Sicherheit im Smart Home: «My home is my castle» oder doch eher «My Home is an open castle»?

05.06.2018

«My home is my castle» – oder doch eher «My Home is an open castle»?

«My home is my castle» oder doch eher «My Home is an open castle»? Überall hört und liest man über die Sicherheit von IoT und Smart Home. Das Thema wird heiss diskutiert und beschäftigt viele. So auch mich.

Kann ein Hacker irgendwo auf der Welt nun meine Lichter einschalten? Werden auch die Daten meiner Waschmaschine gesammelt und ausgewertet?
Smart Home – Segen oder grosses Risiko?

Autor: Gian Demarmels

Solche Fragen kommen einem direkt in den Sinn, sobald das Thema Sicherheit im Zusammenhang mit Smart Home fällt. In diesem Blogpost werden relevante Aspekte auf den Tisch gelegt und diskutiert. Wir werden uns die digitale Sicherheit der IoT-Geräte näher ansehen, auf den Datenschutz eingehen und auch physische Sicherheit diskutieren.

Digitale Sicherheit

In allen Zeitungen lesen wir immer wieder, dass neue Sicherheitslücken gefunden wurden. Sie sind allgegenwärtig und selbst grosse Firmen wie Intel oder Oracle sind davor nicht gefeit. Nun drängt sich natürlich die Frage auf: Was können wir dagegen tun?

anfuehrungszeichen_hubware

100% Sicherheit gibt es nie. Mit wenig Aufwand kann das Risiko aber bereits deutlich gesenkt werden. schlusszeichen_hubware

Gian Demarmels

Das Risiko kann bereits durch wenige Schritte enorm gesenkt werden. Häufig sind IoT Geräte nicht passwortgeschützt und öffentlich im Internet zugänglich. Die Auswirkungen dabei sind enorm.
Stellt euch einmal vor, durch die Webcam in eurem Wohnzimmer können wildfremde Leute zusehen was ihr gerade so tut. Da wird einem wohl doch ein wenig flau im Magen. Dieses flaue Gefühl verstärkt sich noch um einiges, wenn einem bewusst wird, wie einfach diese ungeschützten Geräte zu finden sind. Mit speziellen Suchmaschinen wie Shodan.io können diese Webcams ähnlich wie bei einer Googlesuche gefunden werden.
Sich dagegen zu schützen wäre hingegen sehr einfach: Richtet sichere Passwörter für eure Geräte ein. So trivial dieser Schritt auch sein mag, existieren leider noch viel zu viele IoT-Geräte die ohne Passwort oder mit dem Standardpasswort unzureichend geschützt sind.

Auch Smart Homes sind potenzielle Angriffsziele

Ein mindestens genauso grosses Problem stellt veraltete Software dar. Nach dem bekannt werden einer Sicherheitslücke wird von den Herstellern zumeist ein Patch zur Verfügung gestellt um diese Lücke zu schliessen.
Stellen wir uns nun vor, das Update ist von dem Benutzer nicht gemacht worden. Leider auch hier öfters der Fall als man denkt. Bei vielen Geräten die direkt am Internet hängen kann durch Shodan, die Suchmaschine für IoT, die Softwareversionen herausgefunden werden. In grossen Datenbanken sind die Sicherheitslücken betroffener Versionen genau aufgelistet, oft inklusive Exploit (Stück Software für die Ausnützung der Sicherheitslücke). Um diese Exploits anzuwenden sind nicht zwingend grosse Erfahrungen nötig – es kann ohne Erfahrung aber ziemlich gefährlich sein. Nun hat nach dem Anwenden des Exploits der Angreifer vollen Zugriff auf euer IoT-Gerät. Auch dieses Schreckensszenario kann mit dem regelmässigem Updaten der Geräte oftmals verhindert werden.

An diesen Beispielen wird einem klar, dass das Risiko sehr hoch ist. Dass die Angriffe auch tatsächlich passieren, zeigt uns das Forschungsprojekt ‚Haunted House‘ der Sicherheitsfirma Keramis in Zusammenarbeit mit Sophos. In diesem Projekt wurde ein nachgebildetes Smart Home als potenzielles Angriffsziel ins Internet gestellt. Über mehrere Wochen hinweg wurden die Angriffe kontinuierlich analysiert und bewertet. Das Whitepaper für dieses Projekt kann unter diesem Link heruntergeladen werden.
Das Projekt verdeutlich, dass automatisierte Angriffe meist auf ungeschützte Systeme stattfinden. Dies bedeutet für uns, bereits mit geringem Aufwand kann das Risiko erheblich gesenkt werden. Falls ihr weitere Massnahmen ergreifen wollt, sind am Ende des Whitepapers von Haunted House noch weitere Tipps. Wieter gibt’s auch im Archiv unseres hubware Blogs einen interessanten Blogbeitrag von Maurizio Monticelli zu diesem Thema.

Datenschutz

Auch die Diskussion über den Datenschutz ist im Bereich Smart Home angelangt. Sicherlich ist euch der Datenskandal bei Facebook rund um Cambridge Analytica nicht entgangen. Hierbei wurden persönlichen Daten von Millionen von Menschen zu politischen Zwecken verwendet. Dieser Skandal hat uns gleich mehrere Sachen aufgezeigt. Die allgemein bekannte Ausrede «Ich habe doch nichts zu verbergen» ist in vielerlei Hinsicht falsch. Erstens geht es in dieser Diskussion immer um die Daten vieler und nicht um die eines Individuums. Cambridge Analytica kann mit Daten von Kurt Müller alleine noch gar nichts anfangen, die Masse macht es aus. Mag also durchaus sein, dass ich nichts zu verbergen haben. Wir aber schon.

