Wer in der Digital Signage Branche vernetzt ist, kennt – unabhängig vom vertikalen Markt – das leidige Thema Hacking: Immer wieder werden Systeme über zumeist kürzere Zeit komprommitiert. Oftmals handelt es sich dabei um keine klassischen Hacks, sondern simple Rotzlöffel-Streiche, die auch keine ernsten Folgen nach sich ziehen.
Meist reicht schon eine Fernbedienung in der Tasche, um bei einem abendlichen Gang durch die Innenstadt an den Schaufenstern vorbei zu laufen, und zu sehen, welchen ungeschützten Schirm man an- und ausknipsen kann. Das hat auch schon bei Banken funktioniert.
Manchmal lässt sich auf diesem Weg auch die Erwachsenen-Unterhaltung einschalten, wenn es sich um TV-Signale handelt oder ein leichter Zugang zum Web möglich ist. Zumeist handelt es sich in diesen Fällen um einen Zugang auf ein Consumer TV Gerät oder ein de facto ungeschütztes Profi Gerät mit smarten Funktionen. Bekanntlich gibt es zahlreiche Läden, Imbisse und andere Einrichtungen, die mit einem 150 Euro TV aus dem Supermarkt versuchen, visuelle Bewegtbildkommunikation zu betreiben – und auch bei großen Filialisten ist nicht immer eine eingehende Einweisung in die Geräte und Software gegeben.
Weiterer Klassiker – gerne im Einzelhandel: Ein frei zugänglicher USB Stick wird abgezogen (Content futsch), gegebenenfalls durch einen infizierten ersetzt (deutlich schlimmere Folgen denkbar). Analoges gilt für DVD Player oder Blu Ray Player.
Unwille oder Unfähigkeit?
Oben beschriebene Fälle müsste man eigentlich unter den Begriff Blödheit auf Seiten der Dienstleister subsummieren, wenn er eine juristische Kategorie wäre. Schließlich übernimmt der Dienstleister in der Regel die Verantwortung, technisch nicht versierte Nutzer im Umgang zu schulen sowie, wichtiger noch, simple Einfallstore erst gar nicht entstehen zu lassen.
Doch auch komplexere Profi Systeme werden hin und wieder auf verschiedenen Wegen penetriert. In diesem Fall kann man von Hacking sprechen. Wie in allen Bereichen des digitalen Lebens sind immer mehr Geräte miteinander vernetzt oder es werden auf zwar getrennten Systemen gleiche Tools eingesetzt, die notwendig sind und weitreichende Nutzerrechte einräumen. Werden diese Tools nicht ausreichend geschützt oder sind an anderer Stelle Viren, Trojaner und Co. in die Untiefen der Betriebssysteme eingedrungen, kann hoher wirtschaftlicher Schaden und totaler Reputationsverlust entstehen. Zudem können auch Sicherheitsprobleme entstehen, die die Betriebssicherheit oder sogar Menschenleben gefährden können.
Business Critical Anwendungen benötigen Penetration Tests
Nur am Rande: Nicht vollkommen unbegründet sind die Tester von Eisenbahnbundesamt und Nahverkehrsbetreibern so pedantisch, die buchstäblich jede Schraube zehnmal testen, bevor ein Fahrgast TV System samt Netzwerktechnologie eingesetzt wird, auch wenn vielleicht nur ein neuer Screen mit höherer Auflösung oder ein neuer Mediaplayer installiert werden sollen. Oder einfach nur ein neuer Zugtyp mit Screens ausgestattet wird. Schließlich sind auch diese vernetzte Systeme auf Schienen.
In diesem Jahr kam es in einer deutschen Stadt zu einem Fall, der zeigt, dass B2B Kunden und Dienstleister – einschließlich aller IT Services – nicht vorsichtig genug sein können.
Über ein Smartphone hackte sich ein bislang Unbekannter in das Apotheken TV System einer Apotheke. Dies wurde dadurch möglich, dass auf den Screens im Schaufenster die Infos zum Teamviewer Zugang zu sehen waren, was auch mindestens einem Mitarbeitenden der Apotheke abends aufgefallen war. So stellen es die betroffene Apotheke, der Apotheken TV Dienstleister sowie die zuständige Ermittlungsbehörde übereinstimmend dar. Nach Angaben des Apotheken TV Dienstleisters ist dieser Fall bei seinen anderen Kunden bislang noch nicht vorgekommen, auch wenn dieser Dienstleister zumindest zeitweise wegen anderer seiner Geschäftspraktiken nicht unumstritten war.
Diese betreffen aber die Vergangenheit und die Vermarktungsseite (Gebühren oder Werbegelder sowohl für Apotheken wie für OTC Pharmaindustrie ohne das beide Seiten davon wussten, keine nennenswerten Leistungsausweise über genauen Umfang der ausgespielten Spots oder deren Lokalisierung). Über generelle Sicherheitsrisiken bei diesem Unternehmen ist in der kleinen Branche bisher nichts ruchbar geworden.
Das Fernwartungs Tool Teamviewer wird oft eingesetzt, um schnell auf alle möglichen IT Systeme zugreifen zu können. Es kann nur gestartet werden, wenn beide Seiten (Kunde, Dienstleister) den entsprechenden Prozess starten. Dies ist allgemein bekannt, und wir haben uns dies von Teamviewer am gestrigen Mittwochmittag nochmals bestätigen lassen. Ein Unternehmenssprecher verwies auf invidis Anfrage zudem darauf, dass regelmäßig an der Sicherheit des Tools und seiner Umgebung gearbeitet werde, und keine Lecks darin bekannt seien. Gleichwohl, so der Sprecher weiter, seien Missbräuche des Tools bekannt. Dies könne mehrere Ursachen haben, etwa, wenn für ein Teamviewer-Konto ein laxer Umgang mit Passwörtern gepflegt werde. Beispiele: Passwort lange nicht gewechselt, Nutzung eines Passworts für diverse Online-Konten, unsichere Passwortkombinationen, Verwendung des Teamviewer-Kontos durch eine große Nutzeranzahl, andere Infiltrationswege.
Handelt es sich um so einen Fall, ist die Wahrscheinlichkeit nicht niedrig, dass es sich um ein durch eine oder mehrere Nutzergruppen (Anwender, Dienstleister) verursachte Lücke handelt – die zuständige Polizeibehörde und Staatsanwaltschaft ermittelt derzeit noch und ist auch mit Teamviewer in Kontakt, die bei der Suche nach dem Angreifer im Rahmen der geltenden deutschen und europäischen Gesetze und Verordnungen kooperieren.
Zudem ist auch denkbar, dass durch Mails (präparierte Links, präparierte Websites) oder anderweitig (Klassiker: „versiffter“ USB-Stick) Viren, Trojaner oder Keylogger auf das System gekommen sind. Das kann zeitlich irgendwann passiert sein. Auch diese Möglichkeit schließen weder Teamviewer, noch ein weiterer befragter, mit dem Fall nicht befasster, IT Kenner aus.
Ein ebenfalls nicht involvierter Apotheken TV Experte bestätigt, dass Teamviewer üblicherweise bei Apotheken TV Systemen genutzt wird (Fernwartung). In diesem Zusammenhang verwies er ebenfalls darauf, dass auch Warenwirtschaftssysteme und andere IT Systeme, die in deutschen Apotheken genutzt werden, häufig den Teamviewer nutzen.
Im Fall des betroffenen Apothekenbetreibers hängen internes IT System, Internetzugang, Kassen- und PoS System sowie das Digital Signage System nach Faktenlage mehr oder weniger zusammen, beziehungsweise sind durch Schnittstellen verbunden.
Die letzten beiden Infos zusammengenommen, zeigt der Fall, dass also durchaus sensible Infos in unbefugte Hände geraten können. Beispiel: Jemand bestellt auf seinen Namen, mit seiner Kundennummer und weiteren Daten (Telefon, Adresse, Bank- und Kontodaten, möglicherweise EC Karten und Kreditakarteninfos, eventuell auch Zugänge zur oder Teilinfos der elektronischen Gesundheitskarten) ein HIV Medikament – oder eine Frau bestellt einen Schwangerschaftstest, ohne dass der Ehemann dies mitbekommen soll. Auch der potenziell erleichterte Zugang auf Bankverbindungsdaten der Kundinnen und Kunden sowie von Lieferanten, Großhandel und der Apotheke selbst soll an dieser Stelle nicht gänzlich unerwähnt bleiben. Ist man einmal über eine Grenze eines Systems gekommen, vergrößert dies die Wahrscheinlichkeit von Angriffsversuchen oder des Versuchs, Daten weiterzuverkaufen. Denn: Jede verfügbare Information wird irgendwann von irgendwem genutzt.
Der bisherige Umgang des Apothekenbetreibers mit dem Thema zeugt von einer gewissen Unbeschwertheit bis Unbedarftheit: Zwar nutzte man den Vorfall im Nachgang für eine nette Werbung für Kondome (finden wir aus Marketingsicht natürlich klasse), schließt auf Nachfrage aber auch nur den Gedanken daran aus, das es vielleicht selbst einen Benutzerfehler gab oder dass das eigene IT System auch tiefergehend infiltriert worden sein könnte, auf welchem Weg auch immer. Ein externer IT Forensikexperte wurde demnach nicht kontaktiert.
Es ist deshalb nicht auszuschließen, dass eine potenziell vorhandene große Lücke weiterhin nicht geschlossen wurde, die weder etwas mit dem Teamviewer noch dem genutzten Apotheken TV System zu tun haben muss.
Man kann den Porno Hack strafrechtlich als ein Vergehen betrachten – man könnte ihn aber auch als White Hacking bewerten. Nämlich den unübersehbaren Hinweis durch ein Script Kiddie, dass da jemand anderes – wer auch immer – seine Hausaufgaben nicht gemacht hat, beziehungsweise mit einer „Leck mich anne Täsch“-Haltung unterwegs ist, die unbeteiligten Dritten finanzielle und weitere Schäden bescheren könnte. Denn wenn der iPhone Hacker wirkliche Schäden – die über das strafrechtliche Vergehen der öffentlichen Verbreitung pornografischer Schriften nach § 184 StGB hinausgehen – hätte anrichten wollen, dann hätte er das System schon vor Ausspielung schwitzender und sich windender Körper infiltriert, um Daten abzugreifen oder Schadcode einzuschleusen. Derzeit wird genau wegen dieses Straftatbestands, des Porno-Paragrafen, gegen Unbekannt ermittelt.
Hinweis der Redaktion: Wir haben mit allen Betroffenen, der Ermittlungsbehörde und externen Ansprechpartnern gesprochen. Zudem haben wir den Apothekenbetreiber mündlich und schriftlich auf mögliche weitere Risiken hingewiesen. Der gesamte Fall wurde anonymisiert.