Smart Home: Beliebteste Geräte mit schweren Sicherheitslecks

Das Smart-Home soll das eigene Zuhause im Idealfall sicherer, effizienter und bequemer machen. Rollläden, Heizungen, Alarmanlagen oder Webcams können problemlos über das Web per Fernwartung verwaltet und kontrolliert werden. Dadurch können Kosten und Zeit eingespart werden, die an anderer Stelle investiert werden können. Und Einbrecher sollen sich durch das vernetzte Zuhause möglichst auch abgeschreckt fühlen, so die Theorie. In der Praxis wird wohl aber genau das Gegenteil eintreffen.

In Fachkreisen ist das „Internet der Dinge“ der neue Spielplatz für begnadete Hacker. Die Rede ist hier von sämtlichen Smart-Devices, also Geräten für das Smart-Home wie Remote-Steckdosen, intelligente Rauchmelder, Webcams, SmartTVs, Tür- oder Garagen-Öffner sowie Thermostate oder Remote-Rolläden. Allesamt sind steuerbar über das eigene Netzwerk und können je nachdem auch mit anderen Geräten im Smart-Home miteinander verbunden sein bzw. kommunizieren.

Lesetipp: Dafür interessieren sich SmartHome-Konsumenten

Für Hacker ist es eine Entwicklung, die so nicht mehr aufzuhalten sein wird und neue Chancen offenbart. Quasi der Einbrecher 2.0, der sich die Hände nicht schmutzig machen muss wenn er ins (als sicher gedachte) Smart-Home eindringt und sämtliche Überwachungskameras ausschaltet oder das Garagentor öffnet.

SmartHome-Geräte mit schwerwiegenden Sicherheitslücken

Das ist längst kein Szenario aus irgendeinem Action-Klassiker, wie eine aktuelle Untersuchung wieder mal zeigt. Hewlett Packard hat die bekanntesten und beliebtesten (gemessen an den Verkäufen) Geräte untersucht und zahlreiche Sicherheitslücken festgestellt. Demnach besitzen allein die 10 beliebtesten Smart-Home-Geräte im Schnitt 25 Sicherheitslücken. Viele darunter sind schwerwiegend.

• Bei 8 von 10 Geräten war der Zugriff mit dem Passwort „1234“ entweder direkt möglich oder über die Website der Hersteller.
• 7 der 10 getesteten Geräte übertrugen Daten ohne jegliche Verschlüsselung, egal ob im lokalen Netzwerk oder im Internet. Im Klartext bedeutet das, dass jede noch so kleine Datei, die versendet wurde, sehr einfach abgefangen werden kann.
• Das Interface von 6 getesteten Geräten war sehr anfällig für CSS Angriffe (Cross-Site-Scripting).
• Bei 7 Geräten wurde festgestellt, dass während des Download-Vorganges eines Firmware-Updates keine Verschlüsselung stattfand. Was besonders tragisch enden kann, da ein Angreifer ein manipuliertes Firmware-Update so aussehen lassen kann, als sei es echt. Er könnte dann quasi das komplette Gerät neu programmieren.
• Ganze 9 der 10 Geräte sammelten persönliche Daten wie Mail-Adressen, Geburtsdaten, Namen und sonstige Adressdaten.

Es bedarf noch viel Zeit der Entwicklung

Leider hat HP in der Auswertung der Studie nicht mit angegeben, um welche Geräte und Hersteller es sich bei dieser Liste handelt. Deutlich macht diese Untersuchung aber vor allem eines: Die Hersteller schmeißen ihre Geräte viel zu schnell auf den Markt. Andernfalls würden sie nicht solche grundlegend schweren Sicherheitslücken aufweisen.

Und grundsätzlich zu denken, Einbrecher seien weniger IT-affin, kann nicht das Ziel sein. Hier besteht also noch jede Menge Aufholbedarf. Gerade weil der Markt laut einer Berechnung von Gartner bis ins Jahr 2020 ordentlich wachsen wird. Bis zu 50 Milliarden SmartHome-Geräte könnten dann miteinander vernetzt sein. Es wäre ein wahres Paradies für Hacker.

Ganz ohne Hintergedanken hat aber selbst HP diese Studie nicht aufgestellt. Genutzt wurde der eigene Security-Service „Fortify“, der im Grunde für solche Angelegenheiten entwickelt wurde. Weitere Informationen dazu könnt ihr dem beiliegenden Dokument entnehmen.

Noch kein Fan? Folge WEBLOGIT auf Facebook oder Twitter, um nichts zu verpassen! ↵