Cyber‐Security: Wie sicher ist Smart Home?

Komponente für die moderne Haustechniksteuerung: intelligente Verbrauchszähler. Foto: pixabay Smart home, TGA, Haustechnik, Automation, Heizung, Lüftung, Kühlung
intelligenter Verbrauchszähler. Foto: pixabay

Die Ener­gie­wende im Haus und ins­be­son­dere die Hebung von Ein­spar­po­ten­zia­len wird nicht ohne Digi­ta­li­sie­rung gelin­gen. Das Mün­che­ner IGT – Insti­tut für Gebäu­de­tech­no­lo­gie gibt monat­lich Tipps heraus, mit denen Mietern, Ver­wal­tern und TGA‐Verantwortlichen die Steue­rung der Haus­tech­nik leicht gemacht werden soll. Im März befas­sen sich die Wis­sen­schaft­ler mit dem Thema Cyber‐Security und zeigen, dass das Bedro­hungs­po­ten­zial an anderen Stellen liegt – wie man sich dagegen schützt und ent­spre­chende Dienst­leis­tun­gen anbie­ten kann.

Können Hacker ein Gebäude fern­steu­ern

In den Medien geis­tert immer wieder das Sze­na­rio herum, dass sich ein IT‐Hacker Zugang zum Gebäude ver­schafft und dieses unter seine Kon­trolle bringt. Die grund­sätz­li­che Frage dahin­ter ist, welchen Nutzen der Hacker daraus zieht und welche Beweg­gründe ihn antrei­ben.

Natür­lich ist es tech­nisch möglich, sich in ein unge­schütz­tes Smarthome‐System des Nach­barn ein­zu­ha­cken. Aber warum sollte man das machen? Um den Nachbar zu ärgern, weil man ihm nun die Roll­lä­den her­un­ter­fah­ren oder das Licht aus­schal­ten kann? In den sel­tens­ten Fällen haben Smarthome‐Besitzer einen moto­ri­schen Tür­öff­ner, über den man sich Zugang zum Gebäude ver­schaf­fen kann. Die Mög­lich­kei­ten der „Fern­steue­rung“ sind meist begrenzt und damit auch der Nutzen für den Angrei­fer. Und ganz so einfach ist das nicht – ins­be­son­dere, wenn beim Ein­rich­ten des Smart Home ein paar wesent­li­che Schutz­maß­nah­men beach­tet wurden.

Im Büro gilt das gleiche. Warum sollte ein Angrei­fer den Aufwand auf sich nehmen, den Kol­le­gen im Neben­raum das Licht aus­zu­schal­ten? Von hof­fent­lich wenigen Fällen abge­se­hen, in denen ein Mit­ar­bei­ter heim­li­che Rache­ge­lüste hat, wird sich die Häu­fig­keit solcher Situa­tio­nen in Grenzen halten. Trotz­dem sollten auch hier ein paar wesent­li­che Sicher­heits­as­pekte beach­tet werden und das Raum­au­to­ma­ti­ons­sys­tem nicht kom­plett „offen“ betrie­ben werden.

Daten sammeln und Löse­geld erpres­sen

Erschre­ckend sind zwei andere Trends. In der IT‐Welt gilt: Wer die Daten hat, hat die Macht. Daten sind wert­voll. Ins­be­son­dere Mas­sen­da­ten. Wenn Smarthome‐Systeme oder Raum­au­to­ma­ti­ons­sys­teme in Büros dahin­ge­hend geknackt werden können, dass das Ver­hal­ten der Men­schen pro­to­kol­liert und über­tra­gen werden kann, dann lassen sich solche Daten wei­ter­ver­kau­fen. Und solche Ver­hal­tenspro­file sind meist nicht anony­mi­siert.

Dahin­ter steckt deshalb nicht der indi­vi­du­elle Angriff auf ein Gebäude, bei dem sich ein Angrei­fer vor Ort begibt (und dann dort Zugang zum Bus­ka­bel erwirkt oder Funk­te­le­gramme aus­liest), sondern der Angriff über die Inter­net­ver­bin­dung oder einen kon­trol­lie­ren­den Cloud‐Server.

Ein Basis‐Know‐How zum Thema IP‐Security sollte in Kon­se­quenz von jedem beherrscht werden, der ein inter­net­zu­gäng­li­ches Smarthome‐System bzw. Raum­au­to­ma­ti­ons­sys­tem oder Dinge wie IP‐Kameras, WLAN‐fähige Haus­halts­ge­räte etc. anbie­tet bzw. instal­liert. Das umfasst Stich­worte wie VPN‐Tunnel, Port‐Weiterleitung oder DynDNS.

Beson­ders dra­ma­tisch ist die Ent­wick­lung der soge­nann­ten „Ran­so­me­ware“. Das ist Soft­ware oder der Trend, Systeme lahm­zu­le­gen, um Löse­geld zu erpres­sen. Zwi­schen Oktober 2015 und Februar 2016 haben sich diese Fälle ver­elf­facht, so eine Erhe­bung des BSI — Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Noch liegt der Fokus der Hacker­an­griffe nicht darin, Smarthome‐Systeme oder ent­spre­chende Auto­ma­ti­ons­sys­teme in Büros oder Hotels lahm­zu­le­gen – aber es ist nur eine Frage der Zeit, bis Hacker das als inter­es­san­tes Geschäfts­mo­dell ent­de­cken.

Gegen­maß­nah­men

Die wesent­li­chen Gegen­maß­nah­men sind nicht schwer und man muss sich nur die Zeit nehmen, sich damit in Ruhe zu befas­sen. Hier einige aus­ge­wählte Quellen zur Sen­si­bi­li­sie­rung und Infor­ma­tion:

Cyber‐Security als Geschäfts­mo­dell

Wie bei allem bestehen neben Risiken auch Chancen. Während es dem einen „nur“ darum geht, sich gegen ent­spre­chende Angriffe zu schüt­zen, ist das für andere womög­lich eine Chance, ent­spre­chende Dienst­leis­tun­gen kos­ten­pflich­tig anzu­bie­ten.

Wenn in Zukunft weiter über ent­spre­chende Atta­cken berich­tet wird (wovon stark aus­zu­ge­hen ist), wird ein pri­va­ter Nutzer sicher gerne Euro 99,00 in einen ersten Security‐Check inves­tie­ren. Wenn dabei ent­spre­chende Sicher­heits­lü­cken ent­deckt werden, dann ist es weiter legitim, dass deren Behe­bung je nach Aufwand zusätz­lich ver­gü­tet wird. Ent­spre­chende Ange­bote für Firmen oder Schu­lun­gen für IT‐Abteilungen werden in Bezug auf Aufwand und Ver­gü­tung sicher­lich höher liegen.

Der Tipp des Monats des IGT kann hier abon­niert werden.


Mit dem Smart Home, ohne dass sich eine moderne TGA‐Anlage kaum sinn­voll steuern lässt, befasst sich auch Energieblogger‐Kollege Björn Katz hier auf seinem Blog Strom­aus­kunft.