Im Mittelpunkt von Epifanis Untersuchung steht die Frage, wie verbreitete Geräte ihre Daten ablegen. Er sammelte auf seinen weltweiten Reisen alles ein, was ihm begegnete – vom smarten Kühlschrank über Saugroboter bis zur vernetzten Kamera – und nahm die Geräte mit ins Büro, um ihre Datenspeicherung zu analysieren. “Bei IoT-Geräten kann man kein Passwort setzen”, sagt Epifani. “Es gibt keinen Schutz.”

Für Unternehmen entsteht das Problem dort, wo aufwendige Sicherheitsmaßnahmen wie Mehr-Faktor-Authentifizierung, strikte Passwortrichtlinien und Verschlüsselung durch ein unsicheres IoT-Gerät im selben Netzwerk unterlaufen werden. Heikel wird es, wenn Firmen ein Gerät mit demselben Amazon-, Google- oder Apple-Konto betreiben, das sie für Einkäufe nutzen, oder dasselbe Passwort mehrfach verwenden. Die Wiederverwendung von Konten und Zugangsdaten ermöglicht laterale Bewegung, bei der Angreifer von einem Gerät zum nächsten springen. “Ich habe Fälle gesehen, in denen Unternehmen über ihre IoT-Komponenten kompromittiert wurden”, berichtet Epifani.

Laut Epifani lassen sich teils ZIP-Archive abgreifen, die sämtliche Informationen und Audioaufnahmen der Nutzerinteraktionen über Jahre hinweg enthalten. Überwachungskameras seien eine besondere Gefahr, weil ihre Technik älter und schlechter geschützt sei als der Rest des Netzwerks – Angreifer nutzten sie als Einstiegspunkt.

Ein weiteres Risiko ist die achtlose Entsorgung. Da die Daten im Ruhezustand unverschlüsselt liegen, lassen sie sich bei einem über eBay weiterverkauften oder weggeworfenen Amazon Echo häufig wiederherstellen und für Identitätsbetrug missbrauchen. Apple verschlüssele Daten im Ruhezustand zwar, doch sei die Verschlüsselung nicht an einen Passcode gebunden, merkt Epifani an. “Wenn man einen Schlüsselbund über iCloud teilt, sind alle WLAN-Passwörter im Schlüsselbund des Apple TV gespeichert”, sagt er. In einem Fall habe man WLAN-Passwörter von anderen Geräten wiederhergestellt – und der Entsperrcode des Telefons war eines dieser WLAN-Passwörter.

Auch smarte Kühlschränke unterschätzt man laut Epifani: Sie verfügen über Webbrowser, speichern Passwörter und lassen sich per Handy steuern. Einen Teil dieser Untersuchung führte er an einer städtischen Recyclinganlage durch, in der solche Geräte lagen. “Wenn man da herankommt, kann man einen Teil des Lebens einer Person rekonstruieren”, erklärt er.

Dass kaum verschlüsselt wird – “bei IoT-Geräten sind 99 Prozent nicht verschlüsselt”, so Epifani – macht das Auslesen einfach und im Vergleich zum Angriff auf Smartphones oder Laptops günstig. Verschlüsselung sei wegen des Energiebedarfs teuer; das Gleichgewicht zwischen Preis und Sicherheit bleibe ein Dauerthema. “Manches ist eine Entscheidung. Ich weiß zum Beispiel nicht, warum Apple keine Option ergänzt hat, einen Passcode für das Apple TV festzulegen”, sagt er.

Epifanis Hauptziel ist es, das Bewusstsein der Nutzer zu schärfen. Geräte müssten Daten auch lokal speichern, um zu funktionieren, doch der Nutzer habe keine Möglichkeit, diese zu schützen. Unternehmen rät er zu getrennten Amazon-Konten für IoT-Geräte und zu einem separaten WLAN-Teilnetz, damit Angreifer bei einer Kompromittierung vom restlichen Netzwerk abgeschnitten bleiben. Er erwartet, dass die Hersteller zu sichereren Lösungen übergehen und mehr Geräte verschlüsseln – bei “Millionen, wahrscheinlich Milliarden” weltweit im Einsatz werde es jedoch Jahre dauern, bis sie ersetzt sind.