Smart Homes : Sicherheit? Mangelhaft
Eigentlich wollte der IT-Unternehmer Michael Steigerwald nur einem Kunden helfen. Dieser hatte ein smartes Gerät hergestellt, das er nun mit der Cloud verbinden wollte. Es sollte zu einem der mehreren Milliarden vernetzten Geräte des wachsenden Internets der Dinge werden, das als »IdD« abgekürzt wird. »Ich dachte, ich schaue mal, ob es da nicht schon eine fertige Lösung gibt«, berichtet Steigerwald im Dezember 2018 auf dem 35. Chaos Communication Congress (35C3) in Leipzig. Und tatsächlich: Er fand einen auf den ersten Blick »tollen IT-Cloud-Anbieter« aus Fernost, der es Unternehmen ermöglichte, ihre Geräte konkurrenzlos günstig mit dem Internet zu verbinden und die dazugehörige App mit eigenem Logo weiter zu vertreiben. So wird es zum Kinderspiel, Geräte für das Smart Home anzubieten. »Jeder kann ein Gerät in die Cloud bringen, ohne viel Ahnung davon zu haben«, so Steigerwald.
Mit dem Slogan »Build your own app in ten minutes« (»Erstellen Sie Ihre App in zehn Minuten«) wirbt das Unternehmen Tuya auf seiner Webseite, das sich selbst als den weltweit führenden IdD-Anbieter bezeichnet. Nach Angaben der Firma haben bereits 30 000 verschiedene Geräte den Weg ins Internet gefunden. Ganz vorne dabei ist die smarte Beleuchtung. »Man kann sich smarte Glühbirnen bestellen, das eigene Label drauf drucken – und schon ist man IdD-Anbieter«, sagt Steigerwald.
Doch es wäre kein Vortrag auf dem Chaos Communication Congress, wenn es kein dickes Ende geben würde. Steigerwald bestellte sich kurzerhand einige Module von Tuya. Weil ihm angesichts der mehrtägigen Wartezeit langweilig wurde, orderte er zusätzlich einige smarte Glühbirnen samt Steckdosen deutscher Hersteller, die schon nach einem Tag bei ihm ankamen. Und siehe da: Sie waren mit der Lösung von Tuya ausgestattet – was für den normalen Nutzer kaum erkennbar ist.
Als Steigerwald die Glühbirnen auseinanderbaute und sowohl die physischen Bestandteile als auch die Software untersuchte, fielen ihm massive Schwachstellen auf: Die Geräte speicherten alle erdenklichen Daten und schickten sie größtenteils unverschlüsselt an den Hersteller. Auf diesem Weg können der Cloudanbieter, der Hersteller sowie die Lieferanten auf Daten wie das WLAN-Passwort des Nutzers und den exakten Standort der Glühbirne zugreifen. »Ich habe meinen Schreibtisch in den Daten wiedergefunden«, sagt Steigerwald.
Nun mag es für einen Hersteller nicht so wahnsinnig interessant sein, zu wissen, wo exakt eine Glühbirne hängt. Und die Gefahr, dass ein Hacker das Licht an- oder ausschaltet, ist nur mittelmäßig bedrohlich, wenn sicherlich auch unheimlich. Doch allein aus den Daten, wann eine Glühbirne wie genutzt wird, lässt sich viel über die Gewohnheiten eines Nutzers herauslesen. Und nicht nur das: »Ein Hacker schaltet natürlich nicht nur das Licht an und aus«, warnt Steigerwald. Wer die smarte Glühbirne hackt, kann sich darüber Zugang zu allen möglichen anderen Informationen verschaffen. Steigerwald gelang es zudem, eine weitere Software auf die Glühbirne aufzuspielen – die Glühbirne könnte also als Trojaner fungieren. Nicht zuletzt konnte er das WLAN-Passwort auslesen. »Das komplette Netzwerk ist damit offen, und der Hacker kann auf private Daten zugreifen.«
Das Beispiel zeigt, wie das vernetzte Heim die Gefahren von Hackerangriffen potenziert. Denn: Wenn alles miteinander vernetzt ist, dann genügt ein einzelnes unsicheres Gerät, um Angreifer virtuell ins Haus zu lassen. »So werden die einfachsten Verbrauchsgegenstände zur Gefahr«, warnt Steigerwald.