Zweitens kommt es auch darauf an wer diese Daten bekommt. Ob Facebook meine Interessen kennt oder nicht ist mir persönlich egal. Nicht egal ist mir jedoch ob Cambridge Analytica meine Interessen kennt und dieses Wissen missbraucht um politische Ziele zu verfolgen welche nicht mehr meinen Interessen entsprechen. Wie kann ich nun sicherstellen, dass Facebook meine Daten nicht weitergibt? Sie kennen vermutlich die Antwort. Gar nicht. Wir haben also wohl doch etwas zu verbergen.

anfuehrungszeichen_hubware

Mag also durchaus sein, dass ich nichts zu verbergen habe. Wir aber schon. schlusszeichen_hubware

Gian Demarmels

Zu recht fragt ihr euch, was hat das mit eurem Smart Home zu tun hat. Wir haben alle die Auswirkungen von dem Missbrauch der Facebook Daten mitbekommen. Stellt euch nun vor, was alles mit den Daten eines kompletten Haushaltes angestellt werden könnte. Oder mit den Daten von 80 Millionen Haushälten? Das Missbrauchspotenzial nimmt hier eine ganz andere Dimension an. Es lohnt sich also, sich einmal mit der momentan gängigen Datenhaltung von Smart Home Lösungen auseinander zu setzen.

Häufig wird auch mit Daten bezahlt

Grundsätzlich gibt es zwei verschiedene Arten der Datenhaltung. Eine lokale Datenhaltung innerhalb des eigenen Hauses oder eine cloudbasierte Datenhaltung. Mit der Cloud sind die Daten nicht mehr an einen Ort gebunden. Je nach Serverstandort gelten andere Datenschutzvorschriften. Bei Cloud-Datenhaltung muss also dem Hersteller absolut vertraut werden. Bei Produkten wie Alexa von Amazon müssen wir uns immer bewusst sein, dass wir auch mit unseren Daten bezahlen. Ausserdem wäre es möglich, dass diese Daten missbraucht werden könnten. Um keine bösen Überraschungen zu erleben, sollten wir uns mit dem Thema auseinandersetzen. Der erste Schritt ist das nötige Bewusstsein zu entwickeln und sich folgende Fragen zu stellen: Wo sind meine Daten? Und wie werden sie verwendet?
In einem zweiten Schritt können wir nun entscheiden ob wir unsere Daten wirklich den Unternehmen zur Verfügung stellen wollen, oder ob wir doch lieber eine Lösung mit einer restriktiveren Datenhaltung haben wollen. Anzumerken ist, dass es bei Cloud Lösungen natürlich nicht direkt heisst, dass diese Daten kommerziell weiterverwendet werden. Lediglich die Kontrolle, ob sie verwendet werden ist bei Cloudlösungen einiges schwieriger. Ein spannender Beitrag zu Datenhaltung lokal vs. cloud von unserem CTO Tobias Kluge habe ich euch hier verlinkt.

Physische Sicherheit

Was oft vergessen geht in der Diskussion um Sicherheit, ist die physische Sicherheit. Ausser Hacker und Datenkraken gibt es natürlich auch noch andere Gefahren für Smart Homes. Einbrecher, Feuer, Sturm um nur einige Beispiele zu nennen. Videokameras, Feuermelder und Wetterstationen die vor ebendiesen Gefahren schützen sollen, sind schon gang und gäbe. Bei einem Einbrecher kann mit der Videokamera viel schneller reagiert werden. Mit Feuermelder kann verhindert werden, dass sich ein Feuer weiter ausbreitet. Um Sturmschäden zu vermeiden, werden Fenster automatisch geschlossen und auch Rollos automatisch heruntergefahren.
Ein Smart Home kann nebst Komfort also auch viel physische Sicherheit bieten. Keineswegs sind wir bei diesem Punkt aber schon fertig. Stichwort Elder Care: Mit zunehmendem Alter sind plötzlich alltägliche Aufgaben eine grosse Last und können eine Gefahr darstellen. Hier existiert ein grosses Potenzial mit unterstützender Technik. Beispielweise eine Waage, die wichtige Daten an den Hausarzt verschickt. Sensoren an Herd und Fenster stellen sicher, dass diese wieder abgeschaltet bzw. geschlossen werden. Für demente Personen besteht die Möglichkeit länger zu Hause leben zu können, in dem das Smart Home als Orientierungshilfe dient.

Elder Care: Smart Home als Alltagshilfe für Menschen im Alter

Fazit

Sicherheitsrisikos gibt es immer und überall. Schlussendlich geht man bereits mit dem Kauf eines Smartphones ein gewisses Risiko ein. Wichtig ist, dass man sich mit dem Thema Sicherheit beschäftigt und einem die Risiken bewusst sein. Der Bewohner kann mit einigen einfachen Kniffs bereits viel zu seiner eigenen Sicherheit beitragen. Natürlich sind auch wir als Hersteller in der Pflicht die Sicherheit ernst zu nehmen und in unseren Entwicklungsprozess zu integrieren. Wir als Hersteller tragen die Verantwortung nicht nur funktionierende Geräte zu entwickeln, sondern auch sichere. Smart Home hat durchaus das Potenzial unser Leben auch sicherer zu machen.

Zum Abschied möchte ich euch ein Zitat von Georg Christoph Lichtenberg mit auf den Weg geben, welches uns auf humorvolle Weise zeigt wie wichtig es ist uns ein wenig mit dem Thema auseinanderzusetzen.

anfuehrungszeichen_hubware

Wer einen Engel sucht und nur auf die Flügel schaut könnte eine Gans nach Hause bringenschlusszeichen_hubware

Georg Christoph Lichtenberg

Weitere Informationen

Teile diesen Beitrag: