Die Hacker kommen durch den Kühlschrank

Von Spähern und Spannern

08.07.2014 von Thomas Kuhn
Türschloss, Lampe, High-Tech-WC – immer mehr Alltagsgeräte bekommen Internet-Zugang. Eine Exklusivstudie für die WirtschaftsWoche aber zeigt, das vernetzte Haus hat teils massive Sicherheitslücken. Sie werden zum Einfallstor für Hacker.

Thomas Hatley lag noch im Bett, als eines Morgens im vergangenen Sommer das Telefon klingelte. "Darf ich das Licht in Ihrem Schlafzimmer einschalten?", fragte die Frau am anderen Ende der Leitung den verblüfftem Hausbesitzer aus dem US-Westküstenstaat Oregon. Sie heiße Kashmir Hill, erklärte die Dame, rufe aus dem gut 800 Kilometern entfernten San Francisco an und könne die Lampen in Hatleys Haus via Internet steuern. "Und, verflucht, sie konnte es", sagt Hatley, der sich fast in einem Horrorstreifen wähnte.

Eigentlich wollte Hatley das Licht übers Netz schalten, um Einbrecher abzuschrecken. Daher koppelte der Technik-Fan seine Lampen mit der Smart-Home-Box des US-Herstellers Insteon, mit der sich neben der Beleuchtung auch Haushaltsgeräte steuern lassen. Dass das Gerät eine gravierende Sicherheitslücke hatte, machte ihm erst der Anruf von Hill klar, die hauptberuflich nicht als Poltergeist, sondern als Reporterin beim US-Magazin "Forbes" arbeitet.

Branche mit großem Potenzial

"Insteon hatte die Benutzer- und Passwortabfrage nicht aktiviert", sagt Hill. Inzwischen habe der Hersteller die Funktion nachgerüstet, so die Computerspezialistin. Doch bis zum vergangenen Sommer fand sich die entsprechende Empfehlung nur in der Gebrauchsanweisung, moniert Hill: "Und Hand aufs Herz, wer liest die schon?"

Besser wäre es. Denn Smart Homes sind das nächste große Angriffsziel von Hackern und anderen digitalen Dunkelmännern.

Vorbei die Zeiten, in denen nur PCs und Server sich zum weltumspannenden Web verbanden. Das Internet verlässt die klassischen Rechnerwelten und durchdringt unseren Alltag auf nie gekannte Weise. Die nächste Generation der Vernetzung wird Realität: das Internet der Dinge.

Der Trend ist eines der Top-Themen auf der Computermesse Cebit in Hannover. Per App Lampen zu steuern ist nur eine von immer mehr Optionen. Schon öffnen sich Rollladen, sobald die Sonne aufgeht; die Uhrzeit liefert das Web. Thermometer lernen, wann die Bewohner zu Hause sind - und regeln die Heizung. Bewegungsmelder warnen übers Handy, wenn sich daheim Ungewöhnliches tut. Fenster und Türen schicken SMS, wenn jemand sie öffnet.

Während das klassische Computergeschäft bestenfalls stagniert, verspricht sich die IT-Welt von der Vernetzung des trauten Heims munter sprudelnde Erlöse: Knapp 15,2 Milliarden Dollar, erwarten die US-Marktforscher von Zpryme Research, werden 2015 weltweit mit Smart-Home-Technik umgesetzt. 2012 war es ein Drittel. Und auch, dass der Internet-Riese Google im Januar für 3,2 Milliarden Dollar den Smart-Home-Spezialisten Nest Labs übernahm, zeigt, welches Potenzial die Branche im Geschäft mit smarten Haushalten sieht.

Und das wohl zu Recht: Laut einer Studie des Marktforschers Fittkau & Maaß Consulting sind 78 Prozent der Deutschen an Smart-Home-Technik interessiert, allem voran zum Steuern von Heizungen, Fenstern und Beleuchtung.

