Money makes the world go round…
Vor einigen Jahren, als Smart-TVs langsam anfingen sich durchzusetzen, habe ich das mögliche Missbrauchspotenzial ausgelotet – es ist definitiv vorhanden.
Auf der einen Seite die technische Machbarkeit: Die Nutzung bekannter Technologien – bei denen es auch in der Vergangenheit schon Lücken gab und schon rein statistisch mit weiteren Lücken zu rechnen war – machte Angriffe wahrscheinlich.
Auf der Gegenseite aber die wirtschaftliche Sinnhaftigkeit: Sie machte Smart-TVs als Angriffsziel einfach uninteressant: Faktoren wie die noch geringe Verbreitung, die zersplitterte Plattformlandschaft sowie ein fehlendes Geschäftsmodell spielten hier die entscheidende Rolle.
Damals scherzten wir im Kollegenkreis noch über ein mögliches Geschäftsmodell: Das Einblenden einer Sperrmeldung („Lieber Zuschauer, gegen Bezahlung eines Betrags XY können Sie das Spiel weiter verfolgen“) während des Endspiels der Fußball-EM beispielsweise…
Aus Spaß wurde Ernst
Leider ist dieser Scherz von der Realität eingeholt worden. Es gibt inzwischen Schadsoftware für Android-basierte Smart-TVs, für normale Computer würde man sie als Erpressungstrojaner bezeichnen.
Sie sperrt den Fernseher und blendet eine angebliche Meldung der „US Cyber Police“ ein. In der wird der Zuschauer einer Straftat bezichtigt, die er natürlich nicht begangen hat – und von der er sich gegen Zahlung von iTunes-Geschenkkarten im Gegenwert von etwa 200 US-Dollar freikaufen kann.
Genau dieselbe Vorgehensweise hat vor nicht allzu langer Zeit PC-Benutzer in Form des sogenannten „BKA-Trojaners“ heimgesucht.
Warum also jetzt „auf einmal doch“ Smart-TVs?
Während es in der Frühzeit der Smart-TVs viele verschiedene Plattformen gab, hat sich inzwischen Android auf breiter Front durchgesetzt. D.h. aus Sicht der Cyberkriminellen ist das Verhältnis aus Entwicklungsaufwand zu Anzahl der möglichen Opfer „besser“.
Hinzu kommt, dass sie bei Mobilgeräten die Entwicklung von Schadsoftware perfektioniert haben – und damit der Lernaufwand bei Smart-TVs vergleichsweise gering ist.
Und weil sich Smart-TVs inzwischen massenhaft verkauft haben, ist natürlich auch die Anzahl der potenziellen Opfer gestiegen.
An diesem Fall lässt sich eine wichtige Lektion mit Cyberkriminellen belegen: Nicht alles, was technisch machbar ist, wird auch getan. Nur weil ein System verwundbar ist, stürzen sich nicht Heerscharen von Cyberkriminellen zwangsläufig darauf.
Aus Marketingsicht ist das reine Vorhandensein eines Risikos natürlich Grund genug, in diese Bresche zu schlagen. Der entscheidende Aspekt ist die Eintrittswahrscheinlichkeit! Sie hängt bei „normalen“ Angriffen vom möglichen Gewinn ab.
Wir haben diese Entwicklung in der Vergangenheit oft beobachtet: Spam, Phishing, Trojaner, Sicherheitslücken, persönliche Daten. Erst als damit Geld zu verdienen war, ging – salopp gesagt – die Post ab.
Daher war schon zu Beginn der Smart-TVs klar: Es kommen Angriffe, sobald sich ein Geschäftsmodell entwickelt bzw. rentiert.
Heißt das, dass man Risiken, deren Geschäftsmodell noch nicht tragfähig ist, ignorieren darf?
Aus Sicht der Risikobetrachtung: Nein! Jedoch ist die Eintrittswahrscheinlichkeit anzupassen. Man muss das Risiko also im Auge behalten, darf aber keine Panik-Schnellschüsse durchführen.
Uns muss nur klar sein, dass früher oder später viele gefährdete Technologien im großen Maßstab missbraucht werden. Damit einher geht auch die Frage nach der „Säuberung“, die in vielen Köpfen herumschwirrt.
Und spätestens hier wird es absolut unangenehm. Beim Smart-TV kann man vielleicht einfach nur nicht mehr fernsehen. Aber während sich ein PC, ein mobiles Gerät oder auch ein Fernseher vielleicht noch mit vertretbarem Aufwand in einen sauberen Zustand versetzen lassen, wird es bei immer mehr Embedded-Geräten immer schwerer.
Auf der einen Seite haben diese häufig weder ein Interface, mit dem man noch etwas bewirken kann, noch besteht der physische Durchgriff auf diese. Man stelle sich einfach ein kleines generisches Gerät vor, das Sensoren ausliest und Aktoren bedient – ohne Interface und ganz tief in viele Produkte integriert.
Aus Sicht der Cyberkriminellen ist das vielleicht das Paradies. Technisch vielleicht nur mit großem Aufwand zu kompromittieren – bei Erfolg aber unbezahlbar!