Smart-Home-Sicherheit
Smartlocks: Schlösser knacken leicht gemacht
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Wer ein Smart Home sein Eigen nennt, weiß: Energieeffizienz und Komfort steigen mit dem Grad der Vernetzung. Dass die Hersteller der Smart-Home-Gerätschaften dabei nicht immer gesteigerten Wert auf IT-Sicherheit legen, haben nun Security-Forscher auf der Hacker-Convention Defcon bewiesen.
Smarte Türschlösser, verheerende Sicherheit
Ben Ramsey und Anthony Rose von Merculite SecuritySecurity haben 16 Smartlocks verschiedener Hersteller unter die Lupe genommen, darunter Produkte von Ceomate, Elecycle, iBlulock, Mesh Motion, Okidokey, Plantraco, Quicklock und Vians. Von 16 Schlössern konnten die beiden Experten zwölf Exemplare knacken beziehungsweise hacken. In einigen Fällen war dazu nicht einmal besonderer Aufwand nötig. Die Ergebnisse der Forschungsarbeit wurden online veröffentlicht. Alles zu Security auf CIO.de
Die gravierendste Entdeckung der Spezialisten: vier Smartlocks tauschten Passwörter ohne Verschlüsselung mit der korrespondierenden Smartphone-App aus. Hier von einem "No-Go" zu sprechen, wäre fast schon eine Untertreibung. Jedenfalls konnten die beiden Security-Fachmänner so die Smartlock-Passwörter ganz einfach mit einem Open-Source-Bluetooth-Sniffer abgreifen.
Ein anderes Smartlock-Exemplar nutzte eine proprietäre Verschlüsselung, was per se schon keine allzu gute Idee ist, weil solche Lösungen in der Regel höchstens ansatzweise auf IT-Security-Schwachstellen getestet werden. So auch in diesem Fall: Ramsey und Rose mussten nur ein einziges Byte im Verschlüsselungscode verändern. Die Folge war ein Gerätefehler, der dafür sorgte, dass das Schloss seinen Dienst freiwillig quittierte. Doch nicht nur die Haustüren von Smart Homes sind in Gefahr: Die Forscher testeten auch ein Smartlock für Fahrräder und konnten dieses mit Hilfe einer Man-in-the-middle-Attacke öffnen.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
"Wir wissen, dass das ein Problem ist, aber wir werden es nicht beheben"
Eigentlich sollte man ja meinen, dass sich die Hersteller von Smartlocks der elementaren Bedeutung von IT-Sicherheit bei ihren Devices bewusst sind. Aber weit gefehlt! Denn Ramsey und Rose kontaktierten alle Hersteller der Smart-Home-Devices, die sie knacken konnten. Eine Rückmeldung bekamen die beiden nur von einem Unternehmen. Dessen Antwort wird von dem Blog Tom’s Guide, wo die Forschungsarbeit erstmals bekannt gemacht wurde, folgendermaßen zitiert: "Wir wissen, dass das ein Problem ist, aber wir werden es nicht beheben".
Das könnte sich demnächst ändern, denn die beiden Security-Experten haben angekündigt, die Hacking-Tools, die sie für ihre Arbeit verwendet haben, der Öffentlichkeit zur Verfügung zu stellen. So könnte künftig jeder präpubertäre Teenie mit zuviel Freizeit und 100 Dollar Taschengeld zum meisterhaften Bluetooth-Hacker mutieren. Eventuell sorgt das ja für ein Umdenken bei den Smartlock-Herstellern.
So bleibt erst einmal nur die Erkenntnis: Das Smart Home bringt uns zwar einen Schritt näher an die Sci-Fi-Hollywood-Zukunft, von der wir schon so lange träumen, dabei sollte man aber die Realität nicht aus dem Blick verlieren. Smart-Home-Devices wie schlaue Türschlösser, mitdenkende Thermostate und intelligente Glühbirnen müssen von Seiten der Hersteller mit grundlegenden IT-Sicherheitsmaßnahmen für die aktuelle Bedrohungslage fit gemacht werden.
- Logitech Circle
Die Logitech Circle bietet annehmbare Bildqualität, ist vielseitig fixierbar und funktioniert mit einer simplen App. Wenn Sie bereit sind, einen Premium-Preis für eine Kamera zu bezahlen, die aufgrund des Mangels an Personalisierungsmöglichkeiten nur sehr bedingt als Security-Kamera einsetzbar ist. Logitech hat angekündigt, die Circle bald per Update mit zusätzlichen Funktionen auszustatten. Damit könnte Logitechs Circle zu einem echten Wettbewerber auf diesem Markt werden. Bis es soweit ist, gibt es zahlreiche bessere Alternativen. <br /> Wertung: 2,5 von 5 <br /> Preis: 199 Euro - Myfox Security Camera
Die Security-Kamera von Myfox ist ein ordentliches Stück Hardware. Allerdings schränken die zugehörige App, der Mangel an Personalisierungsmöglichkeiten und die fehlende Menüstruktur die Brauchbarkeit der Myfox als Security-Kamera ein. Das beste Feature an der Myfox ist ihre mechanisch abschottbare Linse. So kann man sich sicher sein, dass man nicht von Hackern beobachtet wird, wenn man zuhause ist. Wenn die Kamera nur ein ebenso sichereres Gefühl vermitteln würde, wenn man nicht zuhause ist. <br /> Wertung: 2,5 von 5 <br /> Preis: 199 Euro - Foscam R2 Wireless 1080p
Die Foscam R2 bietet eine vernünftige Smart-Home-Überwachung mit einer intuitiven, gut bedienbaren App. Zwar unterstützt die Foscam R2 keine Gesichtserkennung - und auch personalisierbare Security-Optionen sucht man vergeblich. Allerdings wird das durch die flexiblen Montage-Optionen und die zuverlässigen Benachrichtigungen ausgeglichen. Einen dicken Minuspunkt gibt es jedoch für die komplizierte Einrichtung der Smart-Home-Kamera. Dessen sollte man sich vor dem Kauf bewusst sein. <br /> Wertung: 3 von 5 <br /> Preis: 160 Euro - Netatmo Welcome
Mit der Welcome bietet Netatmo eine Security-Kamera für Smart Homes, die sich redlich bemüht den negativ besetzten Überwachungs-Aspekt zu beschönigen. Unglücklicherweise ist das wesentliche Feature der Welcome - die Gesichtserkennung - weit von der Bezeichnung 'zuverlässig' entfernt. Weil weitere Features wie Geräuscherkennung, Zwei-Wege-Audio und Cloud-Sicherung fehlen, ist die Netatmo Welcome nur bedingt empfehlenswert. <br /> Wertung: 3 von 5 <br /> Preis: 199 Euro - D-Link DCS-2630L
Mit der DCS-2630L präsentiert D-Link eine attraktive Smart-Home-Security-Cam, die sich vor allem durch die anpassbare Security-Optionen auszeichnet. Leider sind diese aber nicht über die App, sondern lediglich über einen PC nach Login anpassbar. Eine schnelle, mobile Überprüfung der Sicherheitslage dürfte so kaum möglich sein. Ist dies kein Ausschlusskriterium, werden Sie mit der D-Link DCS-2630L auf jeden Fall glücklich. <br /> Wertung: 3,5 von 5 <br /> Preis: ca. 200 Dollar (bislang nicht in Europa erhältlich) - Ezviz Mini
Wer mit einer etwas übereifrigen Bewegungserkennung leben kann, der bekommt mit der Ezviz Mini eine solide Smart-Home-Kamera, die grundlegende Sicherheitsbedürfnisse befriedigt. Die zugehörige App könnte etwas Feintuning vertragen, funktioniert aber und bietet eine gute User Experience. Einige Zusatzfunktionen wie Geräuscherkennung oder eine Notstromversorgung wären schön gewesen, allerdings macht der Preis das wieder wett. <br /> Wertung: 3,5 von 5 <br /> Preis: ca. 100 Dollar (bislang nicht in Europa erhältlich) - Flir FX
Die Flir FX hat viele tolle Features an Bord: Blickwinkel von 160-Grad, Doppel-Akku, sowie eine Kombination aus lokalem und cloudbasiertem Speicher schlagen bereits viele Konkurrenzprodukte. Die App ist ebenfalls gut designt, einfach zu benutzen und bietet auch die Möglichkeit die Empfindlichkeit der Geräusch- und Bewegungserkennung individuell zu justieren. Leider gab es bei mehreren Test-Exemplaren Probleme mit dem Mikrofon und der Hardware selbst. Wer bereit ist, für die vielen tollen Features einige Kinderkrankheiten in Kauf zu nehmen, wird die Flir FX lieben. <br /> Wertung: 3,5 von 5 <br /> Preis: ca. 215 Euro - Nest Labs Nest Cam
Für Besitzer des Vorgänger-Modells Dropcam Pro lohnt sich ein Umstieg derzeit nicht. Für Erstkäufer einer Smart-Home-Kamera ist die Nest Cam bestens geeignet: Sie bietet nicht nur ein schlankes, gefälliges Design, sondern auch beeindruckende Videoqualität und eine sehr funktionale, gut programmierte App. Allerdings sollte man sich bewusst sein, dass diverse Features nur funktionieren, wenn man ein nicht gerade günstiges Abo (ca. 100 Dollar pro Jahr) bei Nest abschließt. Ohne dieses Abo ist die Nest Cam nicht mehr als eine normale Webcam. Für User die es wirklich ernst meinen mit der Überwachung ihres Smart Homes ist das jedoch eine lohnende Investition. <br /> Wertung: 4 von 5 <br /> Preis: 199 Dollar - Samsung SmartCam HD Plus
Die Smart Cam HD Plus von Samsung bietet im Wesentlichen dieselben Features wie die Konkurrenten von Nest und Arcsoft - allerdings ohne ein obligatorisches Abonnement. Das hält die Kosten für die Smart-Home-Cam von Samsung gering. Wenn man über einige Ungereimtheiten beim App-Design hinweg sehen kann, bekommt man eine Smart-Home-Security-Kamera, die kaum Wünsche offen lässt. <br /> Wertung: 4 von 5 <br /> Preis: ca 150 Dollar (bislang nicht in Europa erhältlich) - Arcsoft Simplicam
Einmal abgesehen von kleinen Bugs bei der Gesichtserkennung - die hoffentlich bald behoben sind - funktionierte die Simplicam genau so, wie Arcsoft es versprochen hatte. Die Performance, die tiefgehenden Individualisierungs- und Einstellmöglichkeiten sowie das günstige Cloud-Abonnement (weniger als 10 Dollar pro Monat) genügen bereits für eine klare Empfehlung. <br /> Wertung: 4 von 5 <br /> Preis: ca. 150 Dollar (bislang nicht in Europa erhältlich)
Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation techhive.com.