BSI warnt: Verbraucher sind Schwachstellen oft "hilflos ausgeliefert"

Das BSI hat seinen ersten Bericht zum digitalen Verbraucherschutz veröffentlicht. Sorgen bereiten ihm vor allem das Internet der Dinge und Gesundheits-Apps.

Lesezeit: 6 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge
Smart Home

Es gelte zu verhindern, dass "aufgrund schlampiger Arbeit" aus dem Smart Home ein "Stupid Home" werde.

(Bild: Zapp2Photo / shutterstock.com)

Von
  • Stefan Krempl

In Software und Systemen fänden sich viel zu oft "hochkomplexe Schwachstellen", die einen Schaden für die Gesellschaft verursachten. Dies kritisiert das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem am Mittwoch erstmals veröffentlichten Bericht zum digitalen Verbraucherschutz. "Verbraucher waren diesen Vorfällen oftmals hilflos ausgeliefert, zumal aufgrund der technischen und teils komplexen Gegebenheiten keine Nachvollziehbarkeit erreicht werden konnte."

Eines der Ziele der Autoren des Papiers ist es, die "wesentlichen Sicherheitsvorfälle am digitalen Verbrauchermarkt" aus dem vorigen Jahr zusammenzufassen für Multiplikatoren wie Verbraucherschutzorganisationen und Verbände. Relevante Vorfälle hat es ihnen zufolge etwa im Bereich der Anwendungen für das Internet der Dinge gegeben. Die unter den Namen Ripple20 und Amnesia:33 bekannt gewordenen Sammlungen von Sicherheitslücken in TCP/IP-Stacks hätten hier für Verbraucher "eine besondere Herausforderung" dargestellt.

Die technische Komplexität sei sehr hoch, was auch dazu führe, dass die eigene Betroffenheit selbst für versierte Nutzer kaum erkennbar sei, erläutert das BSI. Ferner "ist für viele der betroffenen Geräte nicht klar, wie diese das notwendige Update zur Schließung der Sicherheitslücken erhalten können". Hier liege "ein schwerwiegendes Versäumnis im Sicherheitsdesign der Produkte vor".

Ebenso beklagt die Behörde die teils mangelnde Reaktionsbereitschaft der betroffenen Anbieter: Im Dezember habe man feststellen müssen, dass sich von den 31 im September kontaktierten Unternehmen im Rahmen des "Coordinated Vulnerability Disclosure"-Prozesses eine gewisse Anzahl gar nicht zurückgemeldet habe.

Gefährliche Sicherheitslücken seien zudem etwa in vernetzten Türklingeln oder "smartem" Spielzeug aufgetreten, heißt es auf den 30 Seiten. Auch nicht im unmittelbaren Fokus der Verbraucher stehende Produkte wie WLAN-Router "fielen durch Mängel in der IT-Sicherheit auf". Als "Herzstück eines jeden vernetzen Haushalts" komme diesen aber eine besondere Bedeutung für die IT-Sicherheit zu. Das BSI hat dazu eine Technische Richtlinie herausgegeben, die aber umstritten ist.

Die "schiere Masse an gefundenen Sicherheitslücken" zeigt laut der Behörde, "dass die IT-Sicherheit im Entwicklungsprozess keinesfalls die Berücksichtigung gefunden hat, die für ein ganzheitlich sicheres Produkt notwendig wäre". Dafür fehlten offenbar entsprechende Anreize. Diese Sorglosigkeit erstrecke sich auf Anbieter und Verbraucher. Ein Beispiel dafür sei auch, dass mehr als acht Prozent der eingesetzten Microsoft-Betriebssysteme in Deutschland Ende 2020 noch Windows 7 verwendeten. Dies entspreche etwa vier Millionen Systemen, die seit dem 14. Januar 2020 nicht mehr kostenfrei mit Sicherheitsupdates versorgt würden und so "fortschreitend verwundbarer werden, sofern dieser Support nicht zugekauft wird".

