Smart Home – sicher gemacht

Mit Features zum Schutz vor Einbrüchen und mit Not- ruf- und Überwachungssystemen trägt das Smart Home auch zur höheren Sicherheit seiner Bewohner bei. Der Nutzen für die Bewohner eines Smart Home liegt auf der Hand. Mit Smartphone, Tablet, sprachge- steuerten Lautsprechern mit integriertem Mikrophon oder einem einfachen Touchpad lassen sich die Smart Home-Systeme meist intuitiv steuern. „Alles ganz ein- fach!“, versprechen die Hersteller. Doch jeder Internet- nutzer weiß, das Internet ist die Spielwiese der Hacker. Die wird nun größer, durch Smart Home und das Inter- net der Dinge.

Und tatsächlich, seit Gebäudeautomation (GA) auch ans Internet angeschlossen wird, ist IT-Sicherheit im Smart Home ebenfalls ein wichtiges Thema gewor- den. Das erste Sicherheitsproblem von Smart Home: Die Technologie ist gar nicht mit dem Ziel der IT- Sicherheit entwickelt worden. Autarke kabelbasierte GA-Systeme sind leicht durch das Abschließen der Tür zur Technikzentrale zu sichern. Doch nun gehen die Systeme online und können aus der Ferne gesteuert werden, leider nicht nur durch den Hausherrn.

Die Vielzahl von Smart Home-Kommunikationsstan- dards und Computermodulen (zum Beispiel Home Server) macht einen Hack allerdings komplizierter als bei einem standardisierten System, wie einem Com- puter, Notebook oder ähnlichem. Der Hacker müsste genau wissen, welche Systeme in einem Gebäude verbaut sind. Selbst bei den Low-Cost-Systemen, bei denen die Datenkommunikation und Kommando- erzeugung teilweise oder ganz über einen hochgesi- cherten Cloud-Server stattfinden, ist es nicht wirklich leicht. Ein Hacker müsste sich zum richtigen Zeit- punkt mit einem gültigen Funk-Daten-Telegramm in die Kommunikationsschleife zwischen Sensor oder Bediengerät, Homeserver, ggf. Cloudserver, Homeser- ver und Aktor einhacken, um zum Beispiel unerlaubte Aktionen auszulösen und er dürfte auch nicht weiter als zirka zehn bis 20 Meter vom System entfernt sein. Das klingt schwierig, aber möglich ist es schon.

Weitere Baustellen kommen hinzu: Es gibt einen enor- men Altbestand an Hard- und Software. Softwareak- tualisierungen sind dort schwierig bis unmöglich, zum Beispiel wenn der Hersteller nicht mehr am Markt ist.

Die Kommunikationsstandards und Schnittstellen zum Internet sind oft unsicher. Sie hängen dem Stand der Technik in der IT-Welt schnell mal um zehn Jahre hinterher. Das ist auch leicht zu erklären. Bei einem Smartphone denkt der stolze Besitzer schon nach zwei bis drei Jahren an den Austausch des Gerätes. Ein Gebäude sollte aber doch mindestens 50 Jahre und die Haustechnik wenigstens zehn bis 20 Jahre genutzt werden.

Last but not least: Anbieter und auch Nutzer haben ein geringeres Sicherheits-Knowhow und Sicherheitsbewusstsein. Die Zahlungsbereitschaft für IT-Sicherheit ist schon bei PC-Nutzern nicht sehr hoch. Wie oft verzichtet man selbst mal ganz cool auf ein kostenloses Update für Virenschutz und Firewall? „Wer will schon an meine Daten“, denkt sich so mancher Nutzer von PCs, mobilen Endgeräten und auch von Smart Home. Aber an der rasant steigenden Zahl von Spam-Mails erkennt man doch schnell, dass es sehr wohl Interessenten gibt.

Folgende Zahlen belegen die Wichtigkeit für die Daten-Sicherheit von Smart Homes: 102 Angriffe pro Woche wurden 2012 in den USA gezählt. Das ist eine Steigerung gegenüber 2011 um 42 Prozent. Und das ist vielleicht nur die Spitze des Eisbergs. Eine aktuelle Studie der Sophos Technology GmbH aus Wiesbaden zählt mehr als 70.000 Zugriffsversuche auf ein virtuelles Smart Home sowie über 68.000 offene WebSchnittstellen zu Smart Home-Geräten.

Viele Angriffe auf Smart Home-Systeme bleiben lange unbemerkt. Unsere E-Mails checken wir noch täglich, aber wer checkt regelmäßig seinen Homeserver? Darum kümmert sich der Nutzer in der Regel nur, wenn etwas nicht mehr funktioniert.

