Auf der IFA in Berlin ist das Smart Home ein zentrales Messethema. Als Teil des Internets der Dinge (IoT) steht der Begriff für die Vernetzung und auch (Fern)Steuerung verschiedenster Geräte im häuslichen Bereich. Thermostate, Smart Home Kits mit vernetzten Rauchmeldern oder Steuereinheiten für Heizung und Licht, per Smartphone oder Webinterface steuerbare Alarmanlagen, Rollläden, Garagentore oder Home Entertainment wie Smart TV, vernetzte Spielekonsolen und Multimediacenter - das vernetzte Haus hat viele Facetten.
Doch was passiert, wenn Hacker die Kontrolle über diese Geräte erlangen? Es gibt mittlerweile unzählige Berichte über Sicherheitslücken in Smart Devices. So wird etwa das TV-Gerät zum Spion, der Gespräche im Wohnzimmer mithört und persönliche Daten nach außen gibt, technisch versierte Einbrecher manipulieren den elektronischen Türöffner, schalten die Alarmanlage aus oder fahren die Jalousien herunter. Oder der gehackte, intelligente Kühlschrank schreibt statt Wurst und Käse Toilettenpapier auf die Einkaufsliste.
Fehlende Verschlüsselung als Eingangstor
Auch WLAN-Steckdosen, über die sich angeschlossene Geräte wie Fernseher, Kaffeemaschinen, Lüfter oder Lampen per Smartphone steuern lassen, sind verwundbar. Michael Müller, Executive Security Consultant bei NTT Com Security, gelang es, Daten mitzuschneiden und damit einen Replay-Angriff durchzuführen. "Es war einfach, die Daten für die Authentifizierung abzufangen, da die Verbindung nicht verschlüsselt war, und sie hinterher wieder einzuspielen. Bei einem Replay-Angriff täuscht der Angreifer über die erfassten Daten eine fremde Identität vor und kann damit auf Ressourcen und Daten zugreifen."
In diesem Fall gelang es Müller, die Funk-Steckdose ein- und auszuschalten sowie die angeschlossenen Geräte zu steuern. Neben unverschlüsselter Kommunikation nennt Müller bekannte Sicherheitslücken in der Software, unsichere Passwörter oder fehlende Authentifizierung als weitere Einfallstore für Hacker im Smart Home.
Thomas Hemker, Security Strategist bei Symantec, sieht zudem ein grundsätzliches Problem: "Die in der Vergangenheit getrennte IT-Welt und die Sensorik/Aktorik wachsen jetzt zusammen. Die Hersteller von Hausautomatisierung hatten in Vergangenheit mit IT relativ wenig zu tun. Sie legten ihren Fokus zudem vor allem auf Funktionalität und schnelle Marktreife. Die Security blieb dabei oft auf der Strecke." Er fordert deshalb einheitliche Standards und eine Security by Design, sprich die Hersteller sollten bereits bei der Entwicklung ihrer Geräte an Sicherheitsfunktionen denken und in das Design integrieren.
Vorsicht bei Smart-TV-Geräten
Das gilt auch für Smart-TV-Geräte, sprich Fernseher mit Internetzugriff. "Bei der Nutzung eines Smart TVs werden viele Daten erfasst, ohne dass der Nutzer das immer erkennt. Das können personenbezogene Konto- und Registrierungsdaten für Online-Dienste und Home-Shopping-Kanäle sein, oder Nutzungsdaten zu den auf dem Fernseher aktivierten Apps, Inhalten oder Diensten inklusive der Browser-Historie", gibt Dirk Kollberg zu bedenken, Senior Security Researcher bei Kaspersky. Hinzu kämen gerätespezifische Daten wie Modellbezeichnung, Version des Betriebssystems oder der Firmware, IP-Adresse und sogar Angaben über die mit dem Smart-TV- Gerät verbundenen weiteren elektronischen Geräte.
"Problematisch ist, dass manche Smart-TV-Geräte ungenügend verschlüsselt über das Internet mit den Servern des Herstellers kommunizieren. Damit kann sich ein Angreifer über eine Man-in-the-Middle-Attacke zwischen Smart TV und Hersteller schalten und beispielsweise Gelder für Online-Einkäufe direkt auf sein Konto übertragen", so Kollberg. Über eine im Internet heruntergeladene App oder Video-Datei können Hacker zudem Malware auf den Smart TV einschleusen und etwa das Mikrofon oder die Kamera des Geräts kontrollieren.
