Digital Life
17.08.2015

Unsicheres Smart Home: "Nutzer können nichts tun"

Wiener Sicherheitsforscher warnen davor aufs vernetzte Heim mit Funk-Alarmanlagen oder Türschlösser zu setzen, weil die funkgesteuerten Anlagen viele Risiken mit sich bringen.

Bis 2022 soll jeder Haushalt ungefähr 500 intelligente Geräte haben, besagen Prognosen. Dadurch werde das Thema auch für Kriminelle interessant. „Je mehr Menschen ihre Häuser mit smarten Alarmanlagen vernetzen oder auf Funk-Türschlösser setzen, desto interessanter werden derartige Angriffsszenarien für Kriminelle“, warnt der IT-Sicherheitsexperte Tobias Zillner im Gespräch mit der futurezone.

Er ist einer der beiden Forscher der internationalen IT-Firma Cognosec mit Hauptsitz in Wien,die aufgezeigt haben, wie einfach Angreifer das sogenannte vernetzte Heim („Smart Home“) hacken und die Steuerung von Lampen, Heizungs- und Klimaanlagen übernehmen oder gar Türschlösser knacken können.

"Wird für Angreifer sehr interessant"

Weil die Hersteller von den smarten Geräten derzeit aufgrund der Kosten vor allem bei der Implementierung von Sicherheit sparen würden, seien viele dieser Geräte unsicher, so Zillner, der zusammen mit Sebastian Strobl bei der IT-Sicherheitskonferenz BlackHat in Las Vegas in einer Live-Demo gezeigt hat, wie man smarte Türschlösser hackt. „Der Endnutzer lebt auch häufig in dem Irrglauben, dass er nicht das Ziel ist“, so Zillner.

„Für Blumenhändler ist es beispielsweise sehr wohl relevant, wenn jemand die Temperatur seiner Gewächsheuern steuern kann. So kann man beispielsweise der Konkurrenz vor dem Valentinstag die Pflanzen ruinieren, um das eigene Geschäft anzukurbeln“, führt Zillner als Beispiel an. „Auch in Hotels hängen Klimaanlage, Jalousie, Lichter und Türschlösser mittlerweile häufig an ein und demselben drahtlosen System. Das wird für Angreifen sehr interessant“, so Zillner.

Funk-Alarmanlagen betroffen

Vor allem bei Alarmanlagen, mit denen eigentlich Einbrüche verhindert werden sollen, sind vor allem Privatnutzer bereits jetzt stark von den Gefahren betroffen. Das Geschäft mit der Sicherheit bringt Nutzern häufig nur eine gefühlte Sicherheit: Mit einfachen Störsendern lassen sich etwa Bewegungssensoren von Funk-Alarmanlagen außer Kraft setzen. Doch die vermeintlich intelligenten Funk-Alarmanlagen haben noch ein viel größeres Problem: Wenn die Bewegungssensoren außer Kraft gesetzt werden, geht nicht nur kein Alarm los, sondern das System verhält sich auch im Nachhinein so, als wäre nichts gewesen.

„Wenn ein Einbrecher ins Haus ein- und ausdringt, nachdem er das Funksystem gestört hat, melden die Sensoren nicht einmal im Nachhinein an die Anlage, dass eine Störung stattgefunden hat“, sagt Zillner. Aus diesem Grund rät Zillner Nutzern derzeit davon ab, Funk-Alarmanlagen zu installieren. „Alles, was ‚wireless‘, also drahtlos gesteuert wird, ist derzeit nicht zu empfehlen“, so Zillner.

Hersteller aus anderen Branchen

Die Sicherheitslücke, die die beiden Forscher aufgedeckt haben, betrifft Geräte, die auf dem ZigBee-Standard aufbauen. Der ZigBee-Standard zählt zu den funkbasierten Standards, die derzeit am häufigsten bei sogenannten Smart Homes eingesetzt werden. Damit lassen sich Türschlösser per App entriegeln, oder auch Lichter an- und ausschalten. Der Standard würde es den Herstellern von Firmen durchaus ermöglichen, ihre Geräte entsprechend abzusichern, doch die ZigBee Alliance, die hinter der Entwicklung des offenen Standards steht, setze sich laut dem Experten nicht ausreichend dafür ein, dass diese Möglichkeiten von den Herstellern auch ausgeschöpft werden.

Die Hersteller von Schlössern oder smarten Lichtern hätten bisher ihr Geschäft zudem vorwiegend mit der analogen Herstellung von Produkten verdient. „Sie hatten mit Sicherheit nichts am Hut, daher haben sie in diesem Bereich weder das Knowledge, noch die Skills“, erklärt Zillner. Ein Zukauf von Sicherheitsspezialisten oder eine Überprüfung durch externe IT-Spezialisten ist den Unternehmen aber häufig zu teuer. „Statt auf Sicherheit zu setzen, bauen die Hersteller in ihre smarten Produkte lieber neue Features ein“, erzählt Zillner.

Keine proaktive Einstellung möglich

Die Nutzer selbst können laut Zillner ebenfalls nichts tun, um ihre smarten Heimgeräte sicherer zu machen. „Nutzer können nichts proaktiv einstellen, das geht nicht. Stattdessen wird die Komplexität dahinter vor ihnen geschickt verborgen“, so der IT-Experte. Von den Endnutzern könne man sich aber auch nicht erwarten, dass sie beispielsweise zwei getrennte Netze für wichtige und unwichtige Geräte im Haushalt einrichten würden, meint Zillner.

Die Elektronikbranche selbst setzt große Hoffnungen auf die smarte Haushaltstechnik, die sich aus der Ferne steuern lässt. Ziel ist es, etwa Kühlschrank, Waschmaschine, Herd und Heizung elektronisch zu verbinden und vom Smartphone unterwegs bedienen zu können. Laut Zillner würde die breite Mehrheit der Hersteller jedoch nicht auf Hinweise bezüglich Sicherheitsrisiken reagieren. „Solange die fehlende Sicherheit zu keinen Markteinbußen für die Hersteller führt, wird sich nichts ändern“, gibt sich Zillner pessimistisch.