Smart-Home-Geräte: Cool, neu, aber potenziell unsicher
Dieser Artikel ist älter als ein Jahr!
Die Automatisierung von Haushalten wird auf vielen Fronten stark vorangetrieben. Eine Schlüsselrolle haben kleine, vernetzte Geräte, die das Eigenheim zum Smart Home machen. Viele davon sind sprachgesteuert und sollen so für alle Haushaltsmitglieder einfach benutzbar sein. Die niedrige Eintrittsschwelle bringt jedoch auch Sicherheitsrisiken mit sich, weiß Katharina Krombholz vom CISPA Helmholtz-Zentrum für Informationssicherheit in Saarbrücken. Sie hat zuletzt gemeinsam mit ihrem Kollegen Alexander Ponticello auf der Sicherheitskonferenz IT-S NOW an der FH Campus Wien vorgetragen. Die futurezone hat mit ihr gesprochen.
Garagentor öffnen und Heizung regulieren
"Smart-Home-Assistenten sind sehr praktisch. Aber es ist ein fundamentales Problem, dass sie immer mehr Funktionen zur Verfügung stellen, die sicherheitskritisch sind. Sie können etwa Garagentore aufsperren, Heizungen regulieren oder auch Bankgeschäfte tätigen", sagt Krombholz. Aus diesem Grund müsse geklärt werden, wer gerade mit dem Gerät spricht. "Man braucht eine Zutrittskontrolle."
Der klassische Weg, ein Passwort, sei in Kombination mit Sprachsteuerung suboptimal. Smart-Home-Geräte rühmen sich zwar oft damit, durch Stimmmuster genau erkennen zu können, wer gerade mit ihnen spricht - In der Praxis ließe sich dieses System aber leicht überlisten. "Wir haben versucht, bei Alexa nichttechnische Hacks zu finden. In vielen Fällen hat es funktioniert, wenn man versucht, die Stimme einer anderen Person zu imitieren und mit ihr ein Passwort anzusagen."
Bei der Authentifizierung per Stimme gebe es sicherlich Fortschritte, meint Krombholz. Dem gegenüber stehen allerdings Entwicklungen wie Deep Fakes - die Imitation von Personen mittels künstlicher Intelligenz - mit großem Potenzial zur Manipulation.
Sicherheit bei einfacher Nutzbarkeit
Möglichkeiten wie die physische Eingabe von Passwörtern seien laut Krombholz nicht sinnvoll. Die Usability, also einfache Benutzbarkeit von Geräten, sei maßgeblich für das Funktionieren von Sicherheitsmechanismen. "Wir wissen aus täglicher Evidenz, dass Usability ein Hauptproblem mit Blick auf die Sicherheit ist." Ein grundlegender Fehler bei der Entwicklung von Geräten, die zum "Internet der Dinge" (Internet of Things, IoT) zählen, sei "Dinge, die in der Mobilwelt bereits nicht gut funktionieren, einfach zu IoT zu übertragen."
Biometrische Authentifizierung, so wie sie bei Mobilgeräten weit verbreitet ist, sei laut der Forscherin gefährlich. "Passwörter kann man erneuern, Fingerabdrücke nicht." Anhand biometrischer Daten ließen sich Personen außerdem noch wesentlich genauer überwachen, "deshalb müssen User*innen aufpassen, welchem Unternehmen sie derartige Daten zur Verfügung stellen". Der Datenhunger von Unternehmen sei generell nicht zu unterschätzen. "Geräte, die per Mikrofon mithören, übermitteln viel mehr Daten als man glaubt. Die Hersteller verneinen das zwar, aber die Praxis sieht anders aus."
Frage nach dem Mehrwert
Dass IoT-Geräte permanent mit dem Internet verbunden sind, sei ein grundlegendes Problem, sagt Krombholz. "Es gibt einen Trend, dass alles über das Internet laufen muss. Das ist aber nicht überall notwendig." Will man bislang offline funktionierende Systeme durch internetbasierte ersetzen, solle man zuerst abwägen, ob dies sinnvoll ist.
Ein Beispiel seien smarte Türschlösser. "Wenn ein Unternehmen nicht will, dass die Mitarbeitenden zu jeder Zeit überall Zutritt haben, macht das Sinn. Aber es ist fraglich, ob es einen Mehrwert hat, wenn man zuhause einen digitalen Schlüssel verwendet. Dadurch können zusätzliche Probleme auftreten, etwa bei einem Stromausfall."
Nähe bringt Vorteile
Konkrete Konzepte, die Sicherheit von Smart-Home-Lösungen von Grund auf neu zu denken, gebe es laut der Forscherin derzeit nicht. Ein guter Ansatz wäre allerdings, an Edge-Lösungen zu arbeiten, die im Normalbetrieb ohne Internetverbindung auskommen. "Wenn das Gerät nicht 24/7 mit dem Internet verbunden ist, kann das aus sicherheitstechnischer Sicht ein Vorteil sein."
Ein Beispiel sind Geräte, die mittels Bluetooth-Verbindung und Apps durch Mobilgeräte steuerbar sind. Sie setzen voraus, dass sich Personen in der Nähe befinden und können nicht aus der Ferne gesteuert werden. Insofern werden sie die Ansprüche mancher Anwender*innen an Smart-Home-Geräte nicht erfüllen, aber: "Sobald ein Gerät mit dem Internet verbunden ist, stellt es ein potenzielles Sicherheitsrisiko dar."
Fluch und Segen zugleich
Cyberkriminalität sei hier nicht die einzige Gefahr. "Von außen erreichbare IoT-Lösungen können auch innerhalb eines Haushalts missbräuchlich verwendet werden." Sie könnten etwa Gewalt innerhalb der Familie unterstützen. "Geräte ermöglichen Stalking, Manipulation und Überwachung."
Das Konzept Smart Home sei Fluch und Segen zugleich, fasst Krombholz abschließend zusammen. Zwar erhöhen Smart Homes den heimischen Komfort. Doch Sicherheitsprobleme wie bei allen internetbasierten Geräten bleiben bestehen.
IT-S NOW
Die IT-S NOW wird organisiert von Forschenden und Lehrenden des Kompetenzzentrum für IT-Security der FH Campus Wien. Die Expert*innen lehren im Masterstudium IT-Security die technischen und menschlichen Aspekte von Datensicherheit. Studierende erlernen hier das Handwerkszeug, um Schwachstellen in IT-Systemen zu erkennen, diese zu schließen und künftige Angriffe zu verhindern. Die enge Zusammenarbeit des Studiengangs mit dem Kompetenzzentrum sichert Studierenden einen entscheidenden Wissensvorsprung. Darüber hinaus bietet die FH Campus Wien die Möglichkeit, an Forschungsprojekten mitzuarbeiten.
Dieser Artikel ist im Rahmen einer Kooperation zwischen futurezone und FH Campus Wien entstanden.
Kommentare