Für Hacker ist das Smart Home-Netzwerk im Einfamilienhaus oft nicht das eigentliche Ziel, sondern nur Mittel zum Zweck. Sicher ist es für den Hacker unterhaltsam, die Heizung oder das Licht einund auszuschalten oder die Jalousien zu bewegen. Aber spannender werden umfassende Nutzerprofile von Häusern oder gar Quartieren. Im besseren Fall werden sie für die Marktforschung genutzt, im schlechterenFall um herauszufinden, wann die Bewohner nicht zu Hause sind und ein Einbruch lohnt.

Kriminell aber möglich ist es, aus vielen Smart HomeGeräten ein Botnet zu bilden. Der Botmaster kontrolliert dieses „Roboternetz“ und kann darüber zum Beispiel ganz unauffällig den Energieverbrauch einer ganzen Region erhöhen, indem er die Heizungen in den von ihm kontrollierten Gebäuden ein kleines bisschen höher dreht. Das merkt der Bewohner kaum, aber den Energieversorger würde das freuen, er verdient mehr Geld. Botnets können ebenso genutzt werden, um massenhaft Spam und Schadsoftware im Internet zu verteilen. Das freut dann niemanden mehr.Ein Botnet ist übrigens ganz leicht erstellt. Ungesicherte Heimnetzwerke sind schnell zu finden. Suchmaschinen wie www.shodan.io suchen ständig im Web nach Gebäuden, Kühlschränken, Webcams, Smart TVs oder auch Kraftwerken. Zielgruppe für diesen Service sind Wissenschaft, Wirtschaft und Sicherheitsexperten. Aber Hacker können das auch.

„Wardriving“ nennt man das Absuchen der Gegend nach Signalen aus (ungesicherten) Heimnetzwerken, WLANS aber auch von funkenden Smart Home-Systemen. Zugang zum Smart Home bieten auch Smartphones, auf denen eine Malware installiert wurde. Sie können per GPS geortet und zum Transfer von Daten genutzt werden. Jedes internettaugliche Gerät, das selbst oder über ein anderes Gerät im Netzwerk ungesichert funkt, kann auch gefunden werden. Und Hacker suchen danach. Also kommt man nicht drum herum, sich als Anbieter und Nutzer von Smart Home mit Datensicherheit auseinander zu setzen. Doch was kann man tun?

Das Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie FKIE in Bonn hat in seinem Projekt BARNI: Building Automation Reliable Network Infrastructure einen sogenannten Traffic Normalizer entwickelt. Dieser wird zwischen ein bestehendes Smart Home-System und das Internet geschaltet. Der Normalizer überprüft alle Datenpakete und filtert ungewöhnliche Daten heraus. Ungewöhnliche Daten sind zum Beispiel Datenpakete mit einem falsch aufgebauten Header, unüblichen Einstellwerten, wie zu hohe Raumtemperaturvorgaben, oder unübliche Sensormesswerte. Als ungewöhnlich gelten ebenfalls zu viele Datenpakete in kurzer Zeit. Zu diesem Zweck lernt das Gerät zunächst den normalen Datenverkehr kennen. Anschließend wird ständig nach Abweichungen gesucht, die das Programm für denjenigen, der den Datenfluss überwacht, auch nutzerfreundlich bildlich darstellt.

Das ist ein Ansatz, der für kabelbasierte Smart HomeSysteme gut funktioniert. Bei funkbasierten Systemen könnte ein Normalizer aber leicht umgangen werden. Letztendlich ist Datensicherheit im Smart Home nicht mit der Installation eines Gerätes gemacht. Hersteller, Installateure und Nutzer müssen sich dauerhaft darum kümmern. Größere Hersteller empfehlen daher ihren Installateuren, wie man kundenfreundlich und serviceorientiert mit diesem sensiblen Thema umgehen kann. Handwerker sollten bereits vorab mit dem Kunden ausführlich über Datenschutz besprechen und vertraglich den Schutz der sensiblen, personenbezogenen Daten vereinbaren und diese anschließend durch anspruchsvolle und sorgfältige Installation auch wirklich gut absichern. Das muss natürlich im Angebot kalkuliert und dem Kunden erklärt werden.

