Ein Sicherheitsexperte konnte aus der Ferne über das terrestrische Fernsehsignal eine Schadsoftware auf einen Smart-TV übertragen. Wie gefährdet sind Smart-TVs und damit die Konsumenten?
Smart-TVs wurden in der Vergangenheit schon häufiger Ziel von Angriffen aus dem Internet. Das hat im Wesentlichen zwei Gründe: (1) die Aktualisierungen für diese internetfähigen Fernsehgeräte kommt häufig zu spät auf die Geräte und (2) die Sicherheitsüberprüfungen seitens der Hersteller scheinen auf einem niedrigeren Niveau zu sein. Dass Schwachstellen auf Smart-TVs auch über das Fernsehsignal ausgenutzt werden können, ist daher nicht überraschend. Sollte aber den Konsumenten sehr nachdenklich machen.
Die Gefahr in diesem konkreten Fall ist als begrenzt einzustufen, da das terrestrische Fernsehsignal laut Statistik nur von ca. 6 % der Konsumenten genutzt wird. Nicht alle dieser Konsumenten besitzen ein Smart-TV, wodurch die Menge der betroffenen Konsumenten sehr stark eingeschränkt wird. Weiterhin sollte erwähnt werden, dass dieser Angriff nur regional möglich ist. Ein Angriff über ein anderes Fernsehsignal, wie zum Beispiel Kabel oder Satellit, ist theoretisch über die gleiche Schwachstelle möglich, aber mit wesentlich mehr Aufwand verbunden. In der Regel ist für schwerwiegendere Konsequenzen die Verbindung zum Internet notwendig, aber auch hier ist nur ca. ein Drittel der Konsumenten tatsächlich mit dem Internet verbunden.
Auch, wenn die Menge der betroffenen Konsumenten klein ist, ist ohne genaue Analyse der Schwachstelle nicht absehbar, welche Probleme sie mit sich bringt. Zum Beispiel könnte ein Smart-TV dafür genutzt werden, um weitere Geräte in Ihrem Haushalt anzugreifen oder Viren zu übertragen. Eine Beeinträchtigung des Smart-TVs ist nicht immer Hauptgrund für einen Angriff.
Der exemplarische Hack erfolgte durch eine HbbTV-Anwendung. Wie (un-)sicher ist der europaweit zertifizierte digitale Videotext-Nachfolger?
Eine HbbTV-Anwendung ist prinzipiell eine Webseite, die in einem Browser auf dem Smart-TV geöffnet wird. Somit ist eine Pauschalisierung, dass der HbbTV-Standard unsicher sei, nicht sinnvoll und auch nicht richtig. Webseiten werden auch nicht pauschal als unsicher bezeichnet.
Die ausgenutzte Schwachstelle war ein Implementierungsfehler im Browser, der diese HbbTV-Anwendungen im Smart-TV ausgeführt hat. Die Hersteller von Smart-TVs sind also in der Pflicht Sicherheitsüberprüfungen zu etablieren, die ausnutzbare Schwachstellen möglichst gering halten. Sollten doch Schwachstellen gefunden werden, sollten diese so schnell wie möglich durch den Hersteller behoben werden und die Smart-TVs über das Internet aktualisiert werden. Leider war diese Schwachstelle schon einige Zeit bekannt und es hat kein Sicherheitsupdate stattgefunden. Die beschriebene Problematik gilt nicht nur für HbbTV, sondern für alle auf einem Smart-TV angebotenen Internetfunktionen.
Was kann der Zuschauer tun, um sich vor Angriffen zu schützen?
In diesem konkreten Fall, kann die HbbTV-Funktionalität des Smart-TVs in den Einstellungen deaktiviert werden. Wer sich gegen alle Internetangriffe auf dem Smart-TV schützen will, sollte das Smart-TV nicht mit dem Internet verbinden.
Bekannte Sicherheitsmechanismen, wie sie von Computern oder Smartphones bekannt sind, sind leider noch nicht oder nur sehr selten auf einem Smart-TV verfügbar. In der Zukunft wird es sicher weitere Möglichkeiten geben, damit Konsumenten sich schützen können. Die Seiten des BSI können hier hilfreiche Informationen liefern: https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/SmartTV/SmartTV_node.html
Sehen Sie gesetzlichen Regelungsbedarf? Etwa um die Hersteller zu verpflichten, regelmäßig für einfachere Updates zu sorgen o.ä.)
Meine Erfahrung hat gezeigt, dass es ein erhebliches Defizit bei der Verteilung und dem Bereitstellen von Updates gibt. Internetfähige Smart-TVs erhalten Updates nur über einen sehr begrenzten Zeitraum. Häufig ist der Zeitraum deutlich kleiner als die übliche Lebensdauer von Fernsehgeräten in Haushalten.
Ein ähnliches Problem existiert auch bei Smartphones, die häufig nur wenige Updates erhalten. Die gesetzliche Gewährleistung von 24 Monaten ist für Sicherheitsupdates zu niedrig. Der Gesetzgeber sollte hier klare Regelungen auf den Weg bringen, die dem Konsumenten die Möglichkeit geben, sich informiert zu entscheiden. Ein Beispiel könnte sein, dass auf der Verpackung schon vermerkt ist, wie lange die Updategarantie besteht.