Ein Schlüssel fürs ungesicherte Smart Home
Dieser Artikel ist älter als ein Jahr!
Eine Türklingel, die das WLAN-Passwort des Eigenheims verrät. Ein Toaster, der mit dem Smartphone von Fremden aus der Ferne ein- und ausgeschaltet werden kann. Eine Baby-Überwachungskamera, die Bilder des schlafenden Kindes für alle sichtbar ins Internet überträgt. Eine Lampe, die sich plötzlich wie von selbst einschaltet. Eine Photovoltaik-Anlage, die sich von jedem aus dem Netz konfigurieren lässt. All diese Dinge sind mittlerweile Realität.
Forschung und Konferenzen
IT-Sicherheitsforscher beschäftigen sich mit den vermeintlich smarten Geräten, die mit dem Internet verbunden sind, auf Kongressen wie zuletzt dem 32. Chaos Communication Congress (#32c3) in Hamburg oder der Black Hat-Konferenz in Las Vegas und berichten regelmäßig über diese Lücken. Am Kongress in Hamburg wurde etwa bekannt, dass eine bestimmte Gegensprechanlage, die mit dem Smartphone zusammenarbeitet, das WLAN-Passwort verrät.
"Sicherheit erst an dritter Stelle"
Derartige Lücken entstehen, weil Hersteller von vermeintlich smarten Geräten den Sicherheitsaspekt während des Designprozesses oft vergessen oder für „nicht so wichtig“ nehmen, so Robin. „Die Geräte kommen aus einer Zeit, in der das Internet noch nicht existiert hat. Und aus dieser Zeit kommen auch die Hersteller dieser Geräte“, sagt der Security-Experte. „Sicherheit steht nach neuen Funktionen und Leistung erst an dritter Stelle. Das ist problematisch. Wenn ich mir ein Haus baue und dabei nicht überlege, ob das statisch korrekt ist, kann man nicht davon ausgehen, dass es nicht zusammenfällt“, so der Vergleich von Robin mit der analogen Welt.
Robin enthüllt dazu erschreckende Zahlen: Bei 50 Prozent der von der Sicherheitsfirma getesteten smarten Geräte lassen sich Sicherheitsmängel ausfindig machen, die sich mit einfachen Mitteln vermeiden lassen. „Es gilt in der Regel die Unsicherheitsvermutung, die man entkräften muss.“ Dabei sei es häufig gar nicht so schwierig, Security von Anfang an zu berücksichtigen. Es kostet einfach zusätzliche Zeit. Zeit, die viele Hersteller offenbar nicht bereit seien zu investieren, so Robin.
Gefahr für Zukunft
Diese Entwicklung ist durchaus gefährlich, weil die smarten, unsicheren Geräte, die jetzt angeschafft werden, für lange Zeit im Gebrauch bleiben werden. „Wer sich jetzt ein smartes Türschloss kauft, wird dieses nicht in zwei Jahren wieder austauschen“, so Robin.
Bis 2022 soll jeder Haushalt ungefähr 500 intelligente Geräte haben, besagen Prognosen. Dadurch wird das Thema zunehmend auch für Kriminelle interessant. „Je mehr Menschen ihre Häuser vernetzen oder auf Funk-Türschlösser setzen, desto interessanter werden solche Angriffsszenarien für Kriminelle“, warnt der IT-Sicherheitsexperte Tobias Zillner von Cognosec.
Druck von Kunden gefragt
Hersteller würden erst dann umdenken, wenn sich Konsumenten dies nicht mehr länger gefallen lassen. „Kunden müssten von sich aus sagen, dass sie mehr Sicherheit wollen und ihre Kaufentscheidung davon abhängig machen“, sagt Robin. Ein Problem dabei sei derzeit, dass es keinerlei „Sicherheitssiegel“ für smarte Geräte gebe, so Robin. Hier würden sich ähnlich wie beim Auto sogenannte Sterne-Ratings wie EURO NCAP anbieten. "Das ist wie mit dem Bio-Siegel. Wenn Kunden kein Bio einfordern würden, gebe es auch keines."
Kunden, die ihr Heim vernetzen wollen, seien derzeit zudem gefragt, ihre Geräte selbst sicherer zu machen. Dies können sie etwa tun, in dem sie ihre smarten Heimgeräte nicht in dasselbe WLAN-Netz hängen, mit dem sie im Internet surfen. Oder aber sie verzichten auf die Steuerung per Smartphone-App und definieren nur ein Gerät, von dem aus sie das vernetzte Heim steuern. "Es ist auch eine gewisse Mündigkeit vom Konsumenten erforderlich", so Robin.
Potential für Schaden
Bei manchen Dingen kann es aber rasch lebensgefährlich werden, wenn diese aus der Ferne von Fremden gesteuert werden können. "Wenn ein mit Medikamenten gefüllter Kühlschrank ausgeschaltet wird und die Kühlkette länger unterbrochen ist, ist das gefährlich. Oder ein Toaster, der aus der Ferne eingeschaltet wird, lässt sich als Brandherd missbrauchen. Da hört sich der Spaß auf, weil Leib und Leben gefährdet wird." Hier sei es sehr wohl Aufgabe des Gesetzgebers für gewisse Rahmenbedingungen zu sorgen und die Hersteller in die Pflicht zu nehmen, so Robin.
Kommentare