Nötig ist es laut BSI daher, "flächendeckende Maßnahmen zur Problembehebung und Updates für betroffene Produkte bereitzustellen, um die aktive Ausnutzung von Schwachstellen durch Kriminelle zu verhindern". Gleichermaßen müssten Verbraucher über potenzielle Risiken besser aufgeklärt werden. So sei etwa bekannt, dass Sicherheitsupdates in manchen Fällen über lange Zeiträume ignoriert würden, "wodurch unbewusst erhebliche Risiken eingegangen werden".

Leckende IT-Systeme sind dem Bericht zufolge ein weiteres großes Problem. Es seien häufig "allein aufgrund vergleichsweise banaler Konfigurationsfehler am Server" Kundendatenbanken mit Millionen von Datensätzen ohne großen Aufwand abrufbar gewesen. Im Januar 2020 habe dies etwa auf rund drei Millionen Kundendaten der Autovermietung Buchbinder zugetroffen. Zu den Betroffenen "zählten auch zahlreiche Persönlichkeiten aus Politik und Verwaltung". Darunter war BSI-Präsident Arne Schönbohm, dessen Bewegungsspuren mit im Netz standen. Dazugekommen sind nach Ransomware-Attacken Lösegeldforderungen und Drohungen, erbeutete Daten zu veröffentlichen.

Ein Schwerpunkt der BSI-Verbraucherarbeit in den vergangenen Monaten lag auf dem Thema Cyber-Sicherheit im Gesundheitswesen, wozu das BSI schon spezielle Berichte veröffentlichte. Dazu kommt nun eine neue Studie, mit der die Experten sieben ausgewählte, nicht auf Rezept freigegebene Gesundheits-Apps untersuchten und auf grobe Schwachstellen abklopften. Darunter waren laut Nicolas Stöcker vom BSI besonders beliebte, aber auch speziellere Dienste. Sein Resümee: "Wir mussten feststellen, dass ein ganzheitliches Verständnis von IT-Sicherheit schlichtweg fehlt."

Alle Apps hätten Cloud-Umgebungen mehrerer Anbieter gleichzeitig genutzt, was ein erhöhtes Risiko darstelle, führte Stöcker aus. Sechs von sieben Anwendungen seien anfällig gewesen für einen "Man-in-the-Middle"-Angriff. Nach dem Überwinden der Transportverschlüsselung hätte sich gezeigt, dass ebenso viele "Passwörter im Klartext übertragen". Die Hersteller, mit denen man im Gespräch sei und daher noch keine Namen nenne, hätten so gängige Standards und Empfehlungen missachtet. Die Hälfte habe auch keinen Plan zum Umgang mit gefundenen Schwachstellen gehabt.

Die Corona-Warn-App streifen die Verfasser kurz. Deren Entwicklung habe die Behörde von Beginn an beratend begleitet sowie Penetrationstests des Codes durchgeführt. Die Umsetzung von "Security by Design" habe so "höchste Priorität" erhalten. Die Covid-19-Pandemie hat laut dem BSI generell vor Augen geführt, "wie schnell und flexibel Cyberkriminelle agieren können". Die vielfältige Anwendung von Angriffswerkzeugen wie "Phishing-Mails oder DDoS-Attacken auf digitale Angebote" böten einen "beispielhaften Einblick in die Gefahrenlage".

BSI-Chef Schönbohm begrüßte die Entscheidung des Bundestags, dem Amt mit dem IT-Sicherheitsgesetz 2.0 dezidiert die Aufgabe des digitalen Verbraucherschutzes anzuvertrauen. Künftig sollten "so viele Consumer-Produkte wie möglich über ein IT-Sicherheitskennzeichen verfügen". Es gelte zu verhindern, dass "aufgrund schlampiger Arbeit" aus dem Smart Home ein "Stupid Home" werde. Das BSI habe einen speziellen Fachbereich und Beirat für die neue Funktion gegründet und wende sich mit der Informationskampagne "#einfachaBSIchern" an die Bürger. Der Verbraucherbericht werde kontinuierlich ausgebaut und jährlich publiziert.

(bme)