Ein Interview mit Doris Hauser aus dem nic.at Operations-Team

Das sogenannte „Internet der Dinge“ (IoT - Internet of Things) ist ein breit gefächerter Bereich und reicht von intelligenten Ampeln über medizinische Geräte bis hin zur Ausstattung für das „Smart Home“. All diese Geräte ermöglichen eine digitale Kommunikation physischer und virtueller Dinge: Menschen, Maschinen, Anlagen, Fahrzeuge sowie Produkte können direkt miteinander kommunizieren. In der Folge können Prozesse optimiert, Kosten bzw. Zeit reduziert sowie neue, innovative Geschäftsmodelle realisiert werden.

Zahlreiche Geräte weisen allerdings noch grobe Schwachstellen auf und ermöglichen es damit den Angreifern, Geräte wie etwa Webcams, Lautsprecher oder auch Überwachsungskameras zu übernehmen und damit ihre Nutzer auszuspionieren.

Eine bislang wenig populäre und aus Sicherheitsaspekten vernachlässigte IoT-Kategorie sind smarte Sex Toys. Und das, obwohl aus der Ferne steuerbare Vibratoren vermutlich gerade in Zeiten von Lockdowns und Einreiseverboten mit Sicherheit so manche Fernbeziehung erleichtern. Erst vergangene Woche berichteten heimische Medien von einem Fall in Österreich, bei dem ein Hacker die Kontrolle über einen „smarten“, via App gesteuerten Keuschheitsgürtel übernommen und in der Folge den Nutzer erpresst hat.

Die Sicherheit von Sexspielzeug ist also ein durchaus aktuelles und sehr spannendes (Tabu-) Thema, mit dem sich Doris Hauser, System Engineer in unserem Operations-Team, im Rahmen ihrer Bachelorarbeit an der FH St. Pölten auseinandergesetzt hat. Doris hat die HTL Spengergasse für EDV mit Schwerpunkt Netzwerktechnik absolviert und im vergangenen Jahr ihr berufsbegleitendes Studium im Bereich „IT-Security“ erfolgreich abgeschlossen. Im Interview hat sie uns einen umfassenden Einblick in das von ihr gewählte Thema „Security of Smart Sex Toys“ gegeben und außerdem erlaubt, ihre Bachelorarbeit hier zu veröffentlichen:

Doris, das Thema deiner Bachelorarbeit ist ja durchaus außergewöhnlich. Wie kam es dazu?
Auf der ITSECX Konferenz 2018 hat ein Absolvent der FH St. Pölten seine Masterarbeit zum Thema „Internet of Dongs – a long way to a vibrant future“ präsentiert, in der er einen Penetrationstest¹ gegen ein Smartes Sex Toy durchgeführt hat. Mich hat der Vortrag sehr fasziniert und ich war gleichzeitig sehr schockiert über das Ergebnis, laut dem in diesem Bereich umfangreiche Schwachstellen existieren. Nachdem auf diesem Gebiet bislang generell noch wenig geforscht wurde – wohl auch, weil das Thema „Sex“ in unserer Gesellschaft eher ein Tabuthema ist – wollte ich meine Bachelorarbeit dann eben auch diesem Thema widmen.

Ist das Hacking smarter Sex Toys tatsächlich auch in Ländern wie Österreich stark verbreitet?
Hacken im Allgemeinen findet in allen Breitengraden statt. IoT-Geräte, zu denen Sex Toys ja zählen, sind hier keine Ausnahme. Gerade in den letzten Jahren hört und liest man in den Medien immer wieder von Hackerangriffen auf IoT-Geräte, da dieses Themengebiet noch neu ist und viele der eingesetzten Technologien, wie etwa Bluetooth, eben auch noch einige Sicherheitslücken aufweisen.

