IoT-Security

Sicherheitsrisiko Heimautomatisierung

Henning von Kielpinski ist Leiter Business Development bei der Consol Consulting & Solutions Software GmbH. In dieser Position ist der studierte Informatiker die Schnittstelle zwischen Theorie und Praxis oder IT und Business. Zu seinen persönlichen thematischen Steckenpferden zählen IT-Trends wie Cloud Computing, Big Data oder das Internet of Things - und die kritische Auseinandersetzung mit diesen.
Das Internet of Things ist das zentrale Element bei Smart Home, Smart Building und Smart Factory, denn die Vernetzung aller technischen Einheiten macht den hohen Grad der Automatisierung erst möglich. Sie birgt gleichzeitig aber auch ein großes Risiko für die IT-Sicherheit.

Laut Marktforscher Navigant Research soll das Marktvolumen für Gebäude- und Heimautomation weltweit von 2016 bis 2025 um rund 52 Prozent auf 102 Milliarden US-Dollar steigen. Von diesem Wachstumsmarkt profitieren Unternehmen und Verbraucher deutlich: So können sie beispielsweise durch eine intelligente Heizungssteuerung Energie und damit Geld einsparen, durch eine intelligente Lichtsteuerung den Komfort erhöhen und sich durch Anwesenheitssimulationen vor Einbrechern schützen.

Die Automatisierung ist aber nur durch die hochgradige Vernetzung verschiedener Sensoren, Aktoren, Bedienelemente, Verbraucher und anderer technischer Einheiten möglich, die wiederum an das Internet angeschlossen sind. Die Automatisierung ist also ein Teil des Internet of Things (IoT) mit all seinen Vorzügen und Problemen.

Das größte Problem des IoT ist die Sicherheit. Die Absicherung des Heimnetzes ist daher ein Muss.
Das größte Problem des IoT ist die Sicherheit. Die Absicherung des Heimnetzes ist daher ein Muss.
Foto: Sensay - shutterstock.com; IDG Business Media GmbH

Das größte Problem des IoT ist die Sicherheit, wie der DDoS-Angriff auf den Security-Blogger Brian Krebs im September 2016 zeigte. Laut dem CDN-Betreiber Akamai wurde der Angriff, der 665 GBit/s in der Spitze erreichte, von einem Botnetz ausgeführt, dass aus mehr als einer Million IoT-Geräte bestand - darunter allem Anschein nach auch mit dem Internet verbundene Sicherheitskameras darunter gewesen. Darüber hinaus wurde auch der DNS-Provider Dyn mit Hilfe eines IoT-Botnetzes angegriffen. Eine Folge: Etliche populäre Services wie Netflix, Twitter, Spotify oder Airbnb waren nicht mehr erreichbar.

Internet der Dinge: Hacker haben leichtes Spiel

Wie einfach solche Angriffe realisierbar sind, zeigte eine Sicherheitslücke bei Heizungsanlagen, die mit dem Internet verbunden waren und sowohl von den Eigentümern als auch vom Servicepersonal des Heizungsbauers ferngesteuert werden konnten. Leider ließ sich über das entsprechende Web-Interface relativ leicht auf die hinterlegten Passwörter zugreifen - im Klartext-Format. Der Hersteller reagierte nach Bekanntwerden des Lecks sofort mit der drastischen Empfehlung: "Lieber Kunde, bitte den Netzwerkstecker ziehen!"

Dieses Beispiel zeigt, dass beim Thema IoT-Sicherheit durchaus noch etliches im Argen liegt. Hier sind natürlich zunächst die Hersteller und Lösungsanbieter gefordert. Und es tut sich bereits einiges: Etliche Organisationen beschäftigen sich inzwischen intensiv mit Standards und Security-Modellen für das Internet of Things, zum Beispiel das Industrial Internet Consortium oder die Open Connectivity Foundation, die 2014 unter anderem von Broadcom, Dell, Intel und Samsung gegründet wurde.

Heimautomatisierung: So sorgen Sie für Security

Ein zentrales Problem ist, dass die internetfähigen Geräte in den Haushalten keine - oder nur unregelmäßige - Updates erhalten. Problematisch ist auch, dass sich im Hinblick auf das Internet der Dinge bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.

Verbreitete Kommunikationsprotokolle sind heute ZigBee oder Z-Wave. Dass diese eine hohe Sicherheit bieten, ist allerdings ein Trugschluss. Das hat sich wieder einmal Ende 2015 gezeigt, als eine ZigBee-Variante geknackt wurde. Genutzt wurde dabei ein öffentlich bekannter, asymmetrischer Schlüssel, der bei der Neuanmeldung eines ZigBee-Gerätes in einem Netz benötigt wird. Ob ein derartiges Verfahren heute noch zeitgemäß ist, sei dahingestellt.

Bedeuten diese potenziellen Sicherheitslücken nun im Umkehrschluss, dass der Verbraucher überhaupt nichts tun kann? Natürlich nicht. Er ist durchaus gefordert und muss selbst einige Sicherheitsmaßnahmen ergreifen. Ganz allgemein gibt es für einen IoT-Anwender drei Handlungsempfehlungen:

1. Der Verbraucher muss sich bewusst sein, dass Sicherheitsrisiken bestehen. Diese Awareness ist nach wie vor nicht sonderlich ausgeprägt.

2. Er muss grundlegende Sicherheitsempfehlungen beachten und aktiv werden, etwa bei der Änderung der Default-Passwörter von Systemen und Devices.

3. Er muss alle genutzten Systeme auf dem aktuellen Stand halten und - soweit möglich - für das regelmäßige Einspielen von Updates sorgen.

Der Anwender muss vor allem Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet: dem Router. Die Standard-Passwörter der Geräte werden nämlich in der Praxis oft nicht geändert. Dadurch ergibt sich schon die erste Sicherheitslücke. Weitere wichtige Punkte im Hinblick auf die Sicherung des Heimnetzes sind strikte Firewall-Einstellungen: Es muss klar festgelegt werden, wer worauf Zugriff erhält. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen - und zwar sowohl intern als auch extern.

Smart-Home-Sicherheit: Bei Bedarf Expertenwissen nutzen

Aber der Verbraucher hat durchaus noch weitreichendere Möglichkeiten, die IoT-Entwicklung in Richtung mehr Sicherheit zu beeinflussen. So sollte er bereits bei der Auswahl von Lösungs- und Serviceanbietern ein hohes Maß an kritischem Sachverstand an den Tag legen. Da die Heimsysteme letztlich über die externe Cloud gesteuert werden, geht es nicht nur um die technische Kompetenz des Cloud-Providers, sondern auch um das Thema Vertrauen.

Legt der Konsument künftig ein stärkeres Augenmerk auf den Bereich Sicherheit, wird das in letzter Konsequenz auch Auswirkungen auf die Lösungs- und Serviceanbieter haben. Auch sie werden dann dem Themenkomplex Sicherheit eine größere Bedeutung einräumen als in der Vergangenheit. Endverbraucher können somit auch einen Veränderungsprozess auf Anbieterseite initiieren.

Auch wenn der Anwender einige grundlegende Sicherheitsrichtlinien beachtet und seinen Dienstleister kritisch auswählt, eines darf nicht außer Acht gelassen werden: die Sicherung der heimischen Infrastruktur weist gerade auch im Hinblick auf die Anbindung einer heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt, es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Heimanwender also den Weg der umfassenden Vernetzung geht, sollte er sich durchaus die Frage stellen, ob es nicht ratsam ist, sich die Unterstützung eines externen Dienstleisters zu sichern. Dieser muss natürlich über entsprechende Erfahrungswerte bei der Realisierung umfangreicher Heimautomatisierungsprojekte verfügen. (fm)

Lesen Sie zum Thema auch:

IoT - Rettungsanker Regulation?

Smartlocks: Schlösser knacken leicht gemacht

Ohne IT-Sicherheit keine digitale Vernetzung