7-9-2016 Gedruckt am 28-02-2017 aus www.monitor.co.at/index.cfm/storyid/16947

Gastartikel - Henning von Kielpinski

Sicherheit bleibt bei der Heimautomatisierung oft auf der Strecke

Die Heimautomatisierung ist weder Fiktion noch Vision, sondern vielfach Realität – und die Entwicklung schreitet mit großen Schritten voran. Eine der größten Schwachstellen ist die Sicherheit. Handlungsbedarf besteht hier nicht nur bei den Anbietern: auch der Verbraucher ist gefordert.

Henning von Kielpinski, Leiter Business Development bei Consol (c) Consol

 Das Internet der Dinge (Internet of Things – IoT) basiert auf einer hochgradigen Automatisierung und Vernetzung und wird damit zur Komfort-, Effizienz- und Produktivitätssteigerung in vielen Bereichen beitragen, und zwar nicht nur in Unternehmen, sondern auch bei Verbrauchern zuhause. Die Heimautomatisierung bietet dem Anwender zahlreiche Vorteile wie die komfortable Fernsteuerung und -überwachung von allerlei Geräten und Systemen, angefangen bei Kühlschränken und Waschmaschinen über die Haustür und Beleuchtung bis hin zur Heizung. Für den Verbraucher ergeben sich vordergründig betrachtet also zunächst nur Vorteile.
 
An der Heimautomatisierung zeigen sich aber auch die mit dem IoT verbundenen Probleme. Und hier sind wir beim Thema Sicherheit, das vielfach immer noch unzureichend beachtet wird – nicht nur auf der Seite der Lösungsanbieter, sondern auch beim Konsumenten. Wenn es stimmt, was Experten behaupten, dass nämlich in allernächster Zukunft Dutzende Milliarden Geräte über das Internet verbunden – und damit angreifbar – sind, weiß man um die Tragweite der Thematik. Kühlschrank: Der Spion aus der Kälte lässt grüßen. Fiktion? Keineswegs, schon in der Vergangenheit haben Hacker TV-Geräte und intelligente Kühlschränke missbraucht, um Botnetze aufzubauen oder Spam-Mails zu verschicken. Genauso wenig ist die ausgeschaltete Heizung eine Vision.
 

Den Hackern das Leben leicht gemacht

Wie einfach solche Angriffe machbar sind, zeigte eine Sicherheitslücke bei Heizungsanlagen, die mit dem Internet verbunden waren und sowohl von den Eigentümern als auch vom Servicepersonal des Heizungsbauers ferngesteuert werden konnten. Sicherheitsproblem beim genutzten Web-Interface war, dass man relativ leicht auf die Klartext-Passwörter zugreifen konnte. Der Hersteller reagierte nach Bekanntwerden des Lecks sofort mit der drastischen Empfehlung: „Lieber Kunde, bitte den Netzwerkstecker ziehen!“
 
Das Beispiel zeigt, dass beim Thema IoT durchaus noch etliches im Argen liegt. Hier sind natürlich zunächst die Hersteller und Lösungsanbieter gefordert. Und es tut sich bereits einiges. Etliche Organisationen beschäftigen sich inzwischen intensiv mit IoT-Standards und Security-Modellen, zum Beispiel das Industrial Internet Consortium oder das Open Interconnect Consortium, das 2014 unter anderem von Broadcom, Dell, Intel und Samsung gegründet wurde.
 

Sicherheitsprobleme sind strukturell bedingt

Ein zentrales Problem ist, dass die internetfähigen Geräte in den Haushalten keine oder unregelmäßige Updates erhalten. Problematisch ist auch, dass sich im Hinblick auf das Internet der Dinge bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit auch nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.
 
Verbreitete Kommunikationsprotokolle sind heute ZigBee oder Z-Wave. Dass sie eine hohe Sicherheit bieten, ist allerdings ein Trugschluss. Das hat sich wieder einmal Ende 2015 gezeigt, als eine ZigBee-Variante geknackt wurde. Genutzt wurde dabei ein öffentlich bekannter asymmetrischer Schlüssel, der bei der Neuanmeldung eines ZigBee-Gerätes in einem Netz benötigt wird. Ob ein derartiges Verfahren heute noch zeitgemäß ist, sei dahingestellt.
 
Bedeuten diese potenziellen Sicherheitslücken nun im Umkehrschluss, dass der Verbraucher überhaupt nichts tun kann? Natürlich nicht, er ist durchaus gefordert und muss selbst einige Sicherheitsmaßnahmen ergreifen. Ganz allgemein gibt es für einen IoT-Anwender drei Handlungsempfehlungen:
  1. Der Verbraucher muss sich bewusst sein, dass Sicherheitsgefahren bestehen; diese Awareness ist nach wie vor nicht sonderlich ausgeprägt.
  2. Er muss grundlegende Sicherheitsempfehlungen beachten und entsprechende Maßnahmen ergreifen, etwa die Änderung der Default-Passwörter bei allen Systemen und Geräten.
  3. Er muss alle genutzten Systeme auf dem aktuellen Stand halten und, soweit möglich, regelmäßige Updates durchführen.
 
Der Anwender muss vor allem Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet, dem Router: unsere Erfahrungen zeigen, dass die Standard-Passwörter der Router vielfach überhaupt nicht geändert werden. Dadurch ergibt sich schon die erste Sicherheitslücke. Weitere wichtige Punkte im Hinblick auf die Sicherung des Heimnetzes sind strikte Firewall-Einstellungen; es muss klar festgelegt werden, wer worauf Zugriff erhält. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen, und zwar sowohl intern als auch extern.
 
Aber der Verbraucher hat durchaus noch weitreichendere Möglichkeiten, die IoT-Entwicklung in Richtung mehr Sicherheit zu beeinflussen. So sollte er bereits bei der Auswahl von Lösungs- und Serviceanbietern ein hohes Maß an kritischem Sachverstand an den Tag legen. Da die Heimsysteme letztlich über die externe Cloud gesteuert werden, geht es nicht nur um die technische Kompetenz des Cloud-Providers, sondern auch um das Thema Vertrauen.
 
Legt der Konsument künftig ein stärkeres Augenmerk auf den Bereich Sicherheit, wird das in letzter Konsequenz auch Auswirkungen auf die Lösungs- und Serviceanbieter haben. Auch sie werden dann dem Themenkomplex Sicherheit eine größere Bedeutung einräumen als in der Vergangenheit. Endverbraucher können somit auch einen Veränderungsprozess auf Anbieterseite initiieren.
 
Auch wenn der Anwender einige grundlegende Sicherheitsrichtlinien beachtet und seinen Dienstleister kritisch auswählt, eines darf nicht außer Acht gelassen werden: die Sicherung der heimischen Infrastruktur weist gerade auch im Hinblick auf die Anbindung einer heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt, es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Heimanwender also den Weg der umfassenden Vernetzung geht, sollte er sich durchaus die Frage stellen, ob es nicht ratsam ist, sich die Unterstützung eines externen Dienstleisters zu sichern. Dieser muss natürlich über entsprechende Erfahrungswerte bei der Realisierung umfangreicher Heimautomatisierungsprojekte verfügen.
 
Henning von Kielpinski ist Leiter Business Development bei der Consol Software GmbH in München.