Selbst mit starker Verschlüsselung bildet das Internet der Dinge (Internet of Things, kurz IoT anm.d.Red.) eine Gefahr für die Privatsphäre der Nutzer. Das hat jüngst eine Studie der Princeton University ergeben. Das Problem: Verschiedene IoT-Geräte, wie Sicherheitskameras oder ein Amazons Echo, erzeugen eine recht charakteristischen Datenstrom (engl. Traffic). Somit können selbst verschlüsselte Datenströme empfindliche Details verraten, wenn jemand den Netzwerkverkehr entsprechend analysiert.
Datenströme
„Wir waren überrascht davon, wie leicht es für einen passiven Netzwerk-Beobachter wäre, aus verschlüsseltem Smart-Home-Traffic auf das Nutzerverhalten zu schließen“,
schreiben die Autoren der Studie. Zu dem Ergebnis kommt das Team aufgrund einer Analyse des Datenverkehrs von vier Geräten, darunter ein Schlafmonitor, eine Sicherheitskamera, ein Amazon Echo sowie einem WeMo-Switch von Belkin, der der Heim-Automatisierung dient.
Problem
Jedes der sensorbestückten Geräte erzeugt Datenströme mit einem bestimmten charakteristischen Profil. Dieses Profil bleibt trotz Verschlüsselung erkennbar, so dass das ein Informationsleck bedeutet. Wenn jemand das Netzwerk überwacht und Datenströme analysiert, was beispielsweise für den betreffenden Internetanbieter theoretisch nicht schwer ist, könnte dieser somit aus dem verschlüsselten IoT-Traffic einiges herauslesen.
Der getestete Schlafmonitor beispielsweise verrät das Schlafmuster, während bei Amazons Echo der Analyse zufolge am Traffic klar erkennbar ist, wann der Nutzer dem Gerät eine Frage stellt. Das scheint auf den ersten Blick nicht allzu bedenklich, wenn die Frage selbst verschlüsselt ist. Doch könnte die Information allein schon darüber Auskunft geben, wann jemand ein bestimmtes Gerät benutzt.
Technische Tricks
„Wir wären nicht überrascht, wenn viele andere derzeit erhältliche Smart-Home-Geräte ähnliche Privacy-Schwachstellen hätten“, so die Studienautoren.
Sie betonen zudem, dass sie einfach nur die Datenraten von verschlüsseltem Traffic analysiert haben, jedoch nicht Datenpakete per Deep Packet Inspection. Um die Privatsphäre im Internet der Dinge wirksam zu schützen, scheinen technische Tricks nötig. Schon die Nutzung von Lösungen wie VPN-Tunneln könnte dem Team zufolge eine Analyse der Datenströme erschweren. Eine systematische Lösung zum Schutz der Privatsphäre müsste jene Traffic-Charakteristiken unkenntlich machen, die letztlich Informationen über das Nutzerverhalten preisgeben.