Tatsächlich gibt es einige technische Tricks, wie man sein Smart Home auch heute bereits gut schützen kann. Zunächst sollte man überlegen, welches Gerät muss ins Heimnetzwerk und welches Gerät muss unbedingt ins Internet. Muss der internetfähige Kühlschrank wirklich mit Heizungsund Jalousiesteuerung verbunden werden? Sollte jeder Gast über das WLAN auch Zugriff auf den Homeserver haben? Zusätzlich kann das Heimnetzwerk sinnvoll in Gruppen mit unterschiedlichen Rechten unterteilt werden. Während alle Bewohner Zugriff auf Internet und Heimelektronik haben dürfen, sind zum Beispiel die Haussteuerung, IP-Kameras für die Gebäudeüberwachung und der Zugang für Wartungszwecke nicht für jedermann zugänglich. Das funktioniert über sogenannte VLANSegmente, das sind logische Teilnetze des physischen Netzes.Gegen den unbefugten Zugriff von außen kann ein Virtual Private Network (VPN) schützen. Alle Daten, die in das Heimnetzwerk „wollen“, müssen durch den „VPN-Tunnel“, auch die Signale von Smartphone, Tablet oder externem PC, mit denen der Nutzer sein Smart Home von unterwegs aus steuern will. Funknetzwerke müssen mit guten Verschlüsselungsmethoden gesichert sein. Diese nützen allerdings nichts, wenn sie nicht ständig auf dem neuesten Stand sind.

Die beste Technik nützt auch dann nichts, wenn der Passwortschutz nichts taugt und die Software nicht regelmäßige Updates erfährt, mit denen Sicherheitslücken geschlossen werden können. Außerdem sollte der Nutzer prüfen, welche Datenfreigabe zum Beispiel bei Apps wirklich notwendig ist und wie es um den Datenschutz eines Cloudanbieters bestellt ist. Die Datenfreigabe für Apps, die sich durch Datentransfer finanzieren, sollte man vermeiden, ebenso die Verwendung billiger Zwischenstecker, beispielsweise aus dem Baumarkt.

Dem Nutzer von Smart Home-Technologie kann man nur raten: Investieren Sie nicht nur in Komfort, Haussicherheit und Energieeffizienz. Investieren Sie auch in Datensicherheit. Suchen Sie sich für Ihr Smart Home einen Anbieter, dem dieses Thema genauso wichtig ist, wie Ihnen und der Ihnen ausführlich und verständlich erklärt, wie Ihr Heimnetzwerk gesichert werden kann. Suchen Sie sich einen Profi, dem Sie vertrauen. Letztlich ist die Sicherheit von Smart Home-Lösungen für alle Anwender ein wichtiges Kriterium für den Einsatz dieser Technologie im Gebäude.

Die Smart Home-Branche hat das erkannt. Deshalb wurden im Oktober 2017 während der Smart Home Security Conference in Bad Soden wichtige Aspekte zwischen Experten von Industrie, Verbänden, Behörden, Versicherungswirtschaft und zertifizierenden Instituten umfassend diskutiert. Ein wichtiges Ergebnis ist die Bad Sodener Erklärung zu Sicherheit im Smart Home und durch Smart Home-Techniken. Sie fasst die Ergebnisse für Bürgern, Medien, Politik und Verwaltung noch einmal zusammen. Hier die wichtigsten Punkte:

  • Smarte Häuser und Wohnungen sind – wenn Smart Home-Produkte fachgerecht installiert wurdengrundsätzlich sicherer als konventionelle. Smart Home ist dabei eine wertvolle Ergänzung zu mechanischer Sicherungstechnik.
  • Fälle von Einbrüchen „per Handy“ sind bisher nicht bekannt.
  • Bei Angriffen auf Smart Home, beziehungsweise. IoT-Produkte steht aktuell nicht das Eigenheim im Fokus. Stattdessen wird versucht, Geräte und Dienste für andere kriminelle Zwecke zu missbrauchen.
  • Der Einsatz von Smart Home-Technik kann vor Sachund Personenschäden schützen und potentielle Einbrecher abschrecken.
  • Smart Home braucht nicht zwingend das Internet.
  • Sichere Router sind eine Grundvoraussetzung für Smart Home mit Internetzugang.– Cloud-Only-Lösungen sind potentiell gefährdet, da sie im Gegensatz zu rein lokalen Lösungen einen zusätzlichen Angriffsvektor bieten und sind gefährlich, da sie nicht über Notlaufeigenschaften verfügen.
  • Bestimmte Cloud-Dienste sind gut geeignet, eine sichere Kommunikation zwischen Smart HomeSystemen, Bewohnern und Dienstleistern zu gewährleisten.

Fakt ist: Smart Home – gut und sicher gemacht, verbessert die Sicherheit in Gebäuden. Die Branche ist dabei auf einem guten Weg.