Neuere Yachten nutzen viele smarte Geräte, die mit dem Internet verbunden sind. Das könnte sie zu einem attraktiven Ziel für Hacker machen. Das hat ein Forscher der Rosen Group bei einem Sicherheitsgipfel demonstriert. So sollen moderne Yachten oft viele Sicherheitslücken besitzen, die von außen manipuliert werden können, wie auch Kaspersky warnt. Etwa nutzen die Router ein unsicheres FTP-Protokoll, welches gehackt werden könnte. Das würde einen Zugriff auf Systeme wie GPS, Vessel Traffic Service (dem System, mit dem der Schiffsverkehr kontrolliert wird), oder den Autopiloten erlauben.

Unverschlüsselt

Der Forscher hat auch ein Beispiel vorgeführt: Er öffnet auf Tablet, Handy und PC eine App, mit der man die Yacht überwachen kann. Diese verbindet sich mit einem Router und lädt eine XML-Datei herunter, die viele sensible Daten wie die hartkodierten Router-Zugangsdaten, WiFi SSID und Passwort beinhaltet – gänzlich unverschlüsselt. Die Übertragung ist über ein unsicheres FTP-Protokoll geschehen – ein Hacker kann also leicht an die Daten gelangen und diese nutzen, um jedes einzelne mit dem Netz verbundene Gerät zu kontrollieren. Er könnte auch etwa Überwachungskameras an sich reißen und so Video und Ton mitschneiden.

Update

Auch soll das Betriebssystem des Routers ein Nutzerkonto mit vollem Root-Zugriff haben. Dieses könnte laut Kaspersky ebenfalls gefährlich sein. Nach der Vorführung auf dem Gipfel hat der namentlich nicht genannte Yachthersteller einen Sicherheitsupdate ausgeliefert, der das Netzwerk-Protokoll von FTP zu SSH verändert hat. Allerdings bleiben die Zugangsdaten zum Router vorgegeben und wurden nur zu einem komplizierteren Passwort verändert.

Gutes Spionageopfer

"Wir haben nicht viele Tipps für Yachtbesitzer", schreibt Kaspersky. Das smarte Angebot auf Yachten wird zumeist als Komplettlösung ausgeliefert, weswegen empfohlen wird, auf den Hersteller zu achten. Und nachdem viele reiche Yachtbesitzer womöglich Bekanntheit genießen, könnten sie ein beliebtes Ziel für Lauschangriffe werden. Aus diesem Grund sollen Hersteller der IT-Sicherheit mehr Aufmerksamkeit schenken und "Experten voraushandelnd involvieren, anstatt auf ernste Leaks zu warten, für die sie – zu Recht – die Schuld tragen werden", konkludiert Kaspersky. (red, 17.3.2018)