IoT-Bug bei Miele zeigt Fallstricke der Digitalisierung auf

MIele (Grafik: Miele)

Über einen integrierten Web-Server konnte ein medizinisches Desinfektionsgerät von Miele über mehrere Monate hinweg angegriffen werden. Jetzt hat der Hersteller reagiert. Der Fall ist ein Lehrstück für die Risiken des IoT für traditionelle Gerätehersteller.

Miele hat heute auf Berichte über angreifbare “Geschirrspüler” reagiert und Fehler in der Kommunikation eingeräumt. Der Hersteller weist jedoch Berichte zurück, in denen das von ihm hergestellte Gerät PG 8528 als “Einfallstor für Hacker” beschrieben wird. Das sei nicht der Fall, da PG 8528 zwar über einen Web-Server verfüge, dieser jedoch nicht mit dem Internet verbunden sei.

Der “Reinigungs- und Desinfektionsautomat PG 8528” ist für die Desinfektion von medizinischen Utensilien konzipiert und wird in Laboren und Krankenhäusern eingesetzt. Entfernt erinnert das Gerät an einen Geschirrspüler und übernimmt in einem speziellen Zusamemnhang auch vergleichbare Aufgaben.

Der Miele PG 8528 ist mit einem Web-Server ausgerüstet, der für einen Traversal-Bug anfällig ist. (Bild: Miele)
Der Miele PG 8528 ist mit einem Web-Server ausgerüstet, der für einen Traversal-Bug anfällig ist. Das Gerät ist ein Desinfektionsgerät für Labor-Utensilien und wird in Krankenhäusern oder Laboren eingesetzt. (Bild: Miele)

Entdeckt wurde der Fehler durch den Sicherheitsspezialisten Jens Regel von der IT-Beratung Schneider und Wulf in Frankfurt am Main im Rahmen eines Penetration-Testing. Nach Monaten mit vergeblichen Versuchen, bei Miele den richtigen Ansprechpartner zu finden, hatte Regel den Fehler am 24.März öffentlich gemacht.

Regel bestätigt im Gespräch mit silicon.de die Darstellung Mieles, wonach nur ein Angreifer, der Zugriff auf das lokale Netz hat, auf den Web-Server des Gerätes zugreifen kann. “Man könnte den Web-Server in PG 8528 zwar auch mit dem Internet verbinden, doch das wäre in den Augen eines Administrators grob fahrlässig”, so Regel. Über das Leck kann ein Angreifer aus dem LAN auf sämtliche Dateien, die auf dem Gerät gespeichert sind, zugreifen und damit eben auch auf eine Passwort-Datei.

“Wenn ich Zeit investiere, um auf dieses System zu kommen und Malware zu installieren, dann ist das theoretisch möglich und in einem Medical Environment ist das natürlich hoch kritisch”, erklärt Regel. Er betont aber gleichzeitig auch: “Das ist dann aber nicht mehr das Problem von Miele, sondern das ist abhängig von der IT der Häuser und wie IT-Abteilungen ihre Netze absichern. Aus der Erfahrung heraus spielt in vielen Firmen die Absicherung der internen Netzwerkstrukturen leider eine eher geringe Rolle. Das muss sich ändern.”

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Miele erklärt auf Anfrage von silicon.de, dass es keine Hinweise darauf gebe, dass das Leck ausgenutzt wurde. Weiter teilt der Hersteller mit: “Außerdem würde ein Missbrauch von Gerätedaten weder einen Zugriff auf Daten Dritter eröffnen noch auf anderweitige Geräte oder Prozesse im Anwendernetz. Dementsprechend wurde die Schutzlücke lediglich als ‘mittelschwer’ eingestuft.”

Die entsprechende Software sei außer beim PG 8528 auch in den Modellen PG 8527, 8535 und 8536 zum Einsatz gekommen. Seit 2007 sind diese auf dem Markt und seitdem seien davon 5800 Stück verkauft worden.

MIele (Grafik: Miele)

Derzeit arbeitet der Hersteller eigenen Angaben zufolge an einem Software-Update und informiert betroffene Anwender. Der Fix soll in wenigen Wochen fertig sein, heißt es von Miele. Weitere Geräte für Gewerbekunden und Verbraucher seien dagegen sicher.

Sehr offen gibt aber Miele zu, dass die Meldung Regels nicht zeitnah aufgenommen wurde. Das stuft die Geschäftsleitung jetzt in einem schriftlichen Statement als “ernstes Versäumnis” ein. Regel hatte das Leck im November entdeckt und bis zu Veröffentlichung des Fehlers im März trotz Nachfragen von Miele keine entsprechende Reaktion bekommen. Miele will nun zunächst die Ursachen dafür prüfen und entsprechende Maßnahmen ergreifen, damit solche Hinweise künftig nicht mehr im Sand verlaufen.