Sind sich deiner Meinung nach die Hersteller dieser Risiken bewusst?
Ich denke, dank ein paar engagierter ForscherInnen dürften inzwischen zumindest die größeren Herstellerfirmen über dieses Risiko Bescheid wissen – allerdings kostet es auch Geld, sich die nötigen Ressourcen für das Know-how, die Implementierung und das Testen von Sicherheitsmaßnahmen anzueignen. Meiner Meinung stehen bei den Unternehmen die Funktionalität der Produkte und die Wettbewerbsfähigkeit ganz klar im Vordergrund. Mittlerweile gibt es leider auch einige, vorrangig chinesische Hersteller, die Billigprodukte produzieren, welche durch den niedrigen Preis natürlich deutlich attraktiver sind. Die meisten EndbenutzerInnen nehmen wohl an, dass auch diese Geräte entsprechend gesichert sind und nicht gehackt werden können.

Zu diesem Thema existiert vermutlich noch nicht viel Literatur, die du heranziehen konntest, oder?
Die Literaturrecherche war tatsächlich ziemlich aufwändig, weil bisher kaum wissenschaftliche Arbeiten zu dem Thema verfasst wurden. Allerdings stößt man bei der Recherche im Internet sehr schnell auf Experten, die sich mit dem Thema sehr gründlich auseinandergesetzt haben und zum Glück auch einige Informationen über Hersteller, Herangehensweisen und Schwachstellen veröffentlicht haben, auf die ich zurückgreifen konnte.

Was war für dich die spannendste Erkenntnis?
Die wohl spannendste Erkenntnis war, dass manche Risiken bereits bei der „normalen“ Verwendung der App deutlich werden. Bei einigen Apps kann man sich beispielsweise mit einem/einer PartnerIn verbinden, dafür gibt es ein Suchfeld für den „Nickname“. Bei zwei der vier Devices, die ich untersucht habe, musste man hier allerdings einfach nur den Anfangsbuchstaben des Namens eingeben und erhielt eine Liste sämtlicher User, die beispielsweise mit dem Buchstaben „A“ beginnen. Bei den Herstellern selbst habe ich Daten im Sinne der DSGVO angefragt, worauf ich von zwei Herstellern überhaupt keine Antwort bekommen habe, ein weiterer hat mir lediglich beschrieben, wie ich meine Daten über die App löschen lassen kann und nur ein einziger Hersteller hat mir sämtliche Daten über meinen Account übermittelt.

Hast du abschließend eine Empfehlung für Hersteller bzw. Konsumenten?
Meine wohl größten Empfehlungen an die Hersteller sind eine verschlüsselte Übertragung sämtlicher Daten über die Apps sowie der Einsatz von „Certificate Pinning“², das es dem Angreifer deutlich schwerer macht, sich im Rahmen einer sogenannten „Man-in-the-Middle“ Attacke³ als Hersteller auszugeben und die übermittelten Daten mitzulesen. Endverbrauchern kann ich aktuell nur raten, die Finger von smarten Sex Toys zu lassen oder zumindest darauf zu achten, dass ihre Geräte entweder ausgeschaltet sind oder nur dann mit dem/der gewünschten PartnerIn verbunden sind, wenn sie auch tatsächlich verwendet werden. So kann man zumindest in den meisten Fällen ausschließen, dass eine dritte Person die Steuerung des Sex Toys übernehmen kann.

Wen das Thema jetzt neugierig gemacht hat, kann Doris‘ Bachelorarbeit hier downloaden und ihre Studie und Erkenntnisse nachlesen:

Download PDF

¹ Penetrationstest, kurz Pentest, ist ein umfassender Sicherheitstest von IT-Systemen oder Netzwerken, bei der die Empfindlichkeit gegenüber Angriffen festgestellt werden soll. Bei einem Pentest kommen Methoden und Techniken zum Einsatz, die von echten Angreifern oder Hackern verwendet werden.

² HTTP Public Key Pinning (HPKP) ist ein  Mechanismus zum Absichern des HTTPS-Protokolls gegen Man-in-the-Middle-Angriffe

³ Ein Man-in-the-Middle-Angriff (MITM-Angriff) ist eine Angriffsform, die in Rechnernetzen ihre Anwendung findet. Der Angreifer steht dabei entweder physisch oder – heute meist – logisch zwischen den beiden Kommunikationspartnern, hat dabei mit seinem System vollständige Kontrolle über den Datenverkehr zwischen zwei oder mehreren Netzwerkteilnehmern und kann die Informationen nach Belieben einsehen und sogar manipulieren.