Verband warnt vor Smart Home Manipulationen

Viele Smart Home Lösungen erfüllen nur geringe Sicherheitsstandards. So lassen sich ohne großen Aufwand mit im Internet frei verfügbaren Werkzeugen Lichter in Häusern ausschalten, die Rollläden hoch- und runter fahren oder private Photovoltaik-Anlagen vom Netz nehmen. Wie einfach Manipulationen möglich sind, demonstrierte Marco Di Filippo im Workshop „Licht aus, Vorhang auf, Bühne frei! Smart-Home-Hacking“ kürzlich im Rahmen der Internet Security Days in Brühl bei Köln.

Di Filippo weist dabei auf die Gefahren möglicher konzertierter Aktionen von Cyberkriminellen hin: „Die vorhandenen Sicherheitslücken lassen es zu, dass Hacker tausende öffentlich zugängliche Photovoltaikanlagen in Deutschland gleichzeitig vom Netz nehmen. So können sie für plötzliche Schwankungen im Stromnetz sorgen – mit unbekannten Folgen“, sagt Filippo. Auch Rauchmeldeanlagen, Überwachungskameras und Schließsysteme für Privathaushalte lassen sich laut Di Filippo mit geringem Aufwand manipulieren. „Werden verschiedene Angriffsszenarien zu einem vorher abgestimmten Zeitpunkt kombiniert, dann hat das möglicherweise weitreichende Folgen.“

Angriffsflächen werden unterschätzt

„Potenziell angreifbar ist jedes Gerät im IoT, vom Kühlschrank über das Auto bis hin zu Steuerungsanlagen in der Industrie“, sagt Di Filippo. Er fand Sicherheitslücken auch in vielen öffentlichen Versorgungseinrichtungen wie Wasserwerken oder in Schwimmbädern. Er warnt vor einer noch viel zu unbesorgten Einstellung vieler Verantwortlichen, die bewusst beispielsweise auf verschlüsselte Verbindungen verzichten. Doch das Schadpotenzial vieler kleiner Sicherheitslücken sei riesig. „Hacker finden automatisiert Angriffspotenziale und nutzen diese früher oder später gezielt für Attacken aus. Das konnten wir mit unterschiedlichen Experimenten nachweisen“, betont Filippo.

Großes Schadpotenzial

Gibt es Sicherheitslücken, werden diese von Hackern fast immer auch entdeckt und ausgenutzt. Dafür sorgen beispielsweise IoT-Suchmaschinen wie Shodan oder Censys, die das IoT (Internet of Things) nach allen Geräten scannt, auf die sich aus der Ferne zugreifen lässt. „Alle Komponenten, die ins heimische Netzwerk eingebunden sind und damit eventuell Zugriff auf das Internet haben, sind potentiell angreifbar“, sagt Markus Schaffrin vom eco – Verband der Internetwirtschaft e.V. „Hersteller sollten auf etablierte Standards zur Verschlüsselung der Verbindungen setzen.“

Der eco-Verband rät deshalb zu Lösungen, bei denen sich der Nutzer authentifizieren muss, bevor er aus der Ferne auf sein Smart Home zugreift. Ein besonders hohes Missbrauchspotenzial bieten unverschlüsselte Verbindungen und Standard-Logins, die sich nicht ändern lassen. Besitzer älterer Anlagen oder von Herstellern, die nicht mehr auf dem Markt sind, sollten entsprechend nachrüsten. Für Sicherheit sorgt beispielsweise ein nachträglich vorgeschaltetes VPN-Gateway.