10 Millionen infizierte Fernseher: Dein Wohnzimmer könnte ein Helfershelfer der Hacker sein

10 Millionen infizierte Fernseher: Dein Wohnzimmer könnte ein Helfershelfer der Hacker sein

IoTSicherheitSmart HomeDatenschutz

Quellen:Lobsters + web research · HN

Am 2. Juli 2026 beschlagnahmte das FBI (Federal Bureau of Investigation) mehrere hundert Domains. Hinter diesen Domains verbargen sich mehr als zwei Millionen Smart-TVs und TV-Boxen gewöhnlicher Haushalte. Ihnen war heimlich Schadsoftware aufgespielt worden, die – völlig ohne dein Wissen – dein Heimnetzwerk in eine „Relaisstation“ für Kriminelle verwandelte.

Im Juni dieses Jahres veröffentlichte die Sicherheitsforscherin Xe Iaso auf ihrem Blog einen kurzen Beitrag mit dem Titel „You should probably check on your smart appliances“. Der Artikel zitierte eine Reihe von Honeypot-Daten des Anubis-Anti-Bot-Systems: Von den abgefangenen Crawler-Anfragen stammten 89,3 % von IP-Adressen, die auf keiner einzigen Bedrohungsüberwachungsliste stehen – über 2,6 Millionen eigenständige IPs, allesamt Adressen gewöhnlicher privater Breitbandanschlüsse. Iaso vermutet, dass der Großteil dieses Traffics von gekaperten Smart-Geräten stammt: Fernsehern, Kühlschränken, Routern, sogar digitalen Bilderrahmen.

Der Beitrag erhielt auf der Tech-Community Lobsters 73 Votes, doch die Kommentare legten ein peinliches Faktum offen: Die Sicherheitsbranche weiß, dass diese Geräte unsicher sind – das Problem ist nur: Wie prüft man das? Wie stellt man es fest? Wie geht man damit um? Darauf hatte niemand eine allgemeingültige Antwort.

Schematische Darstellung vernetzter Smart-Home-Geräte Abb.: Die Smart-Geräte eines modernen Haushalts sind alle mit dem Internet verbunden – jeder einzelne kann zum Angriffspunkt werden. Quelle: Internet

Kein Science-Fiction: Dein Fernseher arbeitet wirklich für andere

Falls du denkst, „gehackte Smart-Geräte“ seien bloß ein Hirngespinst der Tech-Szene, dann solltest du einen Blick auf die folgenden Zahlen werfen.

Ende 2025 enthüllte Googles Sicherheitsteam ein Botnetz namens BadBox 2.0. Es hatte über 10 Millionen Android-basierte Geräte infiziert – Smart-TVs, TV-Boxen, Tablets, digitale Projektoren. Entscheidend dabei: Die Schadsoftware wurde nicht etwa vom Nutzer selbst heruntergeladen. Sie war bereits ab Werk auf dem Gerät vorinstalliert. Die günstige No-Name-TV-Box, die du im Laden oder online gekauft hast, ist in dem Moment, in dem du die Verpackung öffnest, bereits ein Knotenpunkt im kriminellen Netzwerk.

Im Jahr 2026 tauchte ein weiteres Botnetz namens Popa auf. Dieses Mal „nur“ über zwei Millionen Geräte, aber sein Geschäftsmodell war noch ausgereifter: Popa bündelte den Netzwerktraffic der gekaperten Geräte zu einem sogenannten „Residential Proxy Network“ namens NetNut und verkaufte es zum Festpreis an all jene, die ihre echte IP verbergen wollten – Werbebetrugsbanden, Credential-Stuffing-Hacker, Massen-Crawler von KI-Unternehmen, sogar nachrichtendienstliche Operationen auf Staatsebene. Googles Threat-Intelligence-Team beobachtete innerhalb einer einzigen Woche 316 verschiedene kriminelle Organisationen, die NetNuts Knotenpunkte nutzten. Und NetNuts Betreibergesellschaft Alarum Technologies ist ein an der NASDAQ gelistetes israelisches Unternehmen.

