Wie gefährlich ist fehlende Sicherheit im Smarthome?

Zum Jahresabschluss trifft es sich ganz gut, dass in Leipzig gerade der 35. Chaos Communication Congress (35C3) zu Ende gegangen ist. Dort wurde auch über die Sicherheit des Smarthomes diskutiert. Die daraus resultierenden Schlagzeilen (hier ein exemplarisches Beispiel von RP-Online) werden den einen oder anderen ins Grübeln bringen, ob ein Smarthome tatsächlich eine so gute Idee ist. Schließlich kann jeder Hacker „mal eben so“ in mein Heimnetz eindringen. Oder? Ein guter Anknüpfungspunkt, um die Sicherheit im Smarthome mal einem Realitätscheck zu unterziehen.

In den meisten Artikeln wird immer nur auf die Möglichkeit eingegangen, ein Smarthome (erfolgreich) anzugreifen. Neben diesem – fraglos wichtigen – Aspekt muss aber zusätzlich betrachtet werden, wie realistisch ein solcher Angriff überhaupt ist. Und wie wahrscheinlich es ist, dass ein solcher Angriff dann tatsächlich durchgeführt wird. Um es mal mit einem „normalen“ Einbruch zu vergleichen: Möglichkeiten, in eine Wohnung einzudringen, gibt es viele. Realistisch davon sind nicht alle (z.B. könnte man mit einem Rammbock recht einfach die Haustür überwinden. Realistisch ist das aber nicht unbedingt). Die Wahrscheinlichkeit wiederum hängt von noch ganz anderen Faktoren ab (auch hier ein Beispiel: im ersten Halbjahr 2018 gab es ca. 17600 Wohnungseinbrüche in NRW – bei 8,1 Millionen Haushalten. Die Wahrscheinlichkeit, dass eingebrochen wurde lag also bei 0,2 Prozent). Wie übertragen sich nun diese drei Fragen auf das Smarthome.

Die Angriffsmöglichkeiten

Das auf dem 35C3 vom Sicherheitsforscher Michael Steigerwald gezeigte Beispiel eignet sich gut als Anschauungsobjekt. Die Möglichkeit, die dort gezeigt wurde, ist unbestritten. Ja, man kann die Firmware einer Glühbirne – und anderer smarter Komponenten –  auslesen und so effektiv das Netzwerk des Opfers übernehmen. Es gibt aber durchaus andere Möglichkeiten, ein Heimnetz zu übernehmen. Dafür braucht es nicht unbedingt das Smarthome, oft ist der ans Internet angebundene PC mit Windows XP die einfachere Wahl für einen Hacker. Oder die IP-Kamera, die ebenfalls im Internet hängt und unzureichend mit der Nutzer/Passwort-Kombination „admin/admin“ abgesichert ist. Will sagen: Möglichkeiten, virtuell in das Heimnetzwerk einzusteigen gibt es viele, aber es gibt eben einfachere als den Weg über die Glühlampen zu gehen. Für „echte“ Einbrecher ist es auch einfacher, mit einem Dittrich die Haustür zu öffnen, als sich durch einen Kamin mit 20cm Durchmesser zu zwängen.

Die Realität

Deswegen sollte man sich die Fragen stellen, wie realistisch ein solches Szenario überhaupt ist. Auf dem 35C3 gezeigten Vortrag wurde erwähnt, dass jemand ja einfach in den Garten gehen könnte, eine dort befestigte „smarte“ Glühbirne schnappen könnte und diese auslesen könnte – schon sei er im Besitz des WLAN-Schlüssels und könne somit alle Daten des Opfers ausspionieren. Das ist natürlich nicht unrealistisch. Aber dazu müsste ein Hacker wissen, welcher Garten denn „smarte“ Glühbirnen beherbergt (im Vortrag war denn auch vom Nachbarn die Rede, dem dies vermutlich eher bekannt ist als einem vorbeifahrenden Hacker). Der Angreifer müsste weiterhin unbemerkt in den Garten gelangen, es müsste sich bei der Glühbirne um eines der Exemplare handeln, die tatsächlich auf diese Art und Weise angreifbar sind, und so weiter und so fort. Klar, für sich genommen ist keine dieser Möglichkeiten unrealistisch. Aber dass alle zusammenkommen ist dann doch unwahrscheinlich, womit wir zum nächsten Punkt kommen.

Die Wahrscheinlichkeit

Das ist vermutlich der entscheidende Punkt. Leider gibt es zu diesem Thema noch wenige Zahlen. Trotzdem behaupte ich, dass folgende Vermutungen nicht weit hergeholt sind:

  • Eine Bitkom-Studie behauptet, dass ca. ein Viertel der Deutschen schon ein Smarthome-Device besitzt.
  • Direkte, mit Einbrüchen vergleichbare, Angriffe sind statistisch zwar nicht erfasst, aber ich vermute, dass es ebenfalls deutlich weniger sind als die Zahl der „normalen“ Einbrüche.

Kurz: ich behaupte, dass deutlich weniger „IT-Einbrüche“ in 2018 erfolgt sind als „normale“ Einbrüche. Ich gehe sogar noch weiter und sage, dass die Zahl um ein Vielfaches darunter liegt. Noch anders augedrückt: es muss sich eigentlich niemand Gedanken machen, dass ein Hacker gezielt in sein Netzwerk eindringt und wertvolle Daten klaut. Also ist alles sicher? Bei weitem nicht.

Alles gut?

Bei der Sicherheit des Smarthomes geht es nicht unbedingt um direkte Einbrüche. Das ist ehrlich gesagt auch zu viel Aufwand für zu wenig Ertrag für einen Angreifer. Wie schon in diesem Beitrag beschrieben zielen Angreifer auf andere kriminellen Aktivitäten ab. Zurück zum 35C3: in besagtem Vortrag wurde die Möglichkeit erörtert, dass ein potentieller Angreifer massenhaft unsichere Glühbirnen in den Verkehr bringt und diese dann zu einem Botnet aufbaut. Das erscheint mir wesentlich wahrscheinlicher als die Möglichkeit eines direkten Angriffs, zumal wenn man die Verdienstmöglichkeiten eins Botnets betrachtet.

Vor solchen Szenarien sollte man sich als Smarthome-Besitzer natürlich ebenfalls schützen. Das ist prinzipiell ganz einfach, wenn man ein paar grundlegende Regeln beachtet. So sollten alle Komponenten, die nicht aus der Ferne gesteuert werden sollten, schlicht und ergreifend vom Internet abgeklemmt werden, wie hier beschrieben. Wer dann noch sein Netzwerk einigermaßen absichert und nicht unbedingt immer die billigsten China-Komponenten kauft, sollte in dieser Hinsicht relativ sicher sein. Schöner Nebeneffekt: gegen direkte Einbrüche ist man dann ebenfalls abgesichert. Und für alles Weitere gilt das Gleiche, wie für die „echten“ Einbrüche: ein professioneller Einbrecher kommt immer ins Haus, dagegen helfen nur wenige Maßnahmen. Aber gegen diese Art Einbruch muss sich Otto Normalverbraucher im Normalfall – zum Glück – gar nicht wappnen.

Im Übrigen, und damit ein letztes Mal zum 35C3: Die Wahrscheinlichkeit, dass voyeuristische Hacker diese Lücke hier ausnutzen werden, ist ungleich wahrscheinlicher als ein Angriff auf Eure Glühbirnen. In diesem Sinne wünsche ich Euch einen guten und sicheren Start in das Smarthome-Jahr 2019.

 

Patrick Boch

Patrick beschäftigt sich beruflich schon länger mit Sicherheit - allerdings für eine andere Zielgruppe. Privat sorgt er lieber für ein smartes - und sicheres - Zuhause.

Das könnte Dich auch interessieren …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen