{"id":30046,"date":"2023-05-12T14:35:45","date_gmt":"2023-05-12T12:35:45","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30046"},"modified":"2023-05-12T15:32:43","modified_gmt":"2023-05-12T13:32:43","slug":"3-reasons-not-to-use-smart-locks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/3-reasons-not-to-use-smart-locks\/30046\/","title":{"rendered":"Drei Gr\u00fcnde, keine smarten Schl\u00f6sser zu verwenden"},"content":{"rendered":"

Smarte Schl\u00f6sser k\u00f6nnen sehr praktisch sein. Es gibt viele davon auf dem Markt und auch viele verschiedene Arten zur Auswahl. Einige sind in der Lage, zu erkennen, wenn sich der Besitzer (oder besser sein Smartphone) n\u00e4hert, und \u00f6ffnen ohne Schl\u00fcssel. Andere werden ferngesteuert, sodass Sie Freunden oder Verwandten die T\u00fcr \u00f6ffnen k\u00f6nnen, wenn Sie selbst nicht zu Hause sind. Wieder andere bieten Video\u00fcberwachung: Jemand klingelt und Sie k\u00f6nnen sofort auf Ihrem Smartphone sehen, wer es ist.<\/p>\n

Smarte Ger\u00e4te bergen jedoch Risiken, \u00fcber die sich Benutzer herk\u00f6mmlicher Offline-Schl\u00f6sser keine Gedanken machen m\u00fcssen. Ein sorgf\u00e4ltiger Blick auf diese Risiken zeigt gleich drei Gr\u00fcnde, warum analog manchmal besser ist. Sehen wir uns diese n\u00e4her an\u2026<\/p>\n

Erster Grund: Smarte Schl\u00f6sser sind physisch anf\u00e4lliger als normale Schl\u00f6sser<\/h2>\n

Das Problem dabei ist, dass smarte Schl\u00f6sser zwei verschiedene Konzepte kombinieren. Theoretisch sollten diese Schl\u00f6sser \u00fcber eine zuverl\u00e4ssige, intelligente Komponente verf\u00fcgen und gleichzeitig einen robusten Schutz vor dem Aufbrechen bieten, sodass sie beispielsweise nicht mit einem Schraubendreher oder einem Taschenmesser ge\u00f6ffnet werden k\u00f6nnen. Die Kombination dieser beiden Konzepte funktioniert nicht immer: Das Ergebnis ist normalerweise entweder ein schwaches smartes Schloss oder ein schweres Eisenschloss mit anf\u00e4lliger Software.<\/p>\n

Wir haben bereits in einem anderen Beitrag <\/a>von einigen besonders ungeheuerlichen Beispielen f\u00fcr Schl\u00f6sser berichtet, die ihrer Aufgabe alles andere als gerecht werden. Dazu geh\u00f6rte zum Beispiel ein schickes Vorh\u00e4ngeschloss mit einem Fingerabdrucksensor, unter dem sich aber leider ein \u00d6ffnungsmechanismus befindet, der f\u00fcr jedermann zug\u00e4nglich ist (ein Hebel). Oder das Beispiel eines smarten Fahrradschlosses, das sich mit einem Schraubendreher zerlegen l\u00e4sst.<\/p>\n

\"Beispiel<\/a>

Die obere Abdeckung mit dem Fingerabdruckscanner l\u00e4sst sich leicht mit einem Messer entfernen. Der \u00d6ffnungsmechanismus ist unter dem Deckel frei zug\u00e4nglich. Quelle.<\/p><\/div>\n

Zweiter Grund: Probleme mit der \u201esmarten\u201c Komponente<\/h2>\n

Auch die \u201esmarte\u201c Komponente l\u00e4sst sich nicht ohne Weiteres sicher gestalten. Man muss immer bedenken, dass f\u00fcr Entwickler solcher Ger\u00e4te oft die Funktionalit\u00e4t Vorrang vor dem Schutz hat. Das j\u00fcngste Beispiel ist das Akuvox E11, ein Ger\u00e4t, das nicht f\u00fcr den privaten Gebrauch, sondern f\u00fcr das B\u00fcro entwickelt wurde. Akuvox E11 ist eine smarte Gegensprechanlage mit einem Terminal f\u00fcr den Empfang eines Videostreams von der integrierten Kamera sowie einer Taste zum \u00d6ffnen der T\u00fcr. Da es sich um ein smartes Ger\u00e4t handelt, k\u00f6nnen Sie es \u00fcber Ihre Smartphone-App steuern.<\/p>\n

\"Smarte<\/a>

Das Schloss von Akuvox E11 weist mehrere Schwachstellen auf, \u00fcber die sich Unbefugte problemlos Zugang zu den entsprechenden R\u00e4umlichkeiten verschaffen k\u00f6nnen. Quelle.<\/p><\/div>\n