Das FBI beschlagnahmte am 2. Juli die Domains von NetNut. Doch eine Domain zu beschlagnahmen und ein 2-Millionen-Knoten-Botnetz zu demontieren, sind zwei paar Schuhe.

Schematische Darstellung eines IoT-Botnetz-Angriffs Abb.: IoT-Botnetze verwandeln die Geräte unzähliger Haushalte in Angriffswerkzeuge. Quelle: Sicherheitsforschungsbericht

Wie dein Fernseher „erwischt“ wird

Beim Fernsehkauf betrachtet ihn kaum jemand als Computer. Doch die Wahrheit ist: Moderne Smart-TVs laufen mit einem vollwertigen Betriebssystem – Android TV, Tizen, webOS – und haben, genau wie das Laptop auf deinem Schreibtisch, einen Prozessor, Arbeitsspeicher, eine Netzwerkverbindung und natürlich angreifbare Schwachstellen.

Ein gewöhnlicher Smart-TV hat in der Regel folgende „Angriffspunkte“:

  • Ab Werk vorinstallierte Schadsoftware (so läuft es bei BadBox 2.0): Schon in der Lieferkette eingepflanzt, infiziert der Nutzer beim Nachhause-Tragen.
  • „Trojanische Pferde“ im App-Store: Eine Untersuchung einer Sicherheitsforschungseinrichtung zum LG-webOS-App-Store ergab, dass über 42 % der Apps ein Proxy-SDK eingebettet hatten, das den Fernseher des Nutzers in einen Traffic-Relaisknoten verwandeln konnte. Bei Samsungs Tizen-Plattform sah es etwas besser aus, doch auch dort schleppten mehr als ein Viertel der Apps dasselbe SDK mit sich. Diese SDKs verstecken sich in Videoplayern, Bildschirmschonern und Systemwerkzeugen; sie zeigen keine Pop-ups, benötigen keine Berechtigung und laufen einfach los, sobald sie installiert sind.
  • Piraten-TV-Apps: Dies war ein Punkt, der in der Lobsters-Diskussion von mehreren Sicherheitsexperten immer wieder genannt wurde. Viele Menschen installieren auf dem Fernseher aus Gründen des kostenlosen Serien-Schauens Apps von zweifelhafter Herkunft. Diese Apps schmuggeln häufig Schadcode ein, und das Fernsehsystem verfügt weder über eine Berechtigungsverwaltung wie das Smartphone noch über einen App-Prüfmechanismus.
  • Remote-Debugging-Ports: Manche Android-TVs öffnen standardmäßig den ADB-Debugging-Port (Port 5555), über den Angreifer direkt per Netzwerk auf das Gerät zugreifen und die volle Kontrolle erlangen können. Das im Mai 2026 entdeckte Botnetz xlabs_v1 rekrutierte seine „Zombies“ gezielt durch das Scannen dieses Ports.

Verbindet man all das, ergibt sich eine vollständige Angriffskette: No-Name-Hersteller drücken die Kosten, verkaufen „Smart“ als Verkaufsargument und investieren keinen Cent in Sicherheit; Drittanbieter von SDKs verpacken Proxy-Funktionen als „Ad-Tech“ und schleusen sie unter legitimem Deckmantel in den App-Store; Nutzer installieren für kostenlose Inhalte Piraten-Apps; Kriminelle mieten diese Knotenpunkte und nutzen deine private IP für ihre eigenen Zwecke.