Doch sogar dann, wenn die Daten, die smarte Hausgeräte über das Internet schicken, verschlüsselt übertragen werden, verraten sie viel über die Nutzer der Geräte. Das haben Forscher um Noah Apthorpe von der Princeton University herausgefunden und in einem Preprint veröffentlicht. Die Wissenschaftler richteten für die Studie ein Smart Home mit sieben internetfähigen Geräten ein, unter anderem mit einem Schlafmonitor, einer Sicherheitskamera, smarten Steckdosen und einem Amazon Echo, um herauszufinden, was diese über ihre Nutzer verraten könnten.
Vier der untersuchten Geräte, so das Team, könnten von Internetanbietern leicht identifiziert werden, allein weil sie sich mit dem Internet verbunden haben. Das sei vielleicht kein Problem, wenn es um ein Amazon Echo ginge, das sofort seine Identität offenbart. Aber heutzutage ist alles mit einer Internetverbindung ausgestattet – von Insulinpumpen bis hin zu Vibratoren. Für Werbetreibende etwa könnte es wertvoll sein, zu wissen, welche Geräte jemand benutzt.
Spione in den eigenen vier Wänden
»Viele Smart-Home-Geräte haben einen Sensor, der die Offline-Aktivitäten der Benutzer in ihren Wohnräumen erfasst und diese Informationen überträgt, typischerweise an eine Cloud des Geräteherstellers«, schreiben die Forscher um Apthorpe. Von den derzeit verfügbaren intelligenten Geräten würden beispielsweise Schlafgewohnheiten, Trainingsroutinen, Kinderverhalten, medizinische Informationen und sexuelle Aktivitäten aufgezeichnet. Ein Internetanbieter könnte – den Informatikern zufolge – etwa das Schlafverhalten eines Benutzers verfolgen, indem er erkennt, wann ein Schlaftracker eine Verbindung zum Internet herstellt. Die Internetanbieter könnten auch sehen, wenn eine Haussicherheitskamera Bewegungen erkennt, und wann jemand einen Livestream von seiner Sicherheitskamera aus beobachtet. Allein aus den Metadaten können Anbieter beispielsweise herauslesen, wann und wie gut jemand schläft, wann er am Computer arbeitet, wann jemand zu Hause ist und wann er Sex hat.
»Wir machen uns damit angreifbar«
Norbert Pohlmann
Wenn jedes Gerät über das Internet mit jedem anderen Gerät verbunden ist, bietet sich Angreifern nicht nur eine riesige Auswahl an möglichen Angriffszielen, sondern auch ein deutlich größerer Handlungsspielraum. »Wir müssen uns darüber bewusst werden, dass wir uns im Zuge der Entwicklung des Internets der Dinge und der Smart Homes die Geräte, mit denen wir potenziell ausspioniert und überwacht werden, selbst ins Haus holen«, sagt Norbert Pohlmann vom Institut für Internetsicherheit an der Westfälischen Hochschule in Gelsenkirchen. »Wir machen uns damit angreifbar.«
Aus seiner Sicht ist die Rechnung einfach: »Je mehr IdD-Geräte wir im Haus haben, desto eher können auch von außen Leute diese Geräte steuern.« Unabhängig von den Gefahren, die von Hackern ausgehen, verraten die Geräte schon im ganz normalen Betrieb den Unternehmen, deren Dienste wir nutzen, sehr private Informationen. So werde jede Anfrage, die wir an einen Sprachassistenten wie Amazons Alexa stellen, zunächst im Audioformat an die Server des Herstellers gesendet, erklärt Pohlmann. »Dort wird die Frage mit Hilfe von Spracherkennungssoftware in eine Textdatei umgewandelt, die dann nach einer syntaktischen und semantischen Überprüfung auf bekannte Befehle hin analysiert wird.« Diese werden anschließend an den Internetanbieter weitergeleitet. Die Daten werden dabei sowohl vom Hersteller als auch vom Internetanbieter gespeichert.