Anwenderfreundliche Gebäudeautomation von HomeBrace
Die Firma HomeBrace aus Urbach hat eine sehr anwenderfreundliche Art der Gebäudesteuerung für Android und iOS entwickelt.
Eaton
Basis der auch für gehandicapte Personen geeigneten Lösung sind Aktoren und Sensoren von Eaton.
Eaton
Hier die Funktionsweise im Detail.
Die Crême – ein Niedrigenergiehaus in Dortmund
Laut Jung-Manager Turgut kamen die meisten Aufträge früher von Unternehmen oder wie bei diesem Niedrigenergiehaus bei Privatneubauten im Luxussegment. Das habe sich aber deutlich geändert, auch wenn solche Sahnestückchen sicherlich mehr Spaß machen einbringen dürften.
Lockende „Steuer-Inseln“
Fernbedienungen über Fernbedienungen, und alle meist reine Insellösungen. Zum starken Motiv für die Vernetzung wird die Rollo- und Lichtsteuerung (rechts im Bild). Appetit auf Smart Home machen auch netzwerkfähige Geräte wie TV- und AV-Receiver (links mit passender Smartphone-App).
Jung mit Connected Living
So sieht die Firma Jung die intelligente Heimvernetzung mit ihrem eigenen KNX-System. Im Zentrum ist das Haus, darum gruppieren sich die Themenwelten Licht, Haushalt, Pflege, Energiemanagement, Sicherheit, Verdunklung und Klimatik sowie Unterhaltung und Multimedia.
Smartphone an Steckdosenleiste
Über das „grüne“ Label EnerGenie vertreibt Gembird unter anderem die WLAN-IP-Steckdosenleiste EG-PMS2-WLAN mit vier von sechs über eine mitgelieferte Smartphone-App programmierbaren Steckplätzen.
Tobit nimmt etwas Gas weg
Tobit war lange Zeit eine der treibenden IT-Kräfte im Smart-Home-Geschehen und ist mit dem Informationsserver David sowie mit...
Tobit Bedienung
...ConceptHotel, ConceptHome...
Tobit Eingang
...und der Erlebnisgastronomie Bamboo...
Tobit Grün
...auch immer noch aktiv...
Tobit Rot
..., aber nicht mehr mit derselben Geschwindigkeit wie früher.
Miele@home wird drahtlos
Bisher hat Miele bei der Vernetzung der Haushaltsgeräte mit Miele@home-Kommunikationsmodulen auf eigene Powerline-Verbindungen gesetzt.
Miele Übersicht
Mit Blick auf die Qivicon-Plattform geht die Edelmarke aktuell aber zur ZigBee-Funkübertragung über.
Miele Infoservice
ABB, Bosch, Cisco und LG vereint
Parallel zur Qivicon-Initiative haben sich ABB, Bosch, Cisco und LG darauf verständigt, einen gemeinsamen offenen Standard ins Leben zu rufen, um über ein Home Gateway alle wie auch immer angeschlossenen Geräte eine Sprache sprechen zu lassen.
Samsung bindet alles ein
Hier zeigt der koreanische Samsung, wie er neben Cloud-Services, Smartphones, Tablets
Samsung Waschmaschine
und Haushaltsgeräten praktisch aus einer Hand auch Wearables und Smart TVs ins Smart Home integrieren will. Kommandozentrale für die Waschmaschine kann dabei auch die kleine Smart Watch sein.
Ebbe im Kühlschrank
Höchste Eisenbahn einzukaufen, zeigt diese von Siemens auf der IFA 2013 demonstrierte Blick auf den traurigen Kühlschrankinhalt. Die kümmerliche Neige Bier weckt Gedanken an „Ein Mann sieht rot“.
Siemens Energiemanager
Kein Zukunftsszenario mehr: Den Energiestatus des Geschirrspülers mit dem Tablet abfragen.
Siemens Einkaufsliste
Auch die Einkaufsliste auf dem Smartphone gehört dazu...
Siemens Kochideen etc.
natürlich auf Basis von Kochvorschlägen...
Siemens Übersicht
...die ebenfalls ein Teil der mobilen Übersicht sind - auf dem Smartphone....
Siemens Übersicht
...oder dem Tablet.
Siemens Übersicht
Die Sorge, dass der Herd angelassen wurde, ist ebenfalls Vergangenheit. Auch weiß man nun, wann zuhause die Wäsche fertig ist.
Smart heizen
Auch Heizungsbauer Buderus hat eine klare Vorstellung von seinem Beitrag zum Smart Home
RWE rechnet mit riesigem Marktwachstum
Der Energieriese RWE (hier mit Lösungen von Buderus) rechnet für die Heimautomatisierung bis 2025 mit einem Marktvolumen von 20 Milliarden Euro in Deutschland.
Solarstrom intelligenter nutzen
Wie sich Solarstrom künftig intelligenter nutzen lässt, zeigt diese schematische Grafik von Miele. Fehlt nur noch das Elektroauto als mobiler Stromspeicher.
RWE Steuersystem
Natürlich lässt sich auch hier alles per Tablet kontrollieren und steuern.
Liebherr: Einer für alle
Über ein als Zubehör erhältliches PLC-Modul und HomeDialog lassen sich bis zu sechs Kühlgeräte von Liebherr durch ein zentrales Mastergerät steuern.
digitalSTROM
Die Nachrüstlösungen von digitalSTROM können über bestehende Schalter, über das Internet oder das Smartphone genutzt werden.
AVM
Auch Fritzbox-Anbieter AVM hat seine Ideen und Produkte zum Smart Home.
AVM FritzPowerline
Dazu zählen die AVM FritzPowerline-Adapter
Belkin
Hier eine smarte Steckdose von Belkin.
Energenie
Energenie ist bekannt für seine programmierbaren IP-Steckdosenleisten.

Geringes Bewusstsein für Risiken

Dem großen Interesse auf Käuferseite steht allerdings bei vielen Anbietern ein offenbar geringes Bewusstsein für die Risiken der Vernetzung gegenüber: Beispiele wie das von Insteon zeigten, so moniert Maik Morgenstern, "dass es manchem Hersteller zunächst wichtiger ist, Smart-Home-Technik schnell auf den Markt zu bringen, erst später denkt er an Sicherheit". Der 31-jährige Diplom-Ingenieur ist technischer Leiter beim Magdeburger IT-Sicherheitsberater AV-Test. Das Unternehmen überprüft für Softwarehersteller deren Schutzprogramme, Virenfilter und Firewalls auf Sicherheitslücken.

Basierend auf diesem Know-how, hat AV-Test exklusiv für die WirtschaftsWoche sieben aktuell in Deutschland verfügbare Smart-Home-Systeme auf Schwachstellen gegen Zugriffe von Fremden, Hacker-Attacken oder den Einbruch von Online-Spionen getestet.

Mit sehr durchwachsenen Ergebnissen: Während die Magdeburger drei der jeweils 90 bis 300 Euro teuren Einsteigerpakete eine "gute" bis "sehr hohe" Sicherheit gegen Hacker-Angriffe attestieren, bieten die vier übrigen Systeme nur "niedrigen" oder gar nur "sehr niedrigen" Schutz gegen Attacken.

Sehr hohen Schutz bieten sowohl Elements, das Überwachungssystem der Ex-Siemens-Tochter Gigaset, als auch das Smart-Home-Paket des Energieversorgers RWE. Das ermöglicht unter anderem, Licht, Heizung und Bewegungsmelder per App und über ein Online-Portal zu steuern. Mit "Gut" schneidet das Qivicon-System ab, das die Deutsche Telekom mit Partnern vertreibt. "Manipulationen durch Externe sind nach dem aktuellen Stand der Technik ausgeschlossen, der Durchgriff auf die Geräte im Haus nicht möglich", urteilen die AV-Tester.

