Ein Smart Home – aber sicher!?
Der Informatiker Peter Schulik ist wissenschaftlicher Mitarbeiter am Institut für innovative Sicherheit der Hochschule Augsburg. Schulik befasst sich mit dem Schutz von Betriebssystemen und Netzwerken, insbesondere in der digitalen Forensik. Wir haben den IT-Experten zur Sicherheit der Smart Home Technik befragt.
Herr Schulik, ist die Datenverschlüsselung der Systeme wirklich so sicher, wie von den Herstellern suggeriert wird?
In unserem Hochschullabor simulieren wir Angriffe auf die Smart Home Technik mit dem Ziel, neue Angriffstechniken und Detektionsmechanismen zu identifizieren. Das Ergebnis: Je nach Produkt sind die Geräte mehr oder weniger sicher. Sie zu hacken erfordert also mehr oder weniger Aufwand und Know-how des Angreifers. Aber möglich ist es.
Ist diese nur relative Sicherheit auch dem Konkurrenzdruck auf dem Markt geschuldet?
Ja, Sicherheit kostet Zeit und Geld und der Druck, mit neuen Funktionen auf den Markt zu kommen, bevor die Konkurrenz es tut, wirkt sich negativ aus. Es bleibt weniger Zeit, die Software zu überprüfen und zu schauen, wie gut der Code abgesichert ist, ob zum Beispiel die Passwörter unverschlüsselt übertragen werden, oder um Schwachstellen in der Software aufzuspüren.
Was macht das intelligente, vernetzte Zuhause anfällig für Angriffe von außen?
Die Aktoren und Sensoren an Fenstern, Türen oder an der Heizung sammeln Informationen über ihre physikalische Umgebung. Auch die Sound-Anlage, die etwa dafür sorgt, dass die Lieblingsmusik einen zu Hause empfängt, kennt das Benutzerprofil. Konzerne und gegebenenfalls auch Einbrecher können so erfahren, ob und wann jemand zu Hause ist. Es ist eben in vielen Fällen nicht transparent, was mit den Daten passiert.
Eine weitere Gefahrenquelle sind virtuelle Einbrüche. Auf den Geräten sind ja sensible Informationen wie z. B. Kreditkartendaten hinterlegt. Wie kann der Nutzer selbst zur Sicherheit beitragen?
Es passiert leider häufiger, dass Käufer von Smart Home Technik, beispielsweise bei Überwachungskameras, es vernachlässigen, den Standard- Benutzernamen zu ändern und ein eigenes Passwort einzugeben. Solche Geräte können dann im Internet gescannt und „übernommen“ werden. Mit einer Vielzahl anderer Geräte wie Kühlschränke oder Heizungen werden sie zu Botnetzen (ein großes Netzwerk von ferngesteuerten Systemen, die mit Schadsoftware infiziert wurden) zusammengeschlossen. Die meisten Bots können dann über einen Kommunikationskanal überwacht werden und Befehle empfangen.
Können Sie uns ein konkretes Beispiel geben?
Wenn eine Mutter eine Kamera mit Sprachfunktion nutzt, um ihr Baby übers Internet zu überwachen und dabei Standardbenutzernamen und -passwort verwendet, kann ein Unbefugter Zugriff auf Kamera und Sprachsteuerung bekommen, so dass auf einmal eine fremde Stimme im Raum zu hören ist oder Videomaterial des Kinderzimmers erstellt wird. In den USA hat ein getrenntlebender Mann seinen Zugriff auf die Smart Home Komponenten im ehemals gemeinsam bewohnten Haus genutzt, um seine Ex zu terrorisieren. Es kommt allerdings auch vor, dass Smart Home-Systeme nur Türöffner oder Sprungbretter sind, um weitere Daten des Netzwerkes abzugreifen, die entweder auf der Festplatte des Computers bzw. Notebooks oder im Firmennetzwerk gespeichert sind.
Neben mehr Komfort und Energieeffizienz ist es ja eigentlich der Zugewinn an Sicherheit, der Käufer dazu motiviert, in ein Smart Home System zu investieren. Wie lassen sich die genannten Unsicherheitsfaktoren minimieren?
Vor dem Kauf sollte man auf jeden Fall Zeit investieren, um sich mit dem Sicherheitskonzept des Anbieters zu befassen. Was für Features gibt es? Wie funktioniert die Verschlüsselung? Wichtige Aspekte bei der Auswahl sind: Wie lange bekomme ich Sicherheitsupdates und gibt es die überhaupt? Kann ich das Passwort ändern – gute Hersteller fordern dazu auf – und werden die Daten verschlüsselt übertragen? Funktioniert das Einspielen von Updates automatisch, ist es konfigurierbar? Einen guten Anhaltspunkt bietet die herstellerunabhängige Plattform av-test.de. Es gibt auch Smart Home Komponenten ohne Internetzugang und Kommunikation mit dem Anbieter. Im Zweifelsfall also lieber diese wählen. Worauf man achten muss, erfährt man auch auf der Smart Home-Seite des Specials „BSI für Bürger“, die das Bundesamts für Sicherheit in der Informationstechnik veröffentlicht hat.
In welche Richtung geht die künftige Entwicklung der Technologie?
Derzeit arbeiten die Hersteller daran, Komponenten, die derzeit noch isoliert arbeiten, zu kombinieren, um bestimmte Abläufe zu erzeugen. Der Befehl „Alexa, starte das Morgenprogramm!“ würde dann genügen, um das Bad aufzuheizen, die Rollos hochfahren zu lassen, Kaff ee zu kochen und den Lieblingsradiosender zu suchen. In Zukunft werden solche Abläufe auch vom Auto aus ausgelöst werden können. Wenn ich also auf dem Heimweg noch einkaufen will, kann ich fragen, was noch zu Hause im Kühlschrank ist.
Sehr praktisch. Wie intelligent ist denn Ihr eigenes Zuhause?
Trotz der vielen komfortablen Funktionen, die ein intelligentes Zuhause bietet, ist meins eher klassisch gehalten. Bei der Sicherheit setze ich noch auf den mechanischen Einbruchschutz.
Vielen Dank für das informative Gespräch, Herr Schulik!