Smart Home - So klappt es mit der Sicherheit Zuhause | Folge 5

Shownotes

In der aktuellen Folge geht es um das Thema Smart Home. Wie sieht es 2022 beim Thema Sicherheit aus? Hat der Digitalisierungsschub in den vergangenen Jahren zu einem Umdenken führt? Christian Lueg spricht in dieser Folge mit Markus Bartsch von TÜViT und Thomas Uhlemann von ESET.

Die Gäste Markus Bartsch studierte Informatik und arbeitet seit 1995 bei der TÜV Informationstechnik GmbH (TÜViT) –Unternehmensgruppe TÜV NORD. Nach jahrelanger Projektleitertätigkeit, in deren Rahmen IT-Sicherheitsprodukte und –systeme konzeptioniert, bewertet oder zertifiziert wurden, ist Herr Bartsch nun verantwortlich für Querschnitts-Themen innerhalb des TÜV NORD Konzerns, die sich aus dem immer größer werdenden Potential des Einsatzes von verteilter IT und den daraus resultierenden Sicherheitsrisiken insbesondere in folgenden Bereichen ergeben. Thomas Uhlemann ist bei der ESET Deutschland GmbH als Security Specialist für die Präsentation aktueller Malware-Themen, Trends und Awareness zuständig. Dafür wurde er unter anderem bereits mehrfach mit dem "Best Speaker" Award der Vogel IT-Akademie ausgezeichnet. Zudem dient er als Schnittstelle zwischen den ESET Malware- & Research Labors und den Sales & Marketing Abteilungen des Unternehmens.

Wie sieht es im Bereich Smart Home aktuell aus? Wie sieht es aus im Bereich Smart Home? Hat sich hier in den letzten Jahren etwas getan? Ist "Security by Design" endlich fester Bestandteil des Entwicklungsprozesses? Wie sieht es im Unternehmensbereich aus? Der Bitkom Verband hat kürzlich eine Umfrage veröffentlicht, die besagt, dass vier von zehn Anwendern Smart Home Geräte in ihrem Haushalt verwenden (Quelle: https://www.bitkom.org/Bitkom/Publikationen/Das-intelligente-Zuhause-Smart-Home-2021). Der Trend geht in den letzten Jahren steil nach oben. Smarte Geräte halten Einzug in die Haushalte, auch in dem des Moderators dieser Folge Rauchmelder, Fensterkontakte, Heizkörperthermostate, Lichtsteuerung aber auch Sprachassistenten haben bei ihm nun einen festen Platz. Gerade beim Thema heizen ergeben sich hier sichtbare Vorteile, beispielsweise durch einen niedrigeren Gasverbrauch. Markus Bartsch gibt zunächst einen kurzen Überblick, wie der TÜV die Sicherheit betrachtet. Bei elementaren Aspekten der Sicherheit, wie der Sicherheit des Anwenders bei der Nutzung der Geräte, ist man "safe". Bei der Sicherheit der Geräte vor Datendieben oder Spionen gibt es aber Nachholbedarf. Es gibt auf dem Markt einen Wildwuchs unterschiedlicher Lösungsanbieter, die eine Spannbreite im Bereich IT-Security haben. Viele Anbieter haben das Thema auf dem Schirm, aber es gibt auch negative Beispiele. Smart Home Geräte sind in den vergangenen Jahren deutlich beliebter bei Kriminellen geworden, so die Einschätzung von Thomas Uhlemann beim Blick in die Telemetrie-Daten von ESET. Cyberkriminelle sind wirtschaftlich orientiert und versuchen mit wenig Aufwand einen hohen finanziellen Ertrag zu erzielen. Je stärker sich das Internet der Dinge durchsetzt, desto attraktiver wird es für Hacker. Diese Angriffe konzentrieren sich bisher stark auf Schnittstellen wie Router (Z.B.: https://www.welivesecurity.com/deutsch/2018/10/09/wlan-router-durch-sicherheitsluecken-gefaehrdet/) oder gezielt auf Schwachstellen (Z.B.: https://www.welivesecurity.com/deutsch/2020/04/22/kritische-sicherheitsluecken-in-3-smart-home-hubs/). Hier gibt es viele Meldungen zu geschlossenen Lücken, schließen Anwender oder Hersteller diese aber nicht zeitnah, besteht die Gefahr, dass diese von Kriminellen ausgenutzt werden.

"Security by Design": Weiterhin frommer Wunsch oder Realität? Für Markus Bartsch verfolgen die Hersteller in erster Linie das Thema "Design". "Security" ist eher weniger wichtig. Dabei ist aber auch wichtig zu schauen, was mit dem Begriff gemeint ist. Eine verschlüsselte Kommunikation, damit Dritte nicht mithören können, ist das eine. Aber auch der Schutz, dass jemand von Außen Zugriff erhält. Das Umzusetzen ist nicht leicht. Hersteller müssen genau bedenken, was mögliche Angriffsvektoren sein könnten. Dabei ist dann nicht nur das jeweilige Geräte oder das Gateway relevant, sondern auch das Benutzer-Frontend auf dem Mobilgerät oder Desktop-PC. Zudem betreiben viele Hersteller noch ein Backend-System wo dann alle Informationen von verschiedenen Kunden zusammenlaufen. Hier muss aus Sicht des Experten noch viel gemacht werden. Thomas Uhlemann sieht, dass es besser geworden ist beim Thema "Security by Design". Entwicklungsprozesse haben sich deutlich verbessert. Die Kommunikation findet mittlerweile fast immer verschlüsselt statt. Auch die Integration von Geräten und die Sicherheit von Zugängen sind in den letzten Jahren sicherer geworden. Dennoch sieht auch Thomas noch ein Nachholbedarf bei der Absicherung von Frontend-Zugängen. Nicht nur der Besitzer kann jederzeit und von überall auf sein Smart Home zugreifen, Dritte könnten das dann auch. Hier muss bei der Entwicklung und auch beim Betrieb weiterhin ein gesundes Maß an Paranoia bestehen. Ähnlich wie Markus sieht auch Thomas es als elementar an, dass Hersteller sehr genau hinschauen, wo Angriffsvektoren bestehen.

Markus beobachtet in den letzten 10 Jahren, dass viele Hersteller mit ihrem Smart Home Geräten viel Wind gemacht haben und mittlerweile verschwunden sind, andere sind dazugekommen. Und je länger auch Anwender IoT-Geräte im Einsatz haben, desto heterogener ist der Aufbau. Geräte verschiedener Hersteller sind miteinander verknüpft und das Ganze soll dann mit einem Sprachassistenten verknüpft werden. Dadurch werden die Herausforderungen aus Security-Sicht nicht einfacher. Es ergeben sich offene Schnittstellen, die es dann abzusichern gilt. Hier muss ein genauer Design- und Netzwerkplan gemacht werden. Was für Anwender natürlich eine Herausforderung darstellt.

Was gibt es für den Privatanwender beim Kauf zu beachten? Markus Bartsch empfiehlt genau hinzusehen und die Produktportfolios der Hersteller zu prüfen. Gibt es neben funktionellen auch sicherheitsspezifische Aussagen? Zudem sollten Interessierte einen Anbieter wählen, wo gerade zu Beginn erstmal ein homogenes System aufgesetzt werden kann. Das erleichtert den Einstieg enorm. Darüber hinaus müssen Anwender sich selber fragen, was ihr eigenes Sicherheitsbedürfnis ist. Ein gehackter Lichtschalter ist vielleicht nicht ganz so schlimm wie ein Zutrittskontrollsystem. Hier sollte genau hingeschaut werden. Thomas Uhlemann ergänzt, dass Interessierte vor dem Kauf genau hinschauen. Eine Möglichkeit sind Bewertungen anderer Käufer. Was sagen diese über das Produkt? Was steht vielleicht auch zwischen den Zeilen? Wenn sich sehr gute und sehr schlechte gleichverteilt gegenüberstehen, sollte man einen kritischen Blick werfen und misstrauisch sein. Gleichzeitig empfiehlt der Experte die Anbindung des Smart Homes zu checken. Muss zwingend über die Cloud des Herstellers kommuniziert werden? Gibt der Hersteller Angaben darüber, wie lange diese verfügbar bleibt und wie die Kommunikation gesichert ist? Besteht die Möglichkeit der Steuerung im eigenen Netzwerk? Diese Fragen sollten sich Anwender vor dem Kauf stellen.

Einbruch ins Smart Home: Wie klappt es mit der Versicherung? Wie sieht es aus, wenn das smarte Zutrittssystem vom Einbrecher missbraucht wird? Klassische Spuren gibt es dann natürlich nicht. Laut Markus Bartsch sind glücklicherweise die meisten Einbrecher noch keine Hacker. Es ist aber möglich, dass sich das mit zunehmender Verbreitung ändert. Tritt ein solcher Fall ein wird es für das Opfer schwer dies der Versicherung zu erklären. Derzeit gibt es keine generelle Regel, wie Versicherungen damit umgehen. Markus Bartsch empfiehlt Nutzern, die sich ein solches Zutrittssystem anschaffen wollen, vorher mit ihrer Versicherung zu sprechen und nachzufragen, was bei einem Versicherungsfall zu tun ist. Thomas Uhlemann berichtet von einem ähnlichen Fall. Der Server eines Schließsystems ist ausgefallen, durch diesen Notfall haben alle Schlösser einen Öffnungs-Befehl erhalten. Ebenso ist die Frage was passiert, wenn die Stromversorgung ausfällt oder schlicht die Batterie leer ist.

Ausