sie für verschiedene Zugänge auch unterschiedliche Passwörter. Abschalten: Nutzen Sie nur die Geräte und Komponenten, die Sie wirklich brauchen. Schalten Sie Geräte immer vollständig aus, wenn sie nicht benötigt werden. Unnützes deaktivieren: Speichern oder verwenden Sie nur die Daten, die wirklich notwendig sind. Deaktivieren Sie nicht benötigte Funktionen und Schnittstellen in den Einstellungen des Gerätes. Keine Standleitung ins Internet: Verbinden Sie Ihre Geräte nur dann mit dem Internet, wenn es wirklich nötig ist, zum Beispiel für Updates oder wenn Sie entsprechenden Funktionen nutzen wollen. Stellen Sie sicher, dass Ihre Geräte nicht automatisch, sondern nur dann mit dem Internet verbunden werden, wenn Sie das wollen. WLAN schützen: Nutzen Sie WLAN-Verschlüsselung, damit Daten nicht von jedermann mitgelesen werden können. pid

Techniker schlampt beim Passwortschutz

Außerdem beseitigten sie eine weitere Schwachstelle: Es stellte sich heraus, dass der Elektriker, der einst die digital steuerbaren Rollläden eingebaut hatte, bei all seinen Kunden das gleiche Passwort verwendet hatte – ein sicherheitstechnischer Kardinalfehler.

Von Heidi Niemann