HP Business Value Exchange


- Anzeige -

Internet der Dinge

Vernetzte Haussicherheit als Risiko

26. Februar 2015
Von Stefan Gneiting
Ein Test von Geräten aus den Bereichen Haussicherheit und Alarmanlagen offenbart gravierende Sicherheitsmängel, die Tür und Tor zum Identitätsklau öffnen.

2013 machte der "Hack" von Forbes-Reporterin Kashmir Hill Schlagzeilen: Ihr gelang es, die Steuerung der Lichtanlage einer ihr fremden Wohnung aus der Ferne zu übernehmen. Der digitale Einbruch, den sie beim Wohnungsbesitzer telefonisch ankündigte, wurde ihr leicht gemacht. Sie nutzte aus, dass das Web-Interface des installierten Smart-Home-Systems ohne gesetzten Passwortschutz installiert worden war und der Nutzer nie die Sicherheitseinstellungen geändert hatte. So konnte Hill, ganz ohne Programmierkenntnisse, per Internet die Lichter in dem fremden, circa 1000 Kilometer entfernten Haus ein- und ausschalten.

Das Sicherheitsrisiko steigt

Der Vorfall stammt noch aus der frühen Zeit von Smart-Home-Lösungen. Inzwischen ist die Verbreitung von vernetzten Heimkomponenten gestiegen und das Internet der Dinge ist längst im Alltag angekommen - laut einer Bitkom-Umfrage nutzt bereits jeder Siebte in Deutschland über 13 Jahren Smart-Home-Anwendungen. Man sollte also annehmen, dass sich auch sicherheitstechnisch einiges bewegt hat und die Geräte und Netzwerke mit Internetzugang ausreichend gegen Hacker-Angriffe abgesichert sind.

Diese Annahme ist weit gefehlt. Die Überschrift einer HP-Pressemitteilung - "Vernetzte Haussicherheit 100% unsicher" - bringt die aktuelle Lage auf den Punkt. Die Autoren berufen sich auf eine Teststudie von HP Security Research, die bei allen untersuchten Geräten beträchtliche Schwachstellen in puncto Passwortsicherheit, Verschlüsselung und Authentifizierung offenbart.

Test deckt Sicherheitsmängel auf

Getestet wurden exemplarisch zehn verschiedene Geräte aus den Bereichen Haussicherheit und Alarmanlagen: Web-Kamera, Fernsehgerät, Heizungsthermostat, Steckdose mit Fernzugriff, eine Steuerungen für Sprinkler, ein Hub zur Steuerung mehrerer Geräte, Türschlösser, eine Alarmanlage sowie ein Garagentoröffner. Die Tests wurden mit Hilfe der Sicherheitstest-Lösung HP Fortify on Demand auf der Grundlage der OWASP Internet of Things Top 10 durchgeführt. Das Open Web Application Security Project (OWASP) ist eine nichtkommerzielle Organisation, die Unternehmen und Organisationen unterstützt, sichere Anwendungen zu entwickeln beziehungsweise zu kaufen und zu betreiben. Im Top-10-Projekt listet OWASP die zehn kritischsten Bedrohungen für Internet-Anwendungen, um die Unternehmen für die damit verbundenen Risiken zu sensibilisieren.

Unzureichende Authentifizierung

Das Testteam von HP Security Research fand bei acht der zehn getesteten Geräte eine unzureichende Passwort-Implementierung. So wurden teilweise schwache Passwörter wie 1234 oder 123456 akzeptiert, was insbesondere die Geräte angreifbar macht, die mit Webinterfaces und mobilen Anwendungen verknüpft sind.

Mangelhafter Datenschutz

Dies ist umso bedenklicher, als auch beim Thema Datenschutz acht der Geräte negativ auffielen. Sie sammeln persönliche Daten wie Namen, Adresse, Geburtsdatum, Gesundheitsinformationen und sogar Kreditkartennummer. Die Autoren stellen in Frage, ob die Geräte die gesammelten Daten tatsächlich für ihre Funktion benötigen.

Wenn die vernetzten Geräte schon persönliche Daten erfassen, sollte man meinen, dass sie wenigsten hohen Datenschutzanforderungen genügen. Doch auch bei diesem Thema offenbart das Testfeld große Defizite. Es stellte sich nämlich heraus, dass sieben Geräte die Daten unverschlüsselt über das Heimnetzwerk oder übers Internet übermitteln. Wer also beispielsweise die Kreditkarteninformationen klauen möchte, muss nicht unbedingt die Geräte selbst angreifen. Ist das Heim-Funknetzwerk fehlerhaft konfiguriert, ist es für Dritte ganz einfach, an die Daten zu gelangen.

Kommentare zum Artikel

comments powered by Disqus