Smart-Home-Sicherheit mit riskanten Defiziten

Zehn weit verbreitete internetfähige Alarm- und Überwachungsanlagen für Privathaushalte weisen deutliche Schwachstellen auf. Das haben Spezialisten der HP-Security-Sparte Fortify herausgefunden. Sie entdeckten in allen untersuchten Systemen zur Haussicherheit Sicherheitslücken bei Passwörtern, Verschlüsselung und Authentifizierung. Die HP-Experten bezeichnen die getesteten Sicherheitssysteme selbst als Sicherheitsrisiko.

Nutzer müssen bei sämtlichen getesteten Systemen mit Cloud-basierender Web-Schnittstelle und mobilen Schnittstellen weder ein langes noch ein komplexes Passwort verwenden. Es reicht bei den meisten ein alphanumerisches Passwort mit einer Länge von sechs Zeichen. Außerdem sperrte kein System den Account nach einer bestimmten Anzahl von fehlgeschlagenen Log-in-Versuchen automatisch.

Im Test zeigten sich auch bei allen Cloud-basierenden Schnittstellen Sicherheitslücken. Angreifer können drei typische Fehler ausnutzen:

• mehrere Benutzerkonten
• schwache Passworteinstellungen
• fehlender Log-out

Bei fünf der getesteten zehn Systeme entdeckten die Forscher bei den mobilen Anwendungen vergleichbare Probleme.

Darüber hinaus sammeln sämtliche Systeme im Test persönliche Daten wie Name, Adresse, Geburtsdatum, Telefonnummer und sogar Kreditkartennummern. Viele Heimsicherheitsanlagen zeichnen zudem Videodaten auf, die über mobile Anwendungen oder die Cloud zugänglich sind. HP zufolge können Kriminelle “leicht” auf die privaten Accounts zugreifen. Die Systeme verfügen zwar über eine SSL- oder TLS-Verschlüsselung, allerdings weisen die Forscher auf Sicherheitslücken beim Transport der Daten über die Cloud hin.

Hersteller müssen nachbessern

Die Hersteller von vernetzten Haussicherheits-Systemen müssen nach Ansicht von HP nun Sicherheitsmaßnahmen entwickeln und Sicherheitslösungen bereitstellen. Zudem nimmt das Unternehmen die Verbraucher in die Pflicht. Sie sollen bei der Wahl eines Überwachungssystems auf Sicherheitsaspekte achten und diese vor allem auch richtig installieren.

Die Basis dafür bilde ein sicheres Heimnetzwerk. Zudem sollten sie komplexere Passwörter verwenden – ohne vom System dazu gezwungen zu werden – empfiehlt HP. Hersteller sollen die Systeme außerdem um die Möglichkeit der Kontosperrung sowie die Zwei-Faktor-Authentifizierung aufrüsten.

Bereits im Juli hatte HP auf Grundlage von Untersuchungen darauf hingewiesen, dass rund 70 Prozent der im Internet der Dinge eingesetzten Geräte unsicher seien. Auch hier waren schwache Passwörter, fehlende Verschlüsselung, schlampig implementierte Protokolle oder altbekannte Programmierfehler die häufigsten Kritikpunkte. Außerdem äußerte HP bereits damals bei 80 Prozent der Produkte Bedenken wegen des Datenschutzes, der nur unzureichend gewährleistet sei.

Auch EU-Sicherheitsagentur ENISA warnt

Ähnliche Bedenken wie HP hat erst diese Woche auch die EU-Sicherheitsagentur ENISA vorgebracht. Auf Grundlage einer umfangreichen Studie warnt die EU-Einrichtung ebenfalls in erster Linie vor Problemen mit dem Datenschutz und dem Datensammeln durch Geräte im Smart Home.

Aus ihre Sicht erhöhen zudem sogenannte integrierte Medien, dazu zählt die ENISA Smart TVs, Streaming-Sticks, Settop-Boxen und Spielkonsolen, erhöhten das Sicherheitsrisiko hinsichtlich der Privatsphäre und des Datenschutzes erheblich, da es sich vielfach um undurchsichtige Systeme handele, die etwa Sehgewohnheiten mitloggen und anschließend an den Hersteller übermitteln.

Ein weiteres Problem ist laut ENISA-Studie, dass in Smart Homes eine Vielzahl an unterschiedlichen Geräten mit entsprechend unterschiedlichen Protokollen und Technologien Einzug halten, die zu herkömmlichen Sicherheitssystemen nicht kompatibel sind.

Darüber hinaus hätten viele Smart-Home-Geräte noch nicht die Rechen- beziehungsweise Energieleistung, um Verschlüsselungsalgorithmen oder eine Endpunktauthentifizierung zu unterstützen. Ähnlich wie HP empfiehlt auch die ENISA die Konzeption des Smart Homes als vollständiges System und andererseits die präzise Überwachung der Sicherheit bei Cloud-basierenden Smart-Home-Geräten.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de