Smart Home absi­chern

Komponente für die moderne Haustechniksteuerung: intelligente Verbrauchszähler. Foto: pixabay Smart home, TGA, Haustechnik, Automation, Heizung, Lüftung, Kühlung
Angriffspunkt für Hacker: intelligente Verbrauchszähler. Foto: pixabay

Die Ener­gie­wende im Haus und ins­be­son­dere die Hebung von Ein­spar­po­ten­zia­len wird nicht ohne Digi­ta­li­sie­rung gelin­gen. Das Mün­che­ner IGT – Insti­tut für Gebäu­de­tech­no­lo­gie gibt monat­lich Tipps her­aus, mit denen Mietern, Ver­wal­tern und TGA-Verantwortlichen die Steue­rung der Haus­tech­nik leicht gemacht wer­den soll.

Im Juni befas­sen sich die Wis­sen­schaft­ler erneut mit dem Thema Cyber-Security, das sie schon im März behan­del­ten. Dieses Mal geht es um die Schwach­stel­len bei den End­ge­rä­ten. Der Beitrag ist ein Excert auf einem 15seitigen Artikel, der in der Zeit­schrift c’t in der Ausgabe 8/2017 erschie­nen ist.

Der Trend, dass End­ge­räte wie Fern­se­her, HD-Rekorder, IP-Kamera, Kaf­fee­ma­schine, Rasenmäh-Roboter etc. in das hei­mi­sche Netz­werk ein­ge­bun­den werden, nimmt rapide zu. Meist erfolgt die Ver­bin­dung über WLAN, da das die schein­bar ein­fachste bzw. prag­ma­tischste Vari­ante ist.
Nehmen wir an, Sie haben bei der Ein­rich­tung des WLAN’s in Ihrem Router die bekann­ten Sicher­heits­an­for­de­run­gen ein­ge­hal­ten (Ver­schlüs­se­lung über WPA2, siche­res Kenn­wort, Beschrän­kung auf „bekannte Geräte“ etc.). Nun hängen Sie z.B. den Fern­se­her auch in das WLAN. Das bedeu­tet, dass Sie dem Fern­se­her Ihr WLAN-Kennwort mit­tei­len und diesen als voll­wer­ti­gen Teil­neh­mer in ihr Heim­netz inte­grie­ren.

Mehr Daten als lieb ist

Viele solcher Geräte bauen regel­mä­ßig Ver­bin­dun­gen ins Inter­net auf und senden mehr Daten an Ihnen unbe­kannte Server, als Ihnen lieb ist. Was aber schlim­mer ist: Durch die Ver­bin­dung in das Inter­net sind diese Geräte auch aus dem Inter­net erreich­bar und angreif­bar. Wenn nun die Schutz­me­cha­nis­men in diesen Geräten gerin­ger sind als die des Routers (und das ist übli­cher­weise der Fall), dann ist es ein­fa­cher, sich in das End­ge­rät zu hacken als in den Router.

Laut c’t wurden über Aldi Anfang des Jahres WLAN-Schaltsteckdosen ver­kauft. In diese konnte man sich über ein Stan­dard­pass­word ein­log­gen und darüber wie­derum das hei­mi­sche WLAN-Kennwort abfra­gen. Damit ist man nur einen kleinen Schritt davon ent­fernt, sich mit solchen End­ge­rä­ten aus der Ferne zu ver­bin­den und diese Geräte dann als Ein­falls­tor zu wei­te­ren Geräten im hei­mi­schen Netz zu nutzen — also z.B. auf IP-Kameras, NAS-Server etc. zuzu­grei­fen. Das wie­derum eröff­net Mög­lich­kei­ten, Daten abzu­grei­fen (um diese aus­zu­wer­ten und gegen Sie zu ver­wen­den) oder zu ver­schlüs­seln (um Löse­geld zu erpres­sen).

Oder eine andere Vari­ante: Laut c’t ent­hal­ten die DECT-Steckdosen von AVM seit Jahren ein Mikro­phon, welches dafür gedacht war, dass man eine Steck­dose später einmal mit Hän­de­klat­schen ein- und wieder aus­schal­ten kann. Noch wird dieses Mikro­phon nicht offi­zi­ell
genutzt aber grund­sätz­lich ist es denkbar, das Mikro­phon zu akti­vie­ren und die Steck­dose als Abhör­ein­rich­tung zu miss­brau­chen.

Sicher­heits­zo­nen ein­rich­ten

Die grund­sätz­li­che Frage sollte somit sein: Muss jedes End­ge­rät als voll­wer­ti­ger Teil­neh­mer in das hei­mi­sche Netz­werk inte­griert werden? Viele WLAN-Router bieten die Mög­lich­keit eines ein­ge­schränk­ten Gast-Netzwerks. Die ein­fachste Vari­ante ist, das Gast-Netzwerk für die End­ge­räte zu akti­vie­ren. So können End­ge­räte zwar noch mit dem Inter­net kom­mu­ni­zie­ren – nicht aber mit anderen Geräten im Heim­netz­werk wie IP-Kamera, NAS-Server etc. Damit redu­ziert sich das Scha­dens­po­ten­zial deut­lich.

Besser wäre, eine soge­nannte „Router-Kaskade“ ein­zu­rich­ten. Das sind unter­schied­li­che (WLAN-) Router, die jeweils für eine Gruppe für Geräte zustän­dig sind. Eine Gruppe sind z.B. grund­sätz­lich ver­trau­ens­wür­dige Geräte wie PC, Tablet etc. Eine andere Gruppe sind die ein­gangs erwähn­ten End­ge­räte wie Fern­se­her, Kaf­fee­ma­schine etc. Bei Bedarf können auch weitere Gruppen fest­ge­legt werden. Für jede Gruppe lassen sich indi­vi­du­elle Rechte bzw. Ein­schrän­kun­gen indi­vi­du­ell fest­le­gen.
Bei wei­te­rem Inter­esse zu dem Thema wird auf den Artikel der Zeit­schrift c’t ver­wie­sen.

Der Tipp des Monats des IGT kann hier abon­niert wer­den.


Mit dem Smart Home, ohne dass sich eine moderne TGA-Anlage kaum sinn­voll steu­ern lässt, befasst sich auch Energieblogger-Kollege Björn Katz hier auf sei­nem Blog Strom­aus­kunft.