Die Überwachungskamera im Smart Home zeigt Einbrechern, wann niemand zu Hause ist. Das fernbedienbare Schloss öffnet ihnen auch noch Tor und Tür. Ein Horrorszenario, das laut einer aktuellen Studie von HP Security Research gar nicht so weit hergeholt scheint. Die Sicherheitsexperten des Technologie-Konzerns Hewlett-Packard haben in den USA zum wiederholten Mal Produkte für ein smartes Zuhause getestet. Diesmal waren es Sicherheitslösungen, also Systeme, die das Smart Home überwachen und bei Einbrüchen Alarm schlagen sollen. Zu den zehn untersuchten Produkten gehörten sowohl Überwachungssysteme mit Videokamera als auch Alarmanlagen und smarte Türschlösser. Daniel Miessler von HP möchte nicht konkreter werden: „Wir können nichts Genaueres sagen, weil die Probleme noch nicht behoben sind“. Er leitet ein Forschungsteam, das Firmenkunden Softwarelösungen zum Sicherheits-Check ihrer Apps und Programme anbietet. Die Suche nach Lücken im System ist also sein Beruf.

Cloud-Zugang übers Internet angreifbar

Das Internet der Dinge, in dem Geräte übers Datennetz direkt miteinander kommunizieren, hält er für eine Art „Frankensteins Monster der Informationssicherheit“. Schon beim ersten Test vor etwa einem Jahr, als HP zehn vernetzte Produkte von Smart-TVs über Heizungsthermostate bis hin zu Smart-Home-Basisstationen untersuchte, entdeckten die Forscher durchschnittlich 20 Schwachstellen pro Gerät. „Es war, als hätten alle Erfahrungen, die während der vergangenen 25 Jahre in Sachen Sicherheit gemacht wurden, nie stattgefunden“, so Miessler. Die aktuellen Ergebnisse sind kaum weniger ernüchternd. So waren alle zehn getesteten Systeme über ihren Cloud-Zugang aus dem Internet heraus angreifbar. Das heißt: Hacker, denen es gelänge, mit einer Brut-Force-Attacke das Nutzerkonto zu übernehmen, könnten auch die Wohnung ausspähen. Dass keines der Systeme sichere Passwörter vom Nutzer verlangte oder Angreifer nach einer bestimmten Anzahl von Fehleingaben aussperrte, macht es Kriminellen noch einfacher. Nur ein einziges Produkt sah die Anmeldung in zwei Schritten vor, bei der neben den Zugangsdaten noch ein weiteres Sicherheitsmerkmal wie ein SMS-Code benötigt wird. Sieben von zehn Systemen hatten ernsthafte Schachstellen beim Software-Update. Sie übertrugen Daten unverschlüsselt zum Server des Anbieters oder waren nicht in der Lage zu erkennen, ob ein heruntergeladenes Update manipuliert worden war. Bei einem Produkt besaßen Nutzer sogar Schreibrechte auf dem Firmenserver – eine regelrechte Einladung an Kriminelle, ihre eigene Schadsoftware dort zu deponieren und per Update auf alle installierten Anlagen verteilen zu lassen.

Nun betrifft die Studie ausschließlich Produkte auf dem amerikanischen Markt. Es wäre möglich, dass die Anbieter hierzulande wegen strengerer Datenschutzbestimmungen mehr Problembewusstsein zeigen. Eine Untersuchung des Magdeburger Instituts AV-Test aus dem vergangenen Jahr scheint das zu bestätigen: Von sieben Smart-Home-Starter-Kits im Test wurden drei deutsche Produkte als sicher eingestuft: Gigaset Elements, RWE Smarthome und Qivicon von der Telekom. Die übrigen vier Systeme fielen wegen Sicherheitsmängeln durch. Darunter auch die deutsche Heizungssteuerung Xavax Max!, ein Produkt des ostfriesischen Unternehmens EQ-3, das interessanterweise auch die Funktechnik für Qivicon und RWE liefert. Maik Morgenstern von AV-Test kann die Erkenntnisse seiner US-Kollegen nur bestätigen: „In manchen Systemen werden nicht einmal die wichtigsten Grundlagen der IT-Sicherheit befolgt“, so der Chief Technology Officer (CTO) des Instituts. Nach Veröffentlichung der Ergebnisse hätten nur zwei Unternehmen reagiert und mit den Testern Kontakt aufgenommen.  Dabei ist die Gefahr keineswegs gebannt: „Ständig kommen neue Produktkategorien auf den Markt – von neuen Herstellern, die dieselben Fehler wieder machen.“

