Wenn Sie regelm\u00e4\u00dfig Sicherheitsnachrichten lesen, wird es Sie nicht \u00fcberraschen, dass Smart-Home-Systeme oft schlecht konfiguriert sind und die H\u00e4user, in denen sie installiert sind, mit einer Menge Sicherheitsl\u00fccken belasten.<\/p>\n
Kurz zur Erkl\u00e4rung: Smart-H\u00e4user sind genau das, was Sie sich vielleicht schon vorstellen: So wie auch Smartphones, Smart-TVs<\/a>, Smart-Autos usw., finden sich in Smart-H\u00e4usern Ger\u00e4te, Heizsysteme, Klimaanlagen, Beleuchtung, Rauchmelder und\/oder T\u00fcrschl\u00f6sser, die alle mit dem Hausnetzwerk und dar\u00fcber auch mit dem Internet verbunden sind. Und nat\u00fcrlich gibt es in diesem Netzwerk auch Computer, Handys, Tablets und alle anderen tradtitionellen Internet-f\u00e4higen Ger\u00e4te. Mit solchen Systemen k\u00f6nnen die Bewohner ihr Haus \u00fcberwachen und steuern.<\/p>\n Forscher haben schon immer L\u00f6cher in smarte Sicherheitssysteme sowie Internet-verbundene T\u00fcrschl\u00f6sser und Rauchmelder (und alle anderen Ger\u00e4te mit Internetverbidung) geschlagen. Erst k\u00fcrzlich hat das unabh\u00e4ngige Testlabor AV-Test.org<\/a> die Sicherheit von sieben Smart-Home-Kits getestet und herausgefunden, dass vier dieser Pakete unsicher sind.<\/p>\n Die sieben getesteten Systeme sind nat\u00fcrlich nur ein kleiner Teil der verf\u00fcgbaren Systeme und statistisch wahrscheinlich nicht repr\u00e4sentativ. Dennoch k\u00f6nnen die hier als anf\u00e4llig getesteten Systeme von internen und in manchen F\u00e4llen auch von externen Angreifern attackiert werden, die entweder auf das Heimnetzwerk und damit auf die verbundenen Maschinen oder das Haus selbst und die darin enthaltenen Dinge abzielen.<\/p>\n AV-Test hat die folgenden Systeme getestet: iConnect von eSaver, tapHome von EUROiSTYLE, Gigaset Elements, iComfort von REV Ritter, RWE Smart Home, QIVICON von Deutsche Telekom und XAVAX MAX! von Hama. Am besten vor Hacker-Angriffen und unauthorisiertem Zugriff gesch\u00fctzt sind laut AV-Test die Systeme von Gigaset, RWE und QIVICON. Die Systeme iComfort und tapHome enthielten lokal ausnutzbare Sicherheitsl\u00fccken, bei denen ein Angreifer sich im Haus befinden muss, um sie missbrauchen zu k\u00f6nnen. Ernster sind die Sicherheitsl\u00fccken bei iComfort und XAVAX MAX! \u2013 diese Systeme k\u00f6nnen aus der Ferne (und nat\u00fcrlich auch lokal) gehackt werden.<\/p>\n Jedes der getesteten Produkte bietet unterschiedliche Funktionen. Generell kontrollieren sie den Strom, die Heizung und die Sicherheit des Hauses. Sie bieten \u00dcberwachungsmodule f\u00fcr Fenster, T\u00fcren und Zimmer, Kontrollsysteme f\u00fcr schaltbare Steckdosen, sowie Schaltsysteme f\u00fcr Licht, Heizung und Strom.<\/p>\n Generell gesagt, kann ein Angreifer die Systeme missbrauchen, um sie zu besch\u00e4digen, etwa indem im Winter die Heizung abgeschaltet wird, so dass die Rohre vereisen und kaputt gehen.<\/p>\n Die meisten kriminellen Hacker sind aber hinter Geld her<\/a>. Deshalb sind die wahrscheinlichsten Attacken auf solche Smart-Haus-Systeme jene, die Sicherheitsl\u00fccken ausnutzen, um Zugang zum Hausnetzwerk zu erlangen und wertvolle Daten stehlen zu k\u00f6nnen. M\u00f6glich ist auch, dass unsichere Ger\u00e4te missbraucht werden, um ein potenziell gutes Einbruchsziel zu \u00fcberwachen oder auszuspionieren. Ein sachkundiger Angreifer k\u00f6nnte sogar T\u00fcren aufsperren und w\u00fcrde einen Einbruch damit erleichtern. AV-Test merkt zudem an, dass das Potenzial f\u00fcr erpresserische Ransomware<\/a>, die sich \u00fcber die verschiedenen verbundenen Ger\u00e4te verbreitet, f\u00fcr einen Angreifer ebenfalls sehr verlocken sein k\u00f6nnte. Wenn deshalb das ganze Haus nicht mehr funktioniert, w\u00fcrde dem Opfer nicht viel anderes \u00fcbrigbleiben, als das L\u00f6segeld zu bezahlen.<\/p>\n AV-Test hat sich darauf fokussiert, ob die Kommunikation unter den Ger\u00e4ten verschl\u00fcsselt ist, ob die Systeme in der Standardeinstellung eine aktive Authentifizierung verlangen (Passw\u00f6rter<\/a> f\u00fcr den Zugriff aus dem Web oder den direkten physikalischen Zugriff), und ob sie f\u00fcr Remote-Attacken anf\u00e4llig sind.<\/p>\n Die Kommunikation ist bei den Ger\u00e4ten von Gigaset, RWE und QIVICON immer verschl\u00fcsselt und wird von AV-Test als sicher beurteilt. iConnect verschl\u00fcsselt die Kommunikation ebenfalls, doch AV-Test merkt an, dass die Verschl\u00fcsselung leicht umgangen werden kann. Die \u00fcbrigen Produkte der Studie \u2013 iComfort, tapHome und XAVAX MAX! \u2013 nutzen keine Verschl\u00fcsselung.<\/p>\n