SMART LOCKS IM SECURITY-CHECK
Sind vernetzte Türwächter im wahrsten Sinne Einfallstore für Einbrecher? Sicherheitsexperten geben weitgehend Entwarnung.
me unverschlüsselt miteinander kommunizieren – innerhalb des vernetzten Zuhauses genauso wie von dort ins Internet und wieder zurück. „So werden beispielsweise Informationen unkontrolliert an in anderen Ländern befindliche Server gesendet. Die Folge: Nutzer verlieren die Kontrolle über ihre Daten beziehungsweise können nur schwer einschätzen, wer Zugriff auf die eigenen Daten erhält“, erklärt Marco Preuss, Leiter des europäischen Forschungs- und Analyse-Teams von Kaspersky Lab. „ Hier wären mehr Transparenz und mehr Energie in Verschlüsselungstechnologien wünschenswert.“
Denn Verschlüsselung ist eines der effektivsten Mittel gegen Datendiebstahl und -missbrauch. Zumindest in dieser Hinsicht sind übrigens die zunehmend beliebter werdenden smarten Lautsprecher von Amazon, Google und Co vergleichsweise harmlos: Die Datenübertragung zum Cloudserver bei jedem noch so simplen Sprachbefehl erfolgt ausschließlich verschlüsselt. Was mit den gespeicherten Kundendaten alles angestellt wird, gehört allerdings mehr oder weniger zum Geschäftsgeheimnis. Wer gern mit Alexa oder anderen Sprachassistenten plauscht, sollte also ein gewisses Maß an Vertrauen gegenüber den Diensteanbietern mitbringen – oder es besser bleiben lassen.
Sicherheitsexperten raten Smart-Home-Anwendern generell dazu, verstärkt auf ihre Privatsphäre zu achten. „Oftmals sind es nicht unbedingt die ‚Bad Boys‘, die auf Abstand gehalten werden müssen, sondern die Gerätehersteller selbst, die Telemetriedaten für Marketing- und Forschungszwecke auswerten“, betont Bogdan Botezatu, Leitender Analyst für digitale Bedrohungen beim Antivirenspezialisten Bitdefender. „Und selbst wenn hier die Grundabsicht keine böse ist, so gibt es keinerlei Garantie, dass persönliche Informationen – beispielsweise private Fotos, aufgezeichnete Unterhaltungen oder Video-streams – wirklich auf eine sichere und rechtlich einwandfreie Weise gespeichert werden.“
Security by Design
In erster Linie sind also die Hersteller gefragt, die nicht nur mit den Daten ihrer Kunden sorgsam umgehen müssen, sondern auch in der Pflicht stehen, sichere Smart-Home-Produkte auszuliefern. Eine einfache Maßnahme besteht beispielsweise darin, den Nutzer nach der Inbetriebnahme eines Geräts zu zwingen, ein sicheres Passwort zu vergeben.
Damit Verbraucher leichter erkennen können, welche Geräte und daran angeschlossene Services zumindest ein Mindestmaß an Sicherheit gewährleisten, arbeitet das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit an der Entwicklung eines entsprechenden Gütesiegels, einer Art „Blauer Engel“der IT-Sicherheit.“Private Prüfinstitute wie AV-Test zertifizieren darüber hinaus Smart-HomeProdukte auf freiwilliger Basis und attestieren ihnen ein bestimmtes Sicherheitslevel.
Und natürlich können Verbraucher selbst einiges tun, um Sicherheit und Datenschutz im Smart Home zu verbessern (siehe Kasten auf Seite 100). Das beginnt damit, überhaupt ein Bewusstsein dafür zu entwickeln, wo welche Risiken vorhanden sind. So sind beispielsweise Smart-TVs inzwischen in vielen Haushalten so selbstverständlich geworden, dass sich kaum noch jemand Gedanken darüber macht, welche Daten die vernetzten Fernseher laufend durchs Internet schicken und wer alles darauf zugreifen kann.
Desiree Schneider, Pressesprecherin der SmartHome Initiative Deutschland e.V. „Bei Angriffen steht bislang nicht das Eigenheim im Fokus. Stattdessen werden Geräte und Dienste für andere kriminelle Zwecke missbraucht.“
bus wurden über 100 000 schlecht geschützte Geräte mit Internetanbindung, darunter viele IP-Kameras, über das Schadprogramm „Mirai“automatisch in ein Botnetz eingebunden. Mit der Rechenleistung dieses „Kamera-Netzwerks“führten die Angreifer massive Internetattacken durch.
IP-Kameras im Netz
Wie sich der gewünschte Schutz durch IP-Kameras aufgrund von Sicherheitsmängeln komplett ins Gegenteil verkehren kann, zeigt exemplarisch die Internetseite Insecam.org: Sie präsentiert Echtzeit-Streams von vernetzten Kameras, die ohne nennenswerten Kennwortschutz mit dem Internet verbunden wurden. Hier finden sich nicht nur Überwachungskameras von öffentlich zugänglichen Geschäften, sondern auch viele im Privatbereich genutzte Geräte – einschließlich ihrer Standortdaten. Noch einen Schritt weiter geht die Suchmaschine für IoT-Geräte unter Shodan.io. Diese zeigt Kameras ohne Kennwortschutz, die sich über ungeschützte Cloud-Bedienmenüs sogar aus der Ferne steuern lassen.
Noch schwerwiegender könnten die Folgen von Sicherheitsmängeln bei vernetzten Schließanlagen, sogenannten Smart Locks, sein. Doch diese sind nach Einschätzung von Security-Experten besser geschützt als viele IP-Kameras (siehe Kasten Seite 98).