Privatsphäre schützen per VPN?
Die Zahl der Möglichkeiten für Privatnutzer, ihre Privatsphäre im Smart Home zu schützen, sind überschaubar. Die Forscher der Princeton University raten dazu, eine so genannte VPN-Verbindung, ein virtuelles privates Netzwerk, zu benutzen. Das VPN sollte so programmiert sein, dass es den gesamten Internetverkehr aufzeichnet und wiedergibt, selbst wenn das IdD-Gerät nicht in Gebrauch ist, um die Mitleser zu verwirren. Das allerdings ist nicht nur technisch ein wenig komplex, sondern würde auch das Netzwerk verlangsamen.
Technisch weniger aufwändige Lösungen laufen allerdings darauf hinaus, den Geräteherstellern zu vertrauen: »Wir als Benutzer sind darauf angewiesen, dass die Hersteller ihre Produkte gut und sicher machen«, sagt Pohlmann. »Alles, was man aktuell tun kann, ist, sich bei jedem Gerät im Vorhinein zu informieren, ob dieses als sicher gilt oder nicht.«
Außerdem solle man sicherstellen, dass auf allen Geräten immer die aktuellste Firmware installiert ist. Pohlmann zufolge sei aber genau das ein Punkt, der von den meisten Nutzern vernachlässigt würde: »Die Idee hinter einem Smart Home ist doch gerade, das Leben damit zu vereinfachen.« Da sei es durchaus verständlich, dass die Nutzer ihre Zeit nicht in die Instandhaltung ihrer Geräte investieren wollen. Zumal vielen Nutzern schlicht die nötigen Kenntnisse dafür fehlen.
Schon die Sicherheitshinweise des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die wenigsten Bürger umsetzen. Auch dort wird zu einer VPN-Verbindung geraten, wenn Geräte aus der Ferne gesteuert werden sollen. Zudem sollten die Nutzer beim Kauf prüfen, »ob eine verschlüsselte Kommunikation aktiviert werden kann, Sicherheits-Updates langfristig bereitgestellt werden oder welche Daten an den Hersteller übermittelt und wie sie dort verarbeitet und genutzt werden.« Das dürfte schnell eine Vollzeitaufgabe werden – falls die Hersteller überhaupt erreichbar sind und Auskunft geben.
Pohlmann sieht daher die Hersteller in der Verantwortung, regelmäßig automatische Updates für die Geräte zur Verfügung zu stellen und so deren Sicherheit zu gewährleisten. Gleichzeitig räumt er aber auch ein, dass viele noch nicht so weit seien, alle ihre Produkte immer automatisch aktuell zu halten. Und selbst dann heißt das noch lange nicht, dass die Geräte auch wirklich sicher sind: »Hundertprozentige Sicherheit gibt es nicht.«
Viele Sicherheitsforscher fordern, dass Daten künftig auf dem Gerät verarbeitet werden und das Haus gar nicht verlassen. Doch Pohlmann hält das, zumindest in naher Zukunft, nicht für realistisch. »Bei der Umsetzung von Konzepten wie Alexa und Co geht es gar nicht anders, als das Internet als Proxy zu nutzen«, sagt er. Zwar könne die Verarbeitung der Eingabe, also beispielsweise eines Sprachbefehls, in Zukunft auch lokal im Gerät erfolgen, so dass lediglich ein bereits analysierter und anonymisierter Befehl an die Internetanbieter weitergeleitet wird. Bis man dahin komme, würde es jedoch noch einige Zeit dauern. Um einen Schwerpunkt handle es sich dabei in der aktuellen Forschung nicht. »Aktuell funktionieren Konzepte wie der Sprachassistent nur deshalb zuverlässig, weil sie über die unternehmensseitige Auswertung und Analyse ständig verbessert werden«, erklärt der Sicherheitsexperte Pohlmann.
»Alles bequem aus der Entfernung«
Norbert Pohlmann
Welche Daten die einzelnen Unternehmen genau speichern und was sie mit den gesammelten Informationen anfangen, ist unterschiedlich und häufig undurchsichtig. Zwar hat nach der Europäischen Datenschutz-Grundverordnung jeder Nutzer das Recht, die über ihn gespeicherten Daten abzurufen und eine Löschung zu beantragen. Außerdem sind Unternehmen dazu verpflichtet, in ihren allgemeinen Geschäftsbedingungen mitzuteilen, wie und für welche Zwecke sie die Daten verwenden. Doch in der Praxis gestaltet sich der Zugriff auf die eigenen Daten in vielen Fällen noch schwierig, einheitliche Regelungen für die Umsetzung der gesetzlichen Vorgaben gibt es bislang nicht.
Einbruchplanung aus der Ferne
Wie weit reichend die Folgen sein können, die sich aus einem Datenleck im vernetzten Haus ergeben, zeigt sich bei Wohnungseinbrüchen. »Smart Homes ermöglichen Einbrechern ein komplett neues Angriffsmodell. Sie können viel strukturierter und gezielter vorgehen«, so Pohlmann. Wenn sich der Dieb beispielsweise in den intelligenten Stromzähler eines Hauses einhackt, kann er mit hoher Genauigkeit feststellen, wann die Bewohner gewöhnlich zu Hause sind. Und über Sicherheitskameras kann er exakt auskundschaften, wo das Geld und die Wertgegenstände sind. »Alles bequem aus der Entfernung«, sagt Pohlmann.
Nun muss der Einbrecher nur noch ins Haus hineinkommen. Doch auch das ist in einem schlecht gesicherten Smart Home kein Problem: »Ein smartes Türschloss ist genauso ›hackbar‹ wie der Rest. Ich muss die Tür oder ein Fenster nicht aufbrechen, sondern öffne es einfach über das Internet. Ich hinterlasse als Einbrecher also noch nicht einmal sichtbare Spuren.« Pohlmann ist davon überzeugt, dass sich Kriminelle in Zukunft mehr und mehr auf Smart Homes spezialisieren werden.
Man kann guten Gewissens sagen, dass die Zukunftsaussichten für die Sicherheit der Daten im Smart Home düster sind. »Die Bedrohung der Privatsphäre durch die Analyse von Metadaten wird mit dem Markt für Smart-Home-Geräte weiter wachsen«, schreiben die Forscher der Princeton University. Sie hofften, dass die Nutzer sich der Verletzungen der Privatsphäre durch vernetzte Geräte bewusster werden würden und entsprechende Forderungen an die Hersteller der Geräte stellten.
Und auch beim Chaos Communication Congress schneidet das Internet der Dinge in puncto Sicherheit schlecht ab. Ob Steigerwald jemals einem sicheren IdD-Gerät begegnet sei, fragt ein Zuhörer nach dem Vortrag des IT-Sicherheitsexperten in Leipzig. »Vielleicht«, antwortet dieser, »aber nicht meines Wissens.« Die IT-Sicherheit könnte die größte Hürde des vernetzten Heimes bleiben.
Wenn Sie inhaltliche Anmerkungen zu diesem Artikel haben, können Sie die Redaktion per E-Mail informieren. Wir lesen Ihre Zuschrift, bitten jedoch um Verständnis, dass wir nicht jede beantworten können.