Das betrifft sogar die Lösungen etablierter Heimvernetzer wie Gira oder Jung. Deren gemeinsames Funksystem eNet kam ohne Verschlüsselung auf den Markt – um die Reaktionszeiten zwischen Tastendruck und der gewünschten Aktion möglichst kurz zu halten. Wie mir ein Firmenvertreter letztes Jahr erklärt hat, soll ein sicheres Funkprotokoll zur Verbindung von Schaltern, Lampen und Rollläden erst per Software-Update nachgeliefert werden. Das mag im Falle von eNet harmlos sein, weil sich mit einem Sniffer in der Nachbarschaft nur die Steuerbefehle für Licht und Beschattung ablauschen lassen. Es zeigt aber, dass im Pflichtenheft der Hersteller die Sicherheit teilweise hinter Komfort und Leistung zurückstehen muss.

Nutzer tragen auch selbst Verantwortung

Für den Nutzer ist es schwer, potentielle Schwachstellen zu erkennen. Anders als beim Online-Banking per Browser, wo sich jeder selbst von seiner HTTPS-Verbindung und der Gültigkeit des Verschlüsselungszertifikats überzeugen kann, läuft die Steuerung smarter Produkte häufig über eine App des Herstellers ab. Ob Benutzername und Passwort dabei unverschlüsselt durchs Internet übertragen werden, lässt sich kaum überprüfen. Sogar das heimische WLAN kann zum Risikofaktor werden, wenn es nicht ausreichend abgeschottet ist. Vor Kurzem erst ergab eine Umfrage des Antivirensoftware-Herstellers Avast unter 8000 Haushalten, dass über die Hälfte der Router in Deutschland nur mit einem voreingestellten Standard-Passwort geschützt sind oder – noch schlimmer – so banale Zugangsdaten wie „admin/admin“ oder „admin/password“ verwenden. Weitere 24 Prozent der Haushalte haben ihre Adresse, Telefonnummer oder ein anderes Passwort eingestellt, das sich einfach erraten lässt. Diese Leichtsinnigkeit öffnet Kriminellen eine Hintertür ins vernetzte Haus. Sie mag heute noch dazu benutzt werden, um Nutzer per DNS-Hijacking auf gefälschte Homebanking-Webseiten umzuleiten. Doch wenn erst einmal genug Smart Homes „am Netz“ sind, wird sich auch der digitale Wohnungseinbruch für Cyberkriminelle lohnen. Hoffentlich haben die Hersteller bis dahin ihre Hausaufgaben gemacht – und die Bewohner ihren Teil dazugelernt. Denn einfach nur neue Geräte mit dem Router zu verbinden genügt nicht: „Mit jedem Gerät, das Sie ans Internet anschließen, übernehmen Sie auch eine gewisse Verantwortung“ weiß Maik Morgenstern. „Für die Absicherung Ihres WLAN und für regelmäßige Software-Updates der Geräte sind sie nämlich selbst zuständig“.

digitalzimmer.de meint: Wenn es um die Sicherheit von Smart-Home-Installationen geht, fehlt vielen das Problembewusstsein – Herstellern genauso wie Nutzern, die oft recht sorglos mit den Produkten umgehen. Dass man am öffentlichen Hotspot besser kein Online-Banking betreibt, hat sich inzwischen herumgesprochen. Für den Blick ins vernetzte Heim per Videokamera sollte dasselbe gelten. Allerdings besteht kein Grund zu übertriebener Panikmache: Laut einem Bericht in der Tageszeitung „Die Welt“ wird alle dreieinhalb Minuten in Deutschland eine Wohnung oder ein Haus aufgebrochen. Und das geschieht normalerweise ohne digitale Hilfe, nur mit Dietrich und Brechstange. Ein Smart Home kann da sehr wohl abschreckend wirken, wenn es mit seiner Beleuchtung Anwesenheit simuliert oder bei Erschütterung der Tür die Sirene losheulen lässt. Eine Statistik, wie viele Einbrüche auf diese Weise schon verhindert wurden, gibt es bislang nicht.