Abgesehen davon scheint die physikalische Sicherheit bei Cyberkriminellen ohnehin kein großes Thema zu sein. „Solange Fenster von geübten Langfingern noch in wenigen Sekunden mit einer Brechstange aufgestemmt werden können, lohnt sich der digitale Zugriff nicht“, betont Desiree Schneider, Pressesprecherin der Anbietervereinigung SmartHome Initiative Deutschland. „Hinzu kommt, dass die entsprechenden kriminellen Kräfte nicht über das notwendige technische Know-how verfügen – und wenn, dann finden Sie einen deutlich besser bezahlten und sichereren Job in der freien Wirtschaft.“
Der Schlüssel zum Datenschutz
Was in der Diskussion über die Smart-Home-Sicherheit allerdings oft vernachlässigt wird, sind die Themen Datenschutz und Privatsphäre. Problematisch ist, dass viele Geräte und Syste-
Die Kinder kommen von der Schule heim, ein Handwerker verlangt Einlass – doch man selbst steckt auf dem Heimweg im Stau oder wartet am Bahnhof auf einen verspäteten Zug. Gibt es keinen vertrauenswürdigen Nachbarn, der mit einem bei ihm deponierten Ersatzschlüssel aushilft, ist ein Smart Lock sehr hilfreich: Ein Klick in der Smartphone-App genügt und die Haustür öffnet sich wie von Zauberhand – ohne Schlüssel und sogar per Fernsteuerung. Oft ist es auch möglich, vorprogrammierte Sperr- und Öffnungszeiten einzurichten sowie Zutrittsgenehmigungen für andere Nutzer zu vergeben. Hinzu kommen sogenannte GeofencingFunktionen: Gelangt ein autorisierter Nutzer in Funkreichweite, sperren einige Smart Locks automatisch auf. Verlässt ein angemeldetes Smartphone den Funkbereich, schließt der Zylinder automatisch wieder ab.
Smart Locks sind erschwinglich, lassen sich meist ohne handwerkliches Geschick montieren und sind kinderleicht zu bedienen – zweifellos eine praktische Sache. Problematisch wird das Ganze allerdings, wenn die virtuellen Türsteher auch ungebetenen Gästen Einlass gewähren. Denn normalerweise locken Sicherheitslücken in Smart-Home-Produkten nur virtuelle Eindringlinge an, der Schaden hält sich oft in Grenzen. Versagt ein Smart Lock, droht nicht nur Datendiebstahl, sondern sogar der Verlust reeller Güter in den eigenen vier Wänden, weil man dem Dieb ungewollt quasi selbst die Tür aufmacht.
Doch wie groß ist das Risiko überhaupt? Lassen sich smarte Schlösser wirklich so leicht manipulieren und damit per Hack öffnen? Um das herauszufinden, haben die Security-Experten von AV-Test kürzlich sechs vernetzte Schließsysteme genauer unter die Lupe genommen.
Überraschend sicher
Dabei zeigte sich, dass Komfort nicht zwingend mit Unsicherheit einhergehen muss. Denn die Prüfung ergab, dass das Sicherheitsniveau der Smart Locks deutlich höher ist als etwa jenes vieler anderer Geräte, die ebenfalls die Gebäudesicherung adressieren. Fünf von sechs überprüften Schließsystemen wird jedenfalls eine solide Basissicherheit mit bestenfalls theoretischer Angreifbarkeit bescheinigt. Dazu gehören die Produkte von August und Danalock.
Die getesteten Schlösser von eQ-3, Noke und Nuki bestanden den Test sogar mit Bravour – sie bieten ein gutes Sicherheitslevel und somit genau das, was man sich von einer vernetzten Schließanlage wünscht. Lediglich das Smart Lock von Burg-Wächter können die Tester aufgrund vermeidbarer und leicht abstellbarer Mängel derzeit nicht empfehlen. und nachhaltige Sicherheitseigenschaften.
Unzureichend geschützt sind häufig gerade jene smarten Geräte, die eigentlich der Sicherheit des Eigenheims und seiner Bewohner dienen sollen: die immer beliebter werdenden IP-Kameras. Zwar bieten viele Hersteller verschiedene Sicherheitsfunktionen für ihre Überwachungskameras. „Dass die Übertragung und Speicherung der von Kameras erzeugten Daten ebenfalls sicher sein muss, haben sie jedoch meist nicht bedacht“, gibt Olaf Pursche vom SecurityDienstleister AV-Test zu bedenken. Auch der Zugriff über zugehörige Onlinedienste sei in einigen Fällen gar nicht oder nicht ausreichend abgesichert. „Und so öffnen sie Angreifern Tür und Tor in den Privatbereich der Nutzer und erlauben Unbefugten den Zugriff auf alle über das WLAN angeschlossenen Geräte, darunter PCs, Smartphones und Tablets“, ergänzt Pursche.
Im schlimmsten Fall gefährden die Kameras nicht nur die Sicherheit des heimischen Netzwerks, sondern werden von Online-Kriminellen auch als Teil eines Botnetzes für Online-Erpressung und Angriffe auf Internetdienste missbraucht – natürlich ohne Wissen der Nutzer.
Eine solche groß angelegte Webattacke gab es beispielsweise Ende 2016: Rund um den Glo-
Olaf Pursche, Chief Communications Officer bei der AV-Test GmbH „Viele vermeintlich smarte Lösungen, die das Eigenheim gegen Eindringlinge schützen sollen, sind selbst ein Sicherheitsrisiko.“