“Inzwischen stehe ich im regen Kontakt mit Miele und wir haben einen guten Austausch”, bestätigt Regel, der den Umgang mit seiner Meldung nun “vorbildlich” nennt. Der Gütersloher Hersteller habe den Fehler offenbar erkannt.

Was sich aus dem IoT-Bug bei Miele lernen lässt

Der unterm dem Strich doch vergleichsweise harmlose und noch einmal glimpflich ausgegangene Fall bei Miele zeigt aber dennoch exemplarisch auf, dass, das durch die Digitalisierung nicht nur Prozesse verschieben, sondern auch die Geschäftsmodelle. Digitale Prozesse und Daten bekommen in digitalisierten Unternehmen einen völlig neuen Stellenwert. Dazu gehören auch Daten, die bislang als wenig bedeutsam eingestuft wurden.

Außerdem verschwimmt die Grenze der Verantwortungsbereiche: Wie eine Studie des IT-Sicherheitsanbieters Bitdefender kürzlich zeigte, halten smarte Geräte in großer Zahl in Haushalten Einzug. Allerdings laden die Hersteller der vernetzten Geräte die Verantwortung für die Sicherheit derzeit vielfach noch auf die Anwender ab. Bitdefender gibt zu bedenken, dass viele smarte Geräte mit schwachen Authentifizierungsmechanismen auf den Markt gebracht werden und mit Default-Passwörtern wie “12345” ausgestattet sind.

Mehr zum Thema

IoT: Eine neue Standard-Welt entsteht

Im Bereich IoT gibt es zahlreiche Initiativen und Konsortien, bislang laufen diese Bestrebungen jedoch überwiegend parallel nebeneinander her. Doch damit dies alles überhaupt funktionieren kann, braucht man neben neuen Produkten auch neue Standards – insbesondere für die Kommunikation der Geräte untereinander und für die Sicherheit. silicon.de gibt einen Überblick.

Auf die Anwender ist jedoch kein Verlass: In der Bitdefender-Umfrage gaben von den befragten Deutschen immerhin 56 Prozent an, für jedes Devices ein anderes Passwort zu wählen. In den USA waren es nur 45 Prozent und in anderen Ländern sieht es nicht besser aus. Von WLAN-Routern und ähnlichen Geräten ist das Phänomen ebenfalls bekannt, nur wenige Hersteller steuern dem effektiv dadurch entgegen, dass sie jedes Gerät mit einem einzigartigen Passwort ab Werk ausliefern, nicht dem berühmt-berüchtigten Standard-Passwort.

Kooperation von Microsoft und Miele (Bild: Miele)
2015 als Studie vorgestellt: Auf Basis der Azure IoT Services von Microsoft können Besitzer eines Miele-Herdes Rezepte recherchieren und bekommen das passende Gar-Programm direkt auf den Ofen geschickt. (Bild: Miele)

Die Liste aus Sicht von IT-Security-Experten “einfacher Fehler” bei IoT-Implementierungen ließe sich nahezu beliebig fortsetzen. Sie erstrecken sich auch auf andere Bereiche, in denen traditionelle Hersteller mit IT in Berührung kommen, etwa Smart-Home-Server von Spezialisten für Gebäudeautomation, wie deutsche Experten aufgezeigt haben.

Das ist leichtfertig. Denn für Firmen wie Miele steht viel auf dem Spiel. So kooperieren Miele und Microsoft etwa seit der Hannover Messe 2015 für smarte Küchenherde, Miele und die Deutsche Telekom seit der IFA 2015 für eine vernetzte Waschmaschine mit Nachbestellsystem für Waschmittel. Diese Partnerschaften bieten enormes Potenzial – das sich aber durch einige Sicherheitsprobleme rasch auflösen könnte.

2007 verdrängte Miele im deutschen Markenranking “Best Brands” Google von Rang 1. Mit dem Ranking werden sowohl der wirtschaftliche Erfolg als auch die Beliebtheit einer Marke bewertet. “Es besteht fast schon ein Urvertrauen der Konsumenten in die Marke Miele”, sagte GfK-Chef Siegried Högl damals. Zehn Jahre später steht das Unternehmen nun vor der Aufgabe, dieses “Urvertrauen” mit in die neue Zeit hinüberzunehmen. Der erste Schritt ist jetzt – nach einem ersten kleinen Stolpern – getan.