Warum dein Internet langsamer wird – die Folgen der Kaperung

Ein infizierter Smart-TV zeigt dir normalerweise keine direkt wahrnehmbaren Anomalien. Er poppt kein Fenster auf mit „Ich arbeite gerade für andere“. Auf einer für dich unsichtbaren Ebene könnte er jedoch gleichzeitig all dies tun:

  • Als DDoS-Angriffsknoten fungieren: Dein Fernseher und tausende andere Geräte senden gemeinsam eine Flut von Anfragen an eine Website und drücken sie in die Knie. Deine Bandbreite ist belegt, und du denkst nur: „Warum ist das Internet neuerdings so langsam?“
  • Als verschlüsselter Traffic-Proxy dienen: Kriminelle starten über deine private IP Angriffe, versenden Phishing-Mails, betreiben Credential Stuffing – wenn Ermittler die IP zurückverfolgen, landen sie am Ende bei dir zu Hause.
  • Krypto-Mining: Auch wenn die Rechenleistung eines Fernsehers begrenzt ist, reicht es bei einigen zehntausend Geräten gemeinsam; die Stromkosten verteilen sich auf die einzelnen Haushalte – du zahlst, der Gewinn geht an ihn.
  • Werbebetrug: Im unsichtbaren Hintergrund simuliert dein Gerät Nutzerklicks auf Werbung und spielt Videos ab, um der Schwarzmarktbranche Geld von Werbetreibenden zu erschwindeln.
  • Abhören: Nahezu alle Smart-TVs haben ein eingebautes Mikrofon (für die Sprachsteuerung). Schon 2015 räumte Samsung öffentlich ein, dass seine Spracherkennung Umgebungsgespräche an Dritte weiterleitet. Wenn ein Fernseher von Schadsoftware kontrolliert wird, lässt sich das Mikrofon aus der Ferne aktivieren.

Sicherheitsrisiken bei Smart-TVs Abb.: Sicherheitslücken in Smart-TVs und ähnlichen Geräten können deine Privatsphäre völlig entblößen. Quelle: Internet

Die Frage stellt sich: Wie weiß ich, ob mein Fernseher betroffen ist?

Dies war der am stärksten gevotete Kommentar in der Lobsters-Diskussion – und der ursprüngliche Autor Iaso antwortete offen: Es gibt keine allgemeingültige Methode.

Warum? Weil ein Smart-TV ein geschlossenes System ist. Du kannst ihm nicht wie einem Computer eine Antivirensoftware aufspielen und auch keine Prozessliste einsehen. Der Hersteller gibt dir diese Berechtigung nicht.

Jemand schlug vor, die DNS-Anfragen im Heimnetzwerk zu überwachen – also zu prüfen, mit welchen fremden Domains dein Fernseher kommuniziert. Doch dieser Trick verfängt nicht bei Schadsoftware, die DoH (DNS-over-HTTPS, also DNS-Abfragen über einen verschlüsselten Kanal) nutzt. Andere empfahlen, die Traffic-Logs am Router zu prüfen, was jedoch einen Router mit flashbarer Firmware voraussetzt sowie die Bereitschaft, Zeit in das Lesen von Logs zu investieren – für gewöhnliche Haushalte eine zu hohe Hürde.

Der Konsens in der Sicherheitscommunity lässt sich in etwa auf folgende Punkte einigen:

Erstens: Installiere keine Apps von zweifelhafter Herkunft auf dem Fernseher. Insbesondere sogenannte Apps zum „kostenlosen Anschauen des gesamten Netzes“ oder „Serien schauen ohne Abo“ – sie sind keine Wohlfahrtsprojekte; der Preis, den du zahlst, könnte dein Heimnetzwerk sein.

Zweitens: Schließe den Fernseher nicht ans Netz an. Das ist kein Scherz. Wenn du für Inhalte ein externes Apple TV, Chromecast oder eine Spielekonsole nutzt, lässt sich die Vernetzungsfunktion des Smart-TVs selbst problemlos deaktivieren. Viele, die die Vernetzung gekauft haben, nutzen in der Praxis nur den HDMI-Eingang – du verwendest den „smarten“ Teil gar nicht, trägst aber das volle Sicherheitsrisiko.

Drittens: Wenn du eine günstige No-Name-Android-TV-Box gekauft hast, sei besonders vorsichtig. Diese Geräte sind das Hauptopfer von BadBox 2.0 – ab Werk infiziert, ohne dass du irgendeinen Spielraum hättest. Die sicherste Vorgehensweise ist, unbekannte Marken gar nicht erst zu kaufen.

