Studie: Mehrheit der Smart-Häuser ist nicht vor Hacker-Angriffen geschützt

Viele der mit dem Internet verbundenen Smart-Home-Systeme enthalten Sicherheitslücken, die das Risiko physikalischer oder digitaler Einbrüche erhöhen.

Smart-Haus

Wenn Sie regelmäßig Sicherheitsnachrichten lesen, wird es Sie nicht überraschen, dass Smart-Home-Systeme oft schlecht konfiguriert sind und die Häuser, in denen sie installiert sind, mit einer Menge Sicherheitslücken belasten.

Kurz zur Erklärung: Smart-Häuser sind genau das, was Sie sich vielleicht schon vorstellen: So wie auch Smartphones, Smart-TVs, Smart-Autos usw., finden sich in Smart-Häusern Geräte, Heizsysteme, Klimaanlagen, Beleuchtung, Rauchmelder und/oder Türschlösser, die alle mit dem Hausnetzwerk und darüber auch mit dem Internet verbunden sind. Und natürlich gibt es in diesem Netzwerk auch Computer, Handys, Tablets und alle anderen tradtitionellen Internet-fähigen Geräte. Mit solchen Systemen können die Bewohner ihr Haus überwachen und steuern.

Forscher haben schon immer Löcher in smarte Sicherheitssysteme sowie Internet-verbundene Türschlösser und Rauchmelder (und alle anderen Geräte mit Internetverbidung) geschlagen. Erst kürzlich hat das unabhängige Testlabor AV-Test.org die Sicherheit von sieben Smart-Home-Kits getestet und herausgefunden, dass vier dieser Pakete unsicher sind.

Die sieben getesteten Systeme sind natürlich nur ein kleiner Teil der verfügbaren Systeme und statistisch wahrscheinlich nicht repräsentativ. Dennoch können die hier als anfällig getesteten Systeme von internen und in manchen Fällen auch von externen Angreifern attackiert werden, die entweder auf das Heimnetzwerk und damit auf die verbundenen Maschinen oder das Haus selbst und die darin enthaltenen Dinge abzielen.

AV-Test hat die folgenden Systeme getestet: iConnect von eSaver, tapHome von EUROiSTYLE, Gigaset Elements, iComfort von REV Ritter, RWE Smart Home, QIVICON von Deutsche Telekom und XAVAX MAX! von Hama. Am besten vor Hacker-Angriffen und unauthorisiertem Zugriff geschützt sind laut AV-Test die Systeme von Gigaset, RWE und QIVICON. Die Systeme iComfort und tapHome enthielten lokal ausnutzbare Sicherheitslücken, bei denen ein Angreifer sich im Haus befinden muss, um sie missbrauchen zu können. Ernster sind die Sicherheitslücken bei iComfort und XAVAX MAX! – diese Systeme können aus der Ferne (und natürlich auch lokal) gehackt werden.

Jedes der getesteten Produkte bietet unterschiedliche Funktionen. Generell kontrollieren sie den Strom, die Heizung und die Sicherheit des Hauses. Sie bieten Überwachungsmodule für Fenster, Türen und Zimmer, Kontrollsysteme für schaltbare Steckdosen, sowie Schaltsysteme für Licht, Heizung und Strom.

Generell gesagt, kann ein Angreifer die Systeme missbrauchen, um sie zu beschädigen, etwa indem im Winter die Heizung abgeschaltet wird, so dass die Rohre vereisen und kaputt gehen.

Die häufigsten Attacken missbrauchen Schwachstellen in Smart-Haus-Systemen, um wertvolle Daten aus dem Haus-Netzwerk zu stehlen.

Die meisten kriminellen Hacker sind aber hinter Geld her. Deshalb sind die wahrscheinlichsten Attacken auf solche Smart-Haus-Systeme jene, die Sicherheitslücken ausnutzen, um Zugang zum Hausnetzwerk zu erlangen und wertvolle Daten stehlen zu können. Möglich ist auch, dass unsichere Geräte missbraucht werden, um ein potenziell gutes Einbruchsziel zu überwachen oder auszuspionieren. Ein sachkundiger Angreifer könnte sogar Türen aufsperren und würde einen Einbruch damit erleichtern. AV-Test merkt zudem an, dass das Potenzial für erpresserische Ransomware, die sich über die verschiedenen verbundenen Geräte verbreitet, für einen Angreifer ebenfalls sehr verlocken sein könnte. Wenn deshalb das ganze Haus nicht mehr funktioniert, würde dem Opfer nicht viel anderes übrigbleiben, als das Lösegeld zu bezahlen.

AV-Test hat sich darauf fokussiert, ob die Kommunikation unter den Geräten verschlüsselt ist, ob die Systeme in der Standardeinstellung eine aktive Authentifizierung verlangen (Passwörter für den Zugriff aus dem Web oder den direkten physikalischen Zugriff), und ob sie für Remote-Attacken anfällig sind.

Die Kommunikation ist bei den Geräten von Gigaset, RWE und QIVICON immer verschlüsselt und wird von AV-Test als sicher beurteilt. iConnect verschlüsselt die Kommunikation ebenfalls, doch AV-Test merkt an, dass die Verschlüsselung leicht umgangen werden kann. Die übrigen Produkte der Studie – iComfort, tapHome und XAVAX MAX! – nutzen keine Verschlüsselung.

Dieses Versäumnis, Verschlüsselung zu verwenden, bedeutet, dass die komplette Smart-Haus-Kommunikation ganz einfach abgehört werden kann. Ein Angreifer könnte die Kommunikation zwischen den Geräten überwachen, Codes fälschen, um sie zu steuern, oder die Geräte einfach nur beobachten, um festzustellen, ob jemand im Haus ist oder nicht.

Das iComfort-System benötigt zudem nicht einmal eine Authentifizierung, so dass ein Angreifer aus der Ferne eine Web-basierte Attacke auf das System starten könnte. iConnect und XAVAX MAX! benötigen zumindest ein Login für den Zugriff aus dem Internet, allerdings nicht für den lokalen Zugriff. tapHome verlangt eine interne Authentifizierung, doch wie die Studie anmerkt, bringt diese Maßnahme aufgrund der fehlenden Verschlüsselung nicht gerade viel. Gigaset Elements, RWE Smart Home und QIVICON benötigen alle eine Authentifizierung für den physikalischen Zugriff, sowie für den Zugriff aus dem Internet (zudem ist die Kommunikation dieser Systeme verschlüsselt).

Eine gute Nachricht ist, dass AV-Test überzeugt ist, dass es möglich ist, sichere Smart-Home-Systeme zu entwickeln, wenn die Hersteller sich die Zeit nehmen, ein solides Sicherheitskonzept zu erstellen, statt die Produkte möglichst schnell auf den Markt zu werfen. Eine weitere gute Nachricht ist, dass Ihnen AV-Test genau sagt, worauf Sie achten sollten, wenn Sie ein Smart-Home-System kaufen möchten: Systeme, die immer eine Authentifizierung verlangen und deren Kommunikation komplett verschlüsselt ist.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.