Auf der IFA in Berlin ist das Smart Home ein zentrales Messethema. Als Teil des Internets der Dinge (IoT) steht der Begriff für die Vernetzung und auch (Fern)Steuerung verschiedenster Geräte im häuslichen Bereich. Thermostate, Smart Home Kits mit vernetzten Rauchmeldern oder Steuereinheiten für Heizung und Licht, per Smartphone oder Webinterface steuerbare Alarmanlagen, Rollläden, Garagentore oder Home Entertainment wie Smart TV, vernetzte Spielekonsolen und Multimediacenter - das vernetzte Haus hat viele Facetten.
Doch was passiert, wenn Hacker die Kontrolle über diese Geräte erlangen? Es gibt mittlerweile unzählige Berichte über Sicherheitslücken in Smart Devices. So wird etwa das TV-Gerät zum Spion, der Gespräche im Wohnzimmer mithört und persönliche Daten nach außen gibt, technisch versierte Einbrecher manipulieren den elektronischen Türöffner, schalten die Alarmanlage aus oder fahren die Jalousien herunter. Oder der gehackte, intelligente Kühlschrank schreibt statt Wurst und Käse Toilettenpapier auf die Einkaufsliste.
Fehlende Verschlüsselung als Eingangstor
Auch WLAN-Steckdosen, über die sich angeschlossene Geräte wie Fernseher, Kaffeemaschinen, Lüfter oder Lampen per Smartphone steuern lassen, sind verwundbar. Michael Müller, Executive Security Consultant bei NTT Com Security, gelang es, Daten mitzuschneiden und damit einen Replay-Angriff durchzuführen. "Es war einfach, die Daten für die Authentifizierung abzufangen, da die Verbindung nicht verschlüsselt war, und sie hinterher wieder einzuspielen. Bei einem Replay-Angriff täuscht der Angreifer über die erfassten Daten eine fremde Identität vor und kann damit auf Ressourcen und Daten zugreifen."
In diesem Fall gelang es Müller, die Funk-Steckdose ein- und auszuschalten sowie die angeschlossenen Geräte zu steuern. Neben unverschlüsselter Kommunikation nennt Müller bekannte Sicherheitslücken in der Software, unsichere Passwörter oder fehlende Authentifizierung als weitere Einfallstore für Hacker im Smart Home.
- Dirk Kollberg
„Problematisch ist, dass manche Smart TV-Geräte ungenügend verschlüsselt über das Internet mit den Servern des Herstellers kommunizieren.“ Dirk Kollberg, Senior Security Researcher bei Kaspersky - Michael Müller
Michael Müller, Executive Security Consultant bei NTT Com Security, gelang es, bei einer WLAN-Steckdose einen Replay-Angriff durchzuführen. „Es war einfach, die Daten für die Authentifizierung abzufangen, da die Verbindung nicht verschlüsselt war, und sie hinterher wieder einzuspielen.“ - Thomas Hemker
„Die Hersteller von Hausautomatisierung hatten in Vergangenheit mit IT relativ wenig zu tun. Sie legten ihren Fokus zudem vor allem auf Funktionalität und schnelle Marktreife. Sicherheit bleibt hier oft auf der Strecke.“ Thomas Hemker, Security Strategist bei Symantec - Udo Schneider
„Bislang gibt es für Hacker noch keine lukrativen Geschäftsmodelle für Smart TVs und andere Geräte aus dem Smart Home. Wir sind noch in einer Art Vandalismus-Phase.“ Udo Schneider, Security Evangelist bei Trend Micro
Thomas Hemker, Security Strategist bei Symantec, sieht zudem ein grundsätzliches Problem: "Die in der Vergangenheit getrennte IT-Welt und die Sensorik/Aktorik wachsen jetzt zusammen. Die Hersteller von Hausautomatisierung hatten in Vergangenheit mit IT relativ wenig zu tun. Sie legten ihren Fokus zudem vor allem auf Funktionalität und schnelle Marktreife. Die Security blieb dabei oft auf der Strecke." Er fordert deshalb einheitliche Standards und eine Security by Design, sprich die Hersteller sollten bereits bei der Entwicklung ihrer Geräte an Sicherheitsfunktionen denken und in das Design integrieren.