Viele Unsichere Systeme

Und sie verweisen auf die Herkunft der Technik: "Es ist augenfällig, dass alle weitgehend sicheren Systeme in Deutschland konzipiert wurden", sagt Morgenstern. Offensichtlich spiegele sich das deutsche Verständnis vom Schutz der Privatsphäre auch in der Sicherheitsphilosophie wider.

Gigaset, RWE und Qivicon betonen denn auch, spezialisierte Dienstleister - eine Art guter Hacker - vor dem Marktstart wochenlang auf ihre Produkte angesetzt zu haben. "Auch Technik von Partnern haben wir erst nach ähnlichen Prüfungen freigegeben", sagt RWE-Manager Harald Fletcher. Um die Systeme gegen Zugriffe durch ausländische Spitzel zu sichern, laufen die Web-Dienste von Qivicon und Gigaset auf deutschen Servern der Telekom-Tochter T-Systems.

Solch ein Gefahrenbewusstsein fehlt den übrigen Systemen nach Ansicht der Tester. Dort passten die europäischen Anbieter in Fernost entwickelte Hard- und Software allenfalls an den hiesigen Markt an, hätten aber kaum Einfluss auf die Sicherheit.

"Teils nutzten Hersteller nicht einmal etablierte Standards zur Verschlüsselung der Verbindung", wundert sich Morgenstern. Zum Teil müssen sich Benutzer, wenn sie auf die Module zugreifen, nicht einmal authentifizieren - ähnlich wie bei Thomas Hatleys Insteon-System. Und selbst wenn das bei der Fernsteuerung übers Internet vorgesehen ist, wie beim Xavax-Max-System von Hama, werde das Passwort unverschlüsselt gesendet, kritisiert der IT-Experte. "Da kann jeder leidlich versierte Hacker mitlesen."

digitalStrom Smart Home
IP-gestützte und per Smartphone-App gesteuerte Systeme ebenen den Weg für neue Anwendungen und Player.
Beacon-Testlauf
... Mobile Marketing,
Paypal Beacon
Aktuell liegt das Hersteller-Interesse an (i)Beacons noch stärker bei den Themen Mobile Payment ...
Qualcomm Gimbal
... und Mobile Shopping.
(i)Beacon von Estimote
Die Sendemodule für Bluetooth Low Energy werden von Hersteller wie Estimote angeboten.
digitalStrom und iBeacon
Von kontextbezogener Gebäudesteuerung mit iBeacon meint digitalSTROM, dass je nach Abstand vom Sendesignal unterschiedliche Aktionen definiert werden können, Licht ein und Licht aus zum Beispiel.
Intel Puma 6 Plattform
Intel hat auf der CeBIT 2014 die neue Puma-6-Plattform vorgestellt ...
Hitron Box auf Basis von Puma 6
... und demonstriert, wie mit entsprechenden Multi Service Gateways verschiedene Smart-Home-Anwendungen zur Heimsteuerung, Heimsicherheit, Energieeffizienz und Unterhaltung gleichzeitig betrieben werden können.
Mehr Komfort durch RWE SmartHome
Der Energieriese RWE gehört mit RWE SmartHome sicherlich zu den führenden Anbietern nicht nur in Deutschland, sondern auch in Europa.
Heimsteuerung via NFC-Tag
Auch mit NFC ist es möglich, bestimmte Befehle auszulösen oder Daten auszutauschen.
Samsung Smart Home
Samsung will mit einer eigenen Plattform Fernseher, Kühlschränke, Waschmaschinen, PC-Systeme, Tablets und Smartphones alle unter das Dach von Smart Home stellen.
Nest
Das Design der Nest-Thermometer verrät die Handschrift des ehemaligen Apple-Designers und Mitgründers Tony Fadell.
Nest
Kurz nach der Übernahme von Nest Labs durch Google im Januar 2014 mussten die Protect genannten Rauchmelder wegen fehlerhafter Software vorübergehend vom Markt genommen werden.
Nest
Die Thermostate sind vorerst auch nur auf Nordamerika und Großbritannien beschränkt.
digitalStrom: Das Haus und die Cloud
digitalStrom verbindet das vernetzte Zuhause mit der Cloud ...
digitalStrom: Das vernetzte Haus
... setzt aber innerhalb des Hauses auf Verkabelung.
digitalStrom Klemmen
Was hier aussieht wie Lüsterklemmen, sind in Wirklichkeit Mikrocomputer von digitalSTROM für die relativ günstige Einrichtung und Nachrichtung von Smart Home.
Tobit Puppenstuben-GPS
Tobit spricht bei Apples iBeacon von "Puppenstuben-GPS" und hat so auf der CeBIT 2014 den Einzug in die eigene chayns-App angekündigt.

