Vault 7: So schützen Sie Ihr Heimnetz

Schuld an dieser Entblößung nach außen ist eine falsche Router-Einstellung, die einen Zugriff von außen nach innen erlaubt (ein Server-Dienst). Und hier liegt für Anwender auch ein wichtiger Schlüssel für seine Sicherheit: Der Router sollte keinen Dienst nach außen öffnen, damit die hinter dem Router angeordneten Geräte nicht gefunden werden können. Prüfen Sie das in der Weboberfläche des Routers unter „Portfreigaben“ und machen Sie einen Test mit OpenVAS (siehe unten im Nachtrag).

Dass der Router nicht selbst Ziel eines Angriffs wird, erschweren Sie deutlich, wenn Sie dafür sorgen, dass immer die aktuelle Firmware installiert ist. Das prüfen Sie ebenfalls in der Weboberfläche und dort gibt es meist auch einen Update-Button. Ein veraltetes, nicht mehr aktualisiertes Modell sollten Sie schlichtweg austauschen.

Natürlich können Schädlinge auch auf anderen Wegen ins Netz kommen, zum Beispiel über einen Webbrowser am PC, und sich ein Smart-Home-Gerät als neuen Wirt suchen. Von dort versuchen die Trojaner Kontakt nach außen zu ihren Kontroll-Servern aufzunehmen. Vor einer derartigen Verbindung von innen nach außen schützt das Sperren der Portfreigaben nicht – aber die Kindersicherung im Router. Stellen Sie diese so ein, dass nur die Ihnen bekannten Geräte (PCs, Laptops, Smartphone etc.) einen Internet-Zugang erhalten, alle anderen nicht. Diese Einstellung erschwert es Hackern und Trojanern erheblich, Ihr Netz zu kontrollieren.

Ähnlich steigt nach dem Leak auch das Risiko für Besitzer älterer Smartphones, da diese ebenfalls meist von den Herstellern nicht mehr mit System-Updates versorgt werden. Besitzer von Handys, die noch Updates bekommen, müssen sich hingegen weniger sorgen, denn Google und Apple haben bereits verkündet, dass die meisten geleakten Schwachstellen bereits behoben wurden.

Verschärfte Sicherheitslage

Durch das CIA-Leak sind nun ein paar Dutzend unbekannte Sicherheitslücken auf einen Schlag öffentlich geworden, und Hacker der unterschiedlichsten Motivation stürzen sich auf dieses Wissen. Da, wie schon gesagt, viele Smart-Home-Geräte überhaupt nicht gepatcht werden, funktionieren die beschriebenen Exploits dauerhaft. Nicht ganz zu Unrecht beschwert sich die CIA​: „Derartige Aufdeckungen … statten unsere Feinde mit Werkzeugen und Informationen aus, die uns schaden.“ Irgendwann hatten auch die Feinde von Venedig Fernrohre.

Nachtrag: Spione finden mit OpenVAS

OpenVAS​​ ist im Prinzip das Gegenstück zum Virenscanner: Es durchsucht das komplette Netz nach Sicherheitslücken und versucht in diese einzudringen – aber ohne Schaden anzurichten. Am einfachsten ist die Installation in einer Virtual Box, da es fertige Images für den OpenVAS-Server gibt. Bevor Sie einen Test starten, sollten Sie ein Update von OpenVAS machen, denn es lädt sich ähnlich wie ein Virenscanner aktuelle Signaturen von Exploits.

Kurz gesagt findet OpenVAS alle Geräte im Netz, die Webcam, die smarte Glühbirne und auch den vergessenen Repeater. An diesen Geräten simulieren Sie dann einen Angriff, um zu sehen, ob Lücken klaffen. Die Beschreibungen zu den aufgedeckten Lücken (in Englisch) geben Ihnen Auskunft, wie gravierend das Problem ist, und was es bedeutet. Dann können Sie entscheiden, ob es reicht den Internet-Kontakt des Geräts zu sperren oder ob es besser ist, es auszusondern.

Für einen Test des Routers von außen muss Ihr OpenVAS-Rechner auch von außen kommen, z.B. über einen mobilen Hotspot mit dem Smartphone. Die nach außen sichtbare IP-Adresse Ihres Routers ermitteln Sie mit einem Dienst wie www.wieistmeineip.de​. Diese Adresse verwenden Sie in OpenVAS als Angriffsziel.

Zusätzlich sollten Sie Ihren Router auch von innen angreifen, denn das tut ein Trojaner innerhalb des Netzes eventuell auch. Eine detaillierte Beschreibung von OpenVAS​ finden Sie in einem separaten Artikel auf connect-living.de.