Schöne neue Smarthome-Welt: Mein Handy merkt, wenn ich mich meinem Haus nähere und fährt rechtzeitig die Heizung hoch, damit ich es bei der Ankunft schön warm habe. Falls ich vergessen habe das Licht im Keller auszuschalten könnte ich das auch noch auf dem Münchener Autobahnring mit dem Smartphone korrigieren. Muss ich natürlich nicht, da mein Haus schlau genug ist das Licht im Keller selbstständig auszuschalten, wenn ich nicht da bin. Selbstverständlich kann ich mit dem Laptop oder Smartphone auch die Rollläden hochfahren und die Haustür entriegeln. Wer sein Haus bis zu diesem Punkt von außen steuerbar gemacht hat, stellt sich (hoffentlich) vorher die Frage: Wie sicher ist das alles eigentlich?
Die Antwort auf diese Frage ist relativ komplex, da etliche Angriffspunkte bei einer Haussteuerung existieren.
Alles ist denkbar:
- eingeschleuste Trojaner auf dem Laptop oder dem Smartphone
- Sicherheitslücken in Sensoren oder Aktoren
- Sicherheitsrisiken bei der Automationssoftware
- Sicherheitslücken der verwendeten Komponenten oder Software im Heimnetzwerk
- angreifbare Funkübertragung zwischen Sensoren und Aktoren der Hausautomation
Trojaner auf dem Laptop oder dem Smartphone
Der erste Punkt sollte eigentlich ein Selbstgänger sein: Die Software auf allen Computern muss regelmäßig mit Updates versehen werden. Um suspekte E-Mails und Webseiten macht man eine großen Bogen und der Virenscanner sollte immer aktuell sein. Dies gilt nicht nur für den Virenscanner des Laptops oder Desktop-Computers, auch das Smartphone sollte mit einer Antivirussoftware ausgestattet werden. Das es Schadsoftware gibt, die sich auf das Internet of Things (IoT) spezialisiert hat, ist spätestens seit dem Auftauchen des auf Siemens SPS-Steuerungen spezialisierten Stuxnet-Wurms Ende 2007 bekannt.
Sicherheitslücken in Hausautomations-Komponenten
Hier ist man auf die Unterstützung und Modellpflege des Herstellers angewiesen. Weit verbreitete Komponenten von bekannten Herstellern werden meist gut gepflegt. Um das selbst importierte billige China-Gadget muss man sich auch selbst kümmern. Dass dies durchaus ein reales Sicherheitsrisiko ist hat 2013 die Sicherheitslücke in den Saia-Burgess-Steuerungen gezeigt, die unter anderem auch in den ecoPOWER-Reglern des Herstellers Vaillant verbaut sind. Hier war es mit relativ geringen Kenntnissen möglich zum Beispiel Blockheizkraftwerke abzuschalten oder Kirchenglocken läuten zu lassen.
Automationssoftware
Auch hier ist man wieder hauptsächlich vom Entwickler der Software abhängig. Mein Tipp: Entweder auf eine Open-Source-Lösung wie FHEM oder Open-HAB oder auf eine Lösung mit einer aktiven breiten Nutzerbasis wie z. B. IP-Symcon setzen. Dadurch sollten Sicherheitslücken schneller erkannt werden als bei weniger verbreiteten Closed-Source-Lösungen. Ein weiterer Nachteil einiger Closed-Source-Lösungen, wie z. B. Googles Nest, ist, dass die Kommunikation des Smarthomes mit Smartphone oder Laptop über einen Server des Herstellers läuft. Dies ist ein zusätzlicher Risikofaktor. Außerdem funktioniert die Hausautomation häufig nicht mehr, wenn der Hersteller Probleme mit seinem Server hat.
Unsichere Netzwerkkomponenten
Das Risiko hängt hier in erster Linie von den Komponenten des Heimnetzwerk und dem Know-How des (Hobby-)Administrators ab, die sehen je nach Netzwerk sehr unterschiedlich aus. Ein potentielles Einfallstor, dass sicher in jedem Heimnetzwerk installiert ist, ist der Router. Das es auch weit verbreitete, gut unterstützte Geräte treffen kann zeigten 2014 die Sicherheitslücke in den Fritzboxen von AVM und 2012 die Probleme der Speedport-Router der Telekom.
Unsichere Funkübertragung
Wer Schaltsteckdosen aus dem Baumarkt einsetzt um seine Geräte zu schalten sollte sich nicht wundern, wenn diese auch mal außer der Reihe an oder aus gehen. Bei Funkkomponenten sollte man auf eine ausreichende Verschlüsselung achten, wie sie z. B. ZigBee- oder Homematic-Komponenten bieten. Den Türöffner per KNX-RF oder Z-Wave zu steuern wäre beinahe so fahrlässig, wie den Schlüssel neben die Tür zu legen.
Was also tun?
Die sicherste Möglichkeit ist es, das Smarthome komplett vom Internet zu trennen. Aber seien wir mal ehrlich: Auch wenn das intelligente Haus eigentlich alles ohne Eingriffe von außen richtig machen sollte, es macht doch Spaß von unterwegs mal eben zu Hause nach dem rechten zu sehen oder seine Freunde mit den Möglichkeiten seines intelligenten Hauses zu beeindrucken. Ich persönlich sichere mein Netzwerk bestmöglich ab und mache nur Funktionen von außen zugänglich die ungefährlich sind. Die eingangs erwähnte Türöffnung kann ich inzwischen nicht mehr mit dem Smartphone steuern.
Eine interessante Neuerung könnte eine neue Softwareentwicklung des Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) sein, dass die Haussteuerung mit einer Firewall mit Normalisierungskomponente absichern soll.
Bild: © AA+W / Fotolia