Keine Verschlüsselung vorgesehen

Schlechte Noten gibt es sogar für die Systeme im Test, die gar keinen Fernzugriff via Internet zulassen, sondern die der Hausbesitzer nur aus seinem WLAN-Netz steuern kann. Denn dass das Hacker draußen hält, ist ein gefährlicher Irrtum. Sobald es Angreifern nämlich gelingt, Sabotage- oder Schnüffelprogramme ins private Netz einzuschleusen, surfen Fremde auch hinter der Firewall unbemerkt mit. Dazu kann es genügen, mit schlecht gesicherten PCs Web-Seiten aufzurufen, auf der Schadsoftware lauert.

Außerdem sind auch in Deutschland noch millionenfach WLAN-Router installiert, die nicht oder nur über Standardpasswörter gesichert sind. Im einen wie im anderen Fall steht die vermeintlich private Smart-Home-Technik dann auch Spitzeln offen.

Wenn dann - wie bei den Systemen iComfort von REV Ritter und tapHome von EuroiStyle – Verschlüsselung gar nicht erst vorgesehen ist oder zumindest Passwörter unverschlüsselt übertragen werden, haben Hacker leichtes Spiel. Sie können protokollieren, wann der Hausbesitzer Strom, Licht oder Heizung schaltet, und wissen so, wann er das Haus verlässt. Und sobald niemand mehr zu Hause ist, kann der Angreifer auch noch die vernetzte Alarmanlage stromlos schalten, um die Wohnung leerzuräumen.

Hacker im Kinderzimmer

Um solche Mängel zu beheben, musste Insteon einen großen Teil seiner Smart-Home-Anlagen zurückrufen und umrüsten. Nachgerüstet hat auch der Hersteller des in den USA vertriebenen Plastikhasen Karotz. Der elektronische Spielgeselle ermöglicht Eltern per Web-Cam den Blick ins Kinderzimmer - aber auch Hackern. Das demonstrierten IT-Experten im vergangenen Sommer auf der Sicherheitskonferenz Black Hat in Las Vegas. Die IT-Spezialistin Jennifer Savage leitete Videos und Tonaufnahmen aus dem per Smartphone-App steuerbaren Hasen auf einen fremden Rechner um. "Was eigentlich Eltern einen beruhigenden Blick auf den Nachwuchs ermöglichen soll, wird so unversehens zum Guckloch für Spione oder Spanner", warnte sie.

Ähnlich bedrohlich ist das Szenario, das Daniel Crowley, Software-Spezialist beim Beratungsunternehmen Trustwave Spider Labs in Las Vegas, demonstrierte: Er schaltete sich in die Kommunikation zwischen Smartphone und einem unzulänglich gesicherten elektronischen Türschloss. Damit konnte er nicht nur die Türe aus der Ferne entsperren, sondern sogar den Zugangscode ändern. "Falls jemand so in Ihr Haus eindringt, und keine Spuren hinterlässt, wie wollen Sie das bei Polizei oder Versicherung nachweisen?", fragte Crowley.

Eher skurril als wirklich gefährlich - im Zweifel aber schmerzhaft und teuer - sind Attacken auf die immerhin rund 5000 Dollar teure High-Tech-Toilette Satis des japanischen Herstellers Lixil. Auch die nämlich ist inzwischen als Bestandteil des Internets der Dinge per Handy bedienbar. Den Deckel zu öffnen oder zu schließen zählt noch zu den unverdächtigen Fernsteuerfunktionen. Doch wer will, so demonstrierten die Black-Hat-Hacker, kann auch die Kontrolle über Bidetbrause oder Gesäßfön übernehmen. Und wenn digitale Angreifer das WC im Urlaub auf Dauerspülen schalten, geht die Attacke sogar richtig ins Geld.

Immer mehr Lücken

Die Suche nach potenziell angriffsgefährdeten IT-Systemen unter den Abermilliarden vernetzten Rechnern im Internet ist einfacher, als es für den Laien scheinen mag. Spezielle Dienste, etwa die Suchmaschine Shodan, fungieren wie eine Art Google der Online-Schwachstellen. Sie verzeichnen die online erreichbaren Computersysteme, Server und die dort genutzten Software-Protokolle.

Wahrscheinlich habe auch "Forbes"-Reporterin Hill vor ihrem Anruf bei Hausbesitzer Hatley per Shodan nach offenen Smart-Home-Systemen gesucht, sagt Experte Morgenstern - und gibt zumindest für die Produkte im WirtschaftsWoche-Test Entwarnung. "Ein vergleichbarer Angriff auf diese Systeme sollte nicht möglich sein."

Doch die Hacker finden immer neue Sicherheitslücken, und zugleich wächst die Flut der ans Internet angeschlossenen Alltagstechnik explosionsartig: Laut dem US-Marktforscher IDC werden bis 2020 mehr als 200 Milliarden elektronische Geräte aller Art im Internet der Dinge miteinander verbunden sein – vom Auto-Navigationssystem bis zur WLAN-Zahnbürste.

Noch schlimmer, die Geräte sind mehr als nur potenzielle Angriffsziele. Das haben Forscher des auf E-Mail-Schutz spezialisierten US-Unternehmens Proofpoint im Januar nachgewiesen. Sie entdeckten ein sogenanntes Botnetz aus mehr als 100 000 zu ferngesteuerten E-Mail-Robotern versklavten Maschinen mit Web-Anschluss.

Kühlschrank mit Online-Zugang

Das hatten Hacker geknüpft, um darüber Spam-Nachrichten zu versenden. "Unter den geknackten Systemen war - neben WLAN-Routern, Multimedia-Centern und Web-fähigen Fernsehern - erstmals auch ein Kühlschrank mit Online-Zugang", sagt Proofpoint-Manager Jürgen Venhorst. Für ihn ist klar, dass "die Zahl solcher Thingbots in Zukunft rasant wachsen wird".

Umso mehr, als die neue Gerätevielfalt im Internet der Dinge - anders etwa als PCs und Server in Unternehmen - nicht ständig von IT-Abteilungen auf Sicherheitsmängel überwacht und aktualisiert wird. So bleibt Fans vernetzter Haushalte vorerst kaum eine Alternative, als den Schutz des smarten Heims selbst in die Hand zu nehmen. "Regelmäßige Updates für alle Geräte, ob WLAN-Router oder Funksteckdose, sind genauso Pflicht, wie die Basisstation durch ein starkes Passwort zu schützen", empfiehlt Morgenstern von AV-Test.

Und Black-Hat-Experte Crowley rät inmitten des digitalisierten Haushalts zu analogen Hausmitteln: "Wer wirksam verhindern will, dass Späher oder Spanner durch die Web-Kamera des vernetzten Fernsehers ins Wohnzimmer schauen, sollte den Stecker aus der Steckdose ziehen - oder einfach ein PostIt auf die Kameralinse kleben."

(Quelle: Wirtschaftswoche)