Der Vortrag verblüffte und sorgte für Schlagzeilen: Mit einem Stück Code hat ein Sicherheitsexperte live Zugriff auf ein Smart-TV-Gerät bekommen. Aus der Ferne, die Schadsoftware wurde über den Äther per DVB-T übertragen. Auch beim neuen DVB-T2 soll so etwas möglich sein.
Robert Esterer, Sicherheit-Experte beim IRT - Institut für Rundfunktechnik, beruhigt alle (terrestrischen) SmartTV-Zuschauer. „Die unter Laborbedingungen erlangten Kenntnisse lassen sich nicht ohne weiteres in reale Angriffe umsetzen.“ Angreifer müssten für jeden Angriffsversuch mit Spezial-Hardware und -Software vor Ort operieren und könnten aufgrund der begrenzten Reichweite deshalb immer nur relativ wenige Geräte erreichen. Dazu komme noch, dass nicht jedes SmartTV-Gerät automatisch verwundbar sei, sondern jeder Angriffsversuch gezielt auf gerätespezifische Sicherheitslücken zugeschnitten werden müsse. „Diese Einschränkungen machen einen solchen Angriff extrem aufwändig und damit unattraktiv.“
Und doch wurden Smart-TVs „in der Vergangenheit schon häufiger Ziel von Angriffen aus dem Internet“, sagt Marco Ghiglieri von der TU Darmstadt. Das habe im Wesentlichen zwei Gründe: Die Aktualisierungen für diese internetfähigen Fernsehgeräte kämen häufig zu spät auf die Geräte und die Sicherheitsüberprüfungen seitens der Hersteller scheinen dem Forscher auf einem niedrigeren Niveau zu sein.
Die Gefahr eines Angriffes über die Antenne ssei tatsächlich als begrenzt einzustufen, so werde etwa das terrestrische Fernsehsignal laut Statistik nur von ca. 6 % der Konsumenten genutzt und nicht alle dieser Konsumenten besitzen ein Smart-TV. Doch es bleibe eine Restgefahr. Und Ghiglieri betont: „Eine Beeinträchtigung des Smart-TVs ist nicht immer Hauptgrund für einen Angriff.“
Daher wünscht sich IRT-Experte Esterer, dass grundsätzlich für alle mit dem Internet verbindbaren Geräte Sicherheitsupdates über den gesamten Produktlebenszyklus bereitgestellt würden. „Da über das Internet alle angeschlossenen Geräte miteinander vernetzt sind, reicht eine auf Geräteklassen, wie z. B. SmartTV, eingegrenzte Betrachtungsweise nicht aus.“ Insbesondere bei Geräten, bei denen der Anwender selbst keinen Zugriff auf das Betriebssystem habe, sei der Kunde direkt vom Hersteller abhängig und auf die zeitgerechte Bereitstellung von Sicherheitsupdates angewiesen.
Der Darmstädter Forscher Ghiglieri sieht ebenfalls ein erhebliches Defizit bei der Verteilung und dem Bereitstellen von Updates. Er fordert klare Regeln vom Gesetzgeber. „Ein Beispiel könnte sein, dass auf der Verpackung schon vermerkt ist, wie lange die Updategarantie besteht.“