Viertens: Ein Router kann wenig ausrichten, aber besser als nichts. Falls dein Router eine „Gastnetzwerk“-Funktion unterstützt, kannst du die Smart-Geräte separat in ein Gastnetzwerk legen und so von deinem Smartphone und Computer isolieren. So kann ein Angreifer, selbst wenn der Fernseher kompromittiert ist, nicht über ihn auf die Daten deiner anderen Geräte zugreifen.

Fünftens: Achte auf Veränderungen bei Stromverbrauch und Internetgeschwindigkeit. Wenn du bemerkst, dass die Router-LEDs wild blinken, obwohl niemand zu Hause im Internet ist, oder der Stromverbrauch merklich ansteigt, kann das ein Signal sein – zwar nicht beweisend, aber durchaus beachtenswert.

Die Frontlinie: Das langfristige Tauziehen zwischen Komfort und Sicherheit

Die Wurzel des Problems bei der Sicherheit von Smart-Geräten liegt in widersprüchlichen Interessen der Beteiligten.

Für den Hersteller ist „Smart“ ein Aufpreis-Etikett. Ein gewöhnlicher Fernseher kostet 2000, mit „KI-Sprachsteuerung“ lässt er sich für 3500 verkaufen – die zusätzlichen 1500 entfallen vielleicht auf einen 50-Yuan-Chip und ein kostenloses Open-Source-Android-System. Und Sicherheitsupdates? Die sieht der Nutzer nicht, sie beeinflussen den Absatz nicht – warum also investieren?

Für den Nutzer ist Komfort ein echtes Bedürfnis. Sprachsuche nach Filmen, Bildschirmspiegelung vom Smartphone, App-Fernsteuerung – das sind alles nützliche Funktionen. Vom Nutzer zu verlangen, für die Sicherheit auf Komfort zu verzichten, war auf dem Verbrauchermarkt nie eine wirksame Strategie.

Für den Angreifer ist das Smart-Gerät eine „perfekte Beute“: rund um die Uhr online, ausreichend leistungsfähig, vom Nutzer nie überprüft, vom Hersteller nie gepatcht. Ein Fernseher hält fünf bis zehn Jahre, doch seine System-Sicherheitspatches könnten schon im zweiten Jahr nach der Auslieferung enden.

Die europäische Cyber Resilience Act (Gesetz zur Cyber-Resilienz) verlangt, dass ab Ende 2027 alle in der EU verkauften vernetzten Geräte Sicherheitsupdates, sichere Standardkonfigurationen und die öffentliche Offenlegung von Schwachstellen bereitstellen müssen. Das ist ein Schritt in die richtige Richtung. Doch weltweit können Anbieter billiger Hardware weiterhin Schlupflöcher in der Regulierung nutzen und unsichere Hardware in Märkte mit lockerer Aufsicht abstoßen.

Ich will hier keine Lösung zum „völligen Beheben“ anbieten – denn sie existiert nicht. Das Einzige, was man tun kann, ist, genügend Menschen für diese Sache zu sensibilisieren, damit „Mein Fernseher könnte ein Problem haben“ nicht länger wie eine Idee aus einem Science-Fiction-Film klingt. Schließlich besteht der erste Schritt der Sicherheit doch stets darin, einzugestehen, dass man möglicherweise unsicher ist.

Referenzen:

  • Xe Iaso: You should probably check on your smart appliances
  • Lobsters-Diskussion (s/slrak5)
  • Google Official Blog: Taking legal action against BadBox 2.0 botnet
  • Hive Security: FBI Seizes NetNut — How a 2-Million-Device Proxy Botnet Hid Inside Smart TVs
  • Gblock: Your Smart TV Is Secretly Routing Hacker Traffic
  • SecurityWeek: Google Sues Operators of 10-Million-Device BadBox 2.0 Botnet