IT-Sicherheit Das sollten Sie über die große Bluetooth-Sicherheitslücke wissen

Hacker könnten Geräte per Bluetooth übernehmen.

(Foto: dpa)
  • Die Sicherheitslücke "Blueborne" bedroht mehrere Milliarden Geräte - zumindest in der Theorie.
  • Tatsächlich ist das Risiko eher gering. Bislang gibt es keine Anzeichen, dass Kriminelle die Schwachstelle ausnutzen.
  • Betroffen sind die meisten Geräte mit Bluetooth-Verbindungen; vor allem Android-Smartphones und -Tablets sowie intelligente Haushaltsgeräte.
Von Marvin Strathmann

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Schalten Sie die Bluetooth-Funktion aus, bis Updates für ihr Gerät zur Verfügung stehen. "Über fünf Milliarden Geräte mit Bluetooth-Funktion sind von mehreren Sicherheitslücken betroffen", schreibt die Sicherheitsbehörde. Diese enorme Zahl haben viele Medien aufgegriffen und in beängstigende Schlagzeilen verwandelt.

Dennoch besteht kein Grund zur Panik: Das Risiko, dass Hacker deshalb ihr Smartphone kapern, ist derzeit gering. Die IT-Sicherheitsfirma Armis hat acht Schwachstellen in Bluetooth-Verbindungen gefunden und sie Blueborne genannt. In einem Video zeigt die Firma, wie ein Hacker ein Android-Handy übernimmt. Theoretisch könnten Kriminelle Schadsoftware installieren und private Daten auslesen. Bislang gibt es aber keine Belege, dass die Lücke aktiv ausgenutzt wird. Zwar warnen die Sicherheitsforscher zurecht vor der theoretischen Gefahr, aber eine unmittelbare Bedrohung besteht (noch) nicht.

Die wichtigsten Antworten zur Blueborne-Sicherheitslücke:

Welche Geräte sind betroffen?

Generell geht es um alle Geräte, die Bluetooth-Verbindungen aufbauen können. Vor einigen Jahren wären das in erster Linie Smartphones, Tablets oder Laptops gewesen. Mittlerweile gibt es aber auch etliche vernetzte Haushaltsgeräte wie Kühlschränke oder Toaster, die per Bluetooth funken. Die Lücke findet sich nicht direkt im Bluetooth-Protokoll, sondern hängt davon ab, wie ein bestimmtes System mit Bluetooth umgeht. Daher muss man je nach Betriebssystem differenzieren:

  • Android: Armis warnt, dass alle Android-Geräte mit Bluetooth betroffen seien, solange nicht ein bestimmtes, besonders energiesparendes Bluetooth-Protokoll genutzt werde. Google hat bereits Updates zur Verfügung gestellt, die das Problem lösen sollen. Die Hersteller der Geräte müssen aber mitspielen. Wenn Samsung, HTC oder Sony die Patches nicht an ihre Kunden weitergeben, bleiben deren Smartphones und Tablets angreifbar. Insbesondere ältere Modelle erhalten die Updates oft nur mit großer Verzögerung oder gar nicht. So hat etwa Armis dreimal versucht, Samsung zu erreichen, aber keine Stellungnahme erhalten. Während Googles eigene Nexus- und Pixel-Geräte bereits geschützt sind, müssen sich Kunden anderer Firmen noch gedulden. In jedem Fall sollten sie Sicherheitsupdates sofort installieren, sobald diese angeboten werden.
  • Windows: Bei Microsofts Betriebssystem waren alle Versionen ab Windows Vista anfällig für Blueborne, also Windows Vista, 7, 8 und 10. Microsoft hat die Sicherheitslücke mit Patches im Juli und September geschlossen. Wer die Updates noch nicht installiert hat, sollte das nun tun. Nutzer von Windows Vista erhalten aber seit April gar keine Sicherheitsupdates mehr. Blueborne sollte für sie nun der endgültige Anlass sein, auf ein neueres Betriebssystem zu wechseln.
  • iOS: Apples mobiles Betriebssystem ist kaum betroffen. Lediglich ältere iPhones, iPads oder iPods mit iOS 9.3.5 und niedriger oder Apple TVs mit Version 7.2.2 oder niedriger sind für die Lücke anfällig. Armis empfiehlt, die neueste Version von iOS zu installieren. Das haben ohnehin fast alle Apple-Nutzer getan. Im Gegensatz zu Google schafft es Apple, die Zahl der Geräte mit veralteten Versionen des Betriebssystems gering zu halten.
  • Linux: Auf vielen vernetzten Geräten für den Haushalt läuft Linux im Hintergrund, von der smarten Glühbirne bis zum Staubsauger - mit Blueborne könnten sie übernommen werden, wenn sie über Bluetooth verfügen. Bislang gibt es noch keine Sicherheitsupdates für diese Systeme. Allerdings wäre ein erfolgreicher Hack bei den meisten dieser Geräte weniger schwerwiegend als beispielweise bei einem Smartphone, da sie keine oder nur wenige sensible Daten der Nutzer speichern.

Wie läuft der Angriff ab?

Potenzielle Opfer müssen keinen verseuchten Link anklicken oder eine manipulierte Datei herunterladen. Sie müssen nicht mal eine Internetverbindung aufbauen: Es reicht aus, wenn Bluetooth aktiviert ist.

Geräte mit Bluetooth suchen dauerhaft nach anderen Geräten, mit denen sie sich verbinden können. Das können Hacker ausnutzen und sich heimlich mit dem betroffenen Gerät verbinden - ohne, dass dessen Besitzer etwas davon mitbekommt. Denn der erhält keine Nachricht, dass eine neue Verbindung aufgebaut wurde, wie es sonst bei Bluetooth der Fall wäre (Pairing oder Kopplung genannt). Allerdings muss sich der Hacker in der Nähe seines Ziels aufhalten, in einem Umkreis von maximal zehn Metern.

In einem Erklärvideo warnt Armis, dass sich Blueborne-Angriffe nach dem Schneeballsystem verbreiten könnten: Ein Paketbote, der unwissentlich mit einem manipulierten Gerät herumläuft, stoppt bei einer Bank und infiziert andere Geräte von Kunden, Mitarbeitern oder sogar das System der Bank. Auf seiner Route würde der Paketbote weitere Geräte infizieren, die wiederum Schadsoftware an andere Geräte in der Nähe per Bluetooth weiterleiten. Aber das ist nur eine theoretische Möglichkeit, bisher gibt es keine Schadsoftware, die sich so verhält.

Wie können Nutzer sich schützen?

Nutzer von Bluetooth-Geräten sollten alle aktuellen Sicherheitsupdates installieren und gegebenenfalls beim Hersteller nachfragen. Android-Nutzer können mit einer speziellen App von Armis prüfen, ob ihr Smartphone oder Tablet betroffen ist. Außerdem sucht die App in der Nähe nach weiteren betroffenen Geräten.

So stellt sich Google die Zukunft von Android vor

Android-Chef Hiroshi Lockheimer spricht über Googles Pixel-Smartphone, das Verhältnis zu Apple und erklärt, warum ihn die langsamen Updates der Hersteller frustrieren. Von Marvin Strathmann mehr ...

Generell empfiehlt es sich, Bluetooth nur dann einzuschalten, wenn Sie die Funktion auch wirklich benötigen. Das schützt nicht nur vor Blueborne, sondern schont auch den Akku des Geräts.

Wie groß ist die Gefahr wirklich?

Blueborne erinnert an Stagefright: eine Sicherheitslücke für Android-Smartphones, die es Angreifern erlaubt Mikrofon und Kamera zu übernehmen. Im August 2015 bezeichnete auch die SZ Stagefright als die "Mutter aller Android-Schwachstellen". Den Zahlen nach stimmte das damals auch, 950 Millionen Geräte waren betroffen - allerdings nur theoretisch. Bis heute ist die befürchtete Angriffswelle ausgeblieben, obwohl viele Geräte immer noch nicht dagegen geschützt sind, weil Nutzer keine Updates installiert oder die Hersteller erst gar keine angeboten haben.

Bislang gibt es ebenfalls keine Anzeichen, dass ein Hacker die Blueborne-Schwächen ausgenutzt hat. Außerdem muss sich der Angreifer in der Nähe seiner Opfer befinden, was großangelegte Attacken drastisch erschwert. Wer Bluetooth gar nicht nutzt, muss sich ohnehin keine Sorgen machen.

Sicherheitslücken in Android oder Linux betreffen schnell Hunderte Millionen oder einige Milliarden Geräte. Das müssen Nutzer und vor allem die Hersteller der Geräte ernst nehmen, sollten dabei aber nicht in Panik verfallen. Manchmal haben diese Fälle sogar ihr Gutes: Als Reaktion auf die Stagefright-Lücke hat Google monatliche Sicherheitsupdates eingeführt. Vielleicht entscheiden sich die Hersteller nun, gemeinsam Bluetooth sicher machen und Android-Updates endlich ernster zu nehmen.

Warum Android-Nutzer neidisch auf Apple-Kunden sein sollten

"Eine Milliarde Smartphones bedroht": Solche Nachrichten über Android-Sicherheitslücken häufen sich. Schuld sind Hersteller wie Samsung, Sony und HTC. Analyse von Simon Hurtz mehr... Analyse