Die Steuerung aus der Ferne per Handy ist bei vielen Smart Homes Standard.
Mit dem Komfort steigt aber auch das Risiko – vor allem, wenn der Hersteller bei der Umsetzung zu sorglos agiert. Wie durch ein Sicherheitsleck Einbrecher auf Knopfdruck in Häuser hätten eindringen können, schildert das Computermagazin c’t in seiner aktuellen Ausgabe 19/16.
Smart-Home-Systeme sollen einfach einzurichten sein. Doch Hersteller müssen sicherstellen, dass die Anlagen wirksam vor Angriffen geschützt sind – insbesondere wenn sie für Fernzugriffe mit dem Internet verbunden werden. Welche fatalen Konsequenzen es haben kann, wenn dieser Drahtseilakt misslingt, zeigt sich am Fall von Loxone Electronics: der Hersteller lieferte sein Smart-Home-System mit einem schlecht gesicherten Zugang aus und wies durch einen zu simpel gestrickten Webdienst selbst den Weg zu angreifbaren Anlagen.
„Mit einem kleinen Skript ließen sich auf einen Schlag über 110 Anlagen in ganz Europa finden, die die schwachen Zugangsdaten benutzen“, so c’t-Redakteur Nico Jurran. Das eröffnet ein gewaltiges Missbrauchspotenzial: Schließlich werden über die Loxone-Anlagen nicht nur Sensoren und Aktoren aus den Bereichen Beleuchtung, Energie, Heizung und Kühlung, Rolladen und Audiosystemen gesteuert, sondern auch sicherheitskritische Komponenten wie Alarmanlagen, IP-Kameras und Zugangssysteme für Türen und Garagentore.
Kriminelle hätten sich hier mit einem Tipp auf ihrem Smartphone selbst Zutritt zum Haus verschaffen können – ohne dabei Spuren zu hinterlassen. „Das ist ein Albtraum für Eigentümer und Mieter – auch aus versicherungsrechtlicher Sicht“, so Jurran.
Als das Computermagazin c’t die Geschäftsführung von Loxone Electronics über das Sicherheitsleck informierte, richtete diese eine interne Task Force ein, die als Sofortmaßnahme die Nutzung des hauseigenen DDNS-Dienstes für Heimserver mit unsicheren Zugangsdaten sperrte.
Diese Maßnahme trug schon nach kurzer Zeit Früchte, die Zahl der Heimserver mit Standard-Login ging drastisch zurück. Allerdings können Kunden auch weiterhin „admin/admin“ verwenden“, sagt Jurran. „Wer weiß, dass seine Loxone-Anlage noch das Standard-Passwort nutzt, sollte umgehend Sicherheitsvorkehrungen treffen.“
Quelle: c’t / Heise Medien