Vorsichtsmaßnahmen bei smarten Fernsehgeräten

Smart-TVs werden immer beliebter. Sie bieten uns neben noch höherer Auflösung (Anzahl Bildpunkte, Pixel) die Möglichkeit, sie mit unseren WLAN’s zu verbinden, Videostreams anzuzeigen, Videokonferenzen zu führen und Meldungen aus sozialen Netzwerken oder Instant Messaging zu empfangen.

Da diese Geräte Verbindungen zu unseren WLAN’s herstellen, an die wir auch unsere Computer und IoT-Geräte (=Internet of Things) anschließen, rückt das Thema Sicherheit immer mehr in den Fokus.

Smart-TVs haben ähnliche Funktionen wie Desktop-Computer, Laptops oder Tablets. Viele laufen unter einem Linux-Betriebssystem. Ihre Benutzeroberfläche ist auf die Darstellung von Videoinhalten optimiert, erlaubt aber auch die Ausführung von Apps und eines Webbrowsers.

Ein Eindringen in die Privatsphäre des Benutzers durch Übertragung von Video-aufzeichnungen einer im Gerät verbauten Kamera, oder Tonaufzeichnungen eines eingebauten Mikrofons auf einem Server im Internet, oder der Diebstahl von Anmeldedaten aus Apps, die auf dem Fernseher gespeichert sind, eröffnet neue Geschäftsfelder für Cyberkriminelle.

Eine der wichtigsten Sicherheitsfunktionen bei Unterhaltungselektronik ist eine Funktionalität, mit der das Gerät überprüft, ob Softwareupdates aus vertrauenswürdigen Quellen stammen. Es ist in der Vergangenheit schon gelungen, Schlupflöcher in dieser Kernfunktionalität zu finden und die Sicherheit auszuhebeln, z.B. mit dem Konzept der TOCTTOU-Attacke (Time-to-Check-to-Time-of-Use).

Manche Hersteller erlauben Benutzern das Herunterladen aktualisierter Firmware auf einen USB-Stick. Nach Anstecken des USB-Sticks am Smart-TV wird die Firmware upgedatet. Dieses Update wird vom Hersteller verschlüsselt, allerdings gab es bereits vor einigen Jahren frei zugängliche Tools am Markt, welche diese Schlüssel brechen konnten. Zwar beherrschen die meisten Smart-TV’s heute die automatische Aktualisierung, jedoch werden Angreifer diese Funktion als erstes abschalten.

Ein weiterer Angriffsweg geht über die Apps, welche vermehrt auf den Markt drängen. Viele Entwickler solcher Apps agieren schlampig und halten sich nicht immer an gängige Sicherheitskonzepte bzw. -policies aus der Welt der Websicherheit.

Erfährt der Hersteller davon, werden diese Lücken bei neu produzierten Geräten selbstverständlich wieder geschlossen. Das Problem für den Besitzer von Altgeräten bleibt jedoch in der Regel bestehen, weil nicht alle Benutzer in der Lage sind, aktuelle Patches richtig am Heimgerät aufzuspielen.

WLAN-Access-Points, die innerhalb eines durch die verwendete Funktechnik beschränkten Umkreises Datenverkehr im Home-Netzwerk unkompliziert aufzeichnen und Netzwerkattacken (z.B. Man-in-the-Middle-Angriffe) durchführen können, sind schon seit einigen Jahren für jeden Interessierten am Markt erhältlich. Diese Geräte werden zum einfachen Testen von IoT-Geräten verwendet.

Aus den oben angeführten Gründen ist es wichtig, Verbraucher/Konsumenten über potentielle Risiken und Vorsichtsmaßnahmen aufzuklären, weil das den Druck auf Hersteller und Verkäufer steigert, Sicherheit von IoT-Geräten ernst zu nehmen.

Vorsichtsmaßnahmen

  • Es ist zu anzuraten, Smart-TVs nur dann mit dem Internet zu verbinden, wenn das nötig ist. Denn "klassisches Fernsehen" ist auch ohne Online-Zugang möglich. Damit schützt man sich nicht nur vor möglichen Cyber-Angriffen, sondern auch vor "Tracking", also vor dem Verfolgen der Fernsehgewohnheiten zum Zweck der Aussendung von auf den Konsumenten zugeschnittener Werbung. Schützt allerdings nicht vor dem sogenannten Ultraschall-Tracking („Cross-Device-Tracking“), bei dem für den Zuseher nicht hörbare Signale aus Werbeeinschaltungen von seinem Smartphone empfangen werden. Hier hilft nur ein zusätzliches Abschalten des Smartphone, wenn es im selben Raum liegt.
  • Für einige Smart-TVs, Set-Top-Boxen, Abspielgeräte und Konsolen stellen die Hersteller regelmäßig Software-Aktualisierungen ("Firmware Updates") bereit. Diese Updates sollten zügig eingespielt werden, entweder automatisch über das Internet, oder noch besser von Hand (mittels USB-Stick), um Sicherheitslücken zu beseitigen. Leider pflegen viele Hersteller die Software Ihrer Produkte nicht dauerhaft, sodass Schwachstellen in älteren Modellen – wie oben schon erwähnt - nicht mehr „abgedichtet“ werden. Hilfreich ist eine Befragung des Händlers zu diesem Thema oder sich direkt an den Hersteller zu wenden.
  • Man sollte nur solche Apps auf dem Gerät installieren, die wirklich benötigt werden und die aus einer vertrauenswürdigen Quelle stammen. Eine vertrauenswürdige Quelle sollte der App-Store des Geräte-Herstellers sein. Schädliche oder fehlerhafte Apps können „offene Haustüren“ für Schadprogramme sein. Je mehr Apps auf dem Smart-TV laufen, desto mehr Code wird auf dem Gerät ausgeführt. Das erhöht die Wahrscheinlichkeit von Sicherheitslücken durch Programmierfehler.
  • Smart-TVs verfügen über eine Vielzahl an Einstellmöglichkeiten. Alle nicht benötigten Funktionen kann man in der Regel deaktivieren. Zum Beispiel eine eingebaute Kamera, die Sprachsteuerung, oder Funktionen zum Fernzugriff auf das TV-Gerät. Nur die Sicherheitsfunktionen sollten aktiviert bleiben (z.B. die Überprüfung von Apps).
  • Auch HbbTV* kann man deaktivieren. Mittels HbbTV können Internet-Inhalte eingeblendet werden, die das jeweilige TV-Programm ergänzen – ähnlich wie Teletext bei herkömmlichen Geräten. Durch diese Einbindung gibt man Informationen über das eigene Fernsehverhalten preis. Wann wird welcher Film gesehen, wie lange usw.
    *HbbTVsteht für „Hybrid Broadcasting Broadband TV“. Über vielfältige TV-Empfangswege (Hybrid Broadcasting) und Breitbandinternet (Broadband) werden neue Informationen und Services am Fernseher angeboten. Fernsehen und Internet verschmelzen sozusagen.
  • Beim Surfen im Internet über das smarte Fernsehgerät sollte man keine Passwörter oder andere vertrauliche Informationen eingeben, weil diese Daten in der Regel am Gerät gespeichert werden.
  • Manche Geräte haben einen Familienfilter. Diesen sollte man nutzen, um minderjährigen Kindern den Zugang zu Sendungen, die nicht jugendfrei sind, zu verwehren.
  • Informationen darüber, wie der Hersteller des Gerätes mit den persönlichen Daten umgeht, zum Beispiel Kamerabilder oder Fernsehverhalten, auf welchen Servern diese gespeichert werden, ob die Daten an Dritte weiterverkauft werden usw., sollten vor Kauf eingeholt werden. Wenn es Einstellungen zum Datenschutz/Privatsphäre gibt, sollten diese Einstellungen vorgenommen werden.
  • Da die Internet-Verbindung des Smart-TV über einen Router hergestellt wird, ist auf die sichere Konfiguration des Routers oder WLANs zu achten. Diesbezügliche Informationen sind vom Internetprovider bzw. aus der Bedienungsanleitung des Routers zu erfahren. Über ein kompromittiertes Gerät im lokalen Heimnetzwerk können auch andere Geräte oder sogar externe Ziele angegriffen werden.

Durch das Inkrafttreten der DSGVO (Datenschutzgrundverordnung) im Mai 2018 und des Cyber-Sicherheitsgesetzes werden Hersteller und Händler von neuen IoT-Geräten wahrscheinlich mehr auf die Sicherheit achten. „Privacy by Design“ und „Privacy by Default“ sind neue Grundsätze in der DSGVO, welche dann umgesetzt werden müssen. Auch über „Cyber-Security-Labels“, also die für Konsumenten verständliche „Privacy“-Kennzeichnung der Geräte und der darauf laufenden Software, wird bereits intensiv nachgedacht. Für Besitzer von „Altgeräten“ bringt dies jedoch kaum Verbesserungen.

Es ist zu erwarten, dass man auch als Konsument früher oder später dazu verpflichtet wird, sich um die laufende Betriebssicherheit der zu Hause betriebenen IoT-Geräte Gedanken zu machen, damit man für die Folgen grob fahrlässig oder vorsätzlich verursachter Schäden, die durch den ungeschützten Betrieb der Geräte nach außen wirksam werden, nicht haftbar gemacht wird. Durch die zunehmende Vernetzung der Dinge und aller Lebensbereiche können künftige Schäden nicht mehr nur zur Verletzung unserer Privatsphäre oder anderen kriminellen Delikten (Gelderpressung, Einbruchsdiebstahl, usw.) führen, sondern auch zu Personenschäden. Dann wird sehr schnell nach der Ursache gefragt werden.

Die künftige Situation könnte man vergleichen mit der heutigen Pflicht eines Autofahrers, sich um die sicherheitsgemäße Aus- und Aufrüstung seines KFZ zu kümmern (z.B. KFZ-Überprüfung, Pannendreieck, Verbandskasten, straßenverkehrstaugliche Reifen).

Autor: Karlheinz Strasser