Die Software wurde so implementiert<\/a>, dass jeder jederzeit auf Bild und Ton der Kamera zugreifen kann. Und wenn Sie nicht daran gedacht haben, die Weboberfl\u00e4che vom Internet zu trennen, kann jeder das Schloss ansteuern und die T\u00fcr \u00f6ffnen. Dies ist ein Bilderbuchbeispiel f\u00fcr unsichere Softwareentwicklung: Videoanforderungen verfehlen die Berechtigungspr\u00fcfung; ein Teil der Weboberfl\u00e4che ist ohne Passwort zug\u00e4nglich; und das Passwortwort selbst ist aufgrund der Verschl\u00fcsselung mit einem f\u00fcr alle Ger\u00e4te identischen festen Schl\u00fcssel leicht zu knacken.<\/p>\n

M\u00f6chten Sie weitere Beispiele h\u00f6ren? Dann los\u2026 In diesem Artikel<\/a> geht es um eine Sperre, die es Angreifern in der N\u00e4he erm\u00f6glicht, an das Passwort f\u00fcr Ihr WLAN-Netzwerk zu gelangen. Hier<\/a> sch\u00fctzt ein smartes Schloss die Daten\u00fcbertragung nur unzureichend: Ein Angreifer kann den Funkkanal abh\u00f6ren und die Kontrolle \u00fcbernehmen. Und hier<\/a> folgt ein weiteres Beispiel f\u00fcr eine schlecht gesicherte Weboberfl\u00e4che.<\/p>\n

Dritter Grund: Die Software muss regelm\u00e4\u00dfig aktualisiert werden<\/h2>\n

Ein typisches Smartphone wird nach seiner Markteinf\u00fchrung \u00fcber zwei oder drei Jahre mit Softwareupdates auf dem neuesten Stand gehalten. Bei kosteng\u00fcnstigen IoT-Ger\u00e4ten kann der Support sogar schon fr\u00fcher auslaufen. Ein smartes Ger\u00e4t \u00fcber das Internet zu aktualisieren, ist ziemlich einfach. Der langj\u00e4hrige Support f\u00fcr die Ger\u00e4te kostet den Hersteller allerdings Ressourcen und Geld.<\/p>\n

Dies kann an sich schon ein Problem darstellen, beispielsweise wenn der Anbieter die Cloud-Infrastruktur deaktiviert<\/a> und das Ger\u00e4t nicht mehr funktioniert. Aber selbst wenn die Smart-Lock-Funktion erhalten bleibt, k\u00f6nnen Schwachstellen auftreten, die dem Hersteller zum Zeitpunkt der Markteinf\u00fchrung unbekannt waren.<\/p>\n

Im Jahr 2022 entdeckten<\/a> Forscher beispielsweise eine Schwachstelle im Bluetooth Low Energy-Protokoll, das viele Unternehmen als Standard f\u00fcr die kontaktlose Authentifizierung beim Entsperren verschiedener Ger\u00e4te (einschlie\u00dflich smarter Schl\u00f6sser) verwenden. Diese Schwachstelle \u00f6ffnet (sozusagen) T\u00fcr und Tor f\u00fcr sogenannte Relay-Angriffe, bei denen sich der Angreifer in der N\u00e4he des Besitzers des smarten Schlosses aufhalten und spezielle (aber relativ kosteng\u00fcnstige) Ger\u00e4te verwenden muss. Mit dieser Hardware kann der Angreifer Signale zwischen dem Smartphone des Opfers und dem smarten Schloss weiterleiten. Dadurch wird dem smarten Schloss vorget\u00e4uscht, dass sich das Smartphone des Besitzers in der N\u00e4he befindet (und nicht in einem f\u00fcnf Kilometer entfernten Einkaufszentrum), woraufhin es die T\u00fcr entriegelt.<\/p>\n

\"Beispiel<\/a>

Ein Kwikset-Schloss, das anf\u00e4llig f\u00fcr einen Relay-Angriff ist, bei dem ein Fehler im Bluetooth Low Energy-Protokoll ausgenutzt wird. Quelle.<\/p><\/div>\n

Aufgrund der Komplexit\u00e4t von Smart-Lock-Software besteht immer die Gefahr, dass sie schwerwiegende Schwachstellen enth\u00e4lt. Wird eine gefunden, sollte der Hersteller umgehend ein Update ver\u00f6ffentlichen und an alle verkauften Ger\u00e4te senden. Was aber, wenn das Modell eingestellt wurde oder nicht mehr unterst\u00fctzt wird?<\/p>\n

Bei Smartphones l\u00f6sen wir dieses Problem, indem wir alle zwei bis drei Jahre ein neues Ger\u00e4t kaufen. Wie oft m\u00f6chten Sie ein mit dem Internet verbundenes T\u00fcrschloss ersetzen? Wir gehen im Allgemeinen davon aus, dass solche Ger\u00e4te Jahrzehnte und nicht blo\u00df ein paar Jahre halten (bis der Hersteller den Support einstellt oder Pleite geht).<\/p>\n

Was also tun?<\/h2>\n

Grunds\u00e4tzlich kann nat\u00fcrlich jedes Schloss (nicht nur smarte) geknackt werden. Wenn Sie sich jedoch f\u00fcr ein smartes Ger\u00e4t anstelle eines Standardschlosses entscheiden, sollten Sie sich das gut \u00fcberlegen: Muss ich diese T\u00fcr wirklich \u00fcber mein Smartphone \u00f6ffnen? Wenn Sie diese Frage mit ja beantworten, sollten Sie zumindest die folgenden Punkte beachten:<\/p>\n