Dirk Kollberg geht davon aus, dass künftig auch Ransomware auf Smart-TV-Geräten zu sehen sein wird: "Ransomware blockiert den Zugriff auf das Gerät und fordert eine Art Lösegeld, um die Inhalte wieder freizugeben. In diesem Fall sind dann nicht einmal die TV-Grundfunktionen des Geräts verfügbar." Denkbar wäre diese Form des Angriffs beispielsweise bei einem wichtigen Fußballspiel - etwa einem WM-Finale.
Noch fehlt Cybergangstern das Geschäftsmodell
Bislang sind derartige Erpressungsversuche auf Smart TVs ausgeblieben. "Für die Hacker gibt es noch keine lukrativen Geschäftsmodelle für Smart TVs und andere Geräte aus dem Smart Home", betont Udo Schneider, Security Evangelist bei Trend Micro. "Obwohl viele Geräte technisch verwundbar sind, lässt sich aus diesen Verwundbarkeiten noch nicht genug Kapital schlagen. Wenn die Heizungssteuerung verrückt spielt, ärgert das den Besitzer - ein finanzieller Vorteil für den Hacker entsteht nicht. Wir sind noch in einer Art Vandalismus-Phase", beschreibt Schneider die Situation.
Er zieht eine Parallele zur Entwicklung im PC-Bereich. Dort sei die Malwareszene regelrecht explodiert, nachdem es tragfähige Geschäftsmodelle gab, beispielsweise SPAM-Versand über Botnetze oder Ransomware. "Technisch können die Hacker Smart Devices bereits jetzt relativ problemlos knacken, es fehlt nur noch das Geschäftsmodell. Sollten die Cyberkriminellen diese Herausforderung lösen, stehen uns wahrhaft interessante Zeiten bevor", befürchtet Schneider.
Tipps zum Schutz vor Attacken
Um sich besser vor Angriffen im Smart Home zu schützen, sollten Nutzer folgende Tipps beherzigen. Sie stammen von den im Text zitierten Sicherheitsexperten:
Informieren Sie sich vor dem Kauf eines Produkts genau, etwa indem Sie auf Google den Namen des Produkts in Verbindung mit dem Stichwort Schwachstelle/Vulnerability eingeben. Das gibt erste Aufschlüsse über die Sicherheit des Geräts.
Achten Sie auf Zertifikate wie das VDE-Zeichen für Informationssicherheit und Datenschutz im Bereich Smart Home Backend, das der Verband der Elektrotechnik Elektronik Informationstechnik e.V. (VDE) nach ausgiebiger Prüfung etwa für intelligente Haussteuerung, Thermostate etc. vergibt. Produkte mit diesem Siegel wurden zumindest schon auf Sicherheit geprüft. Informieren Sie sich darüber, nach welchen Kriterien die Prüfung erfolgte.
Spielen Sie aktuelle Firmware-Updates und Sicherheits-Patches der Hersteller zeitnah ein, damit die Geräte immer auf dem aktuellsten Stand sind.
Ändern Sie das Default-Passwort und ersetzen Sie es durch ein starkes Passwort mit mindestens 16 Stellen, Groß- und Kleinschreibung, Sonderzeichen sowie Zahlen.
Verschlüsseln Sie ihre Daten.
Segmentieren Sie ihr Netzwerk und betreiben Sie die Smart Home-Geräte beispielsweise in einem anderen Bereich als etwa den PC oder Drucker, um den Netzzugriff einzuschränken. Die meisten Heim-Router und -Switches bieten die Möglichkeit, verschiedene DMZ/VLANs einzurichten und die verbundenen Geräte anhand der MAC-Adresse einer speziellen Zone zuzuordnen.
Lesen Sie die Lizenzbedingungen genau durch, um zu sehen, was mit den gesammelten Daten passiert. Wer hat Zugriff, warum und zu welchem Zweck werden die Daten erhoben, wo werden sie gespeichert etc.? Sind Sie damit nicht einverstanden, sollten Sie nicht zustimmen. In diesem Fall kann es aber sein, dass Sie eine "smarte" Funktion nicht nutzen dürfen. Alternativ können Sie über die Firewall den ausgehenden Datenverkehr überwachen und bestimmte IP-Adressen sperren. Dazu ist aber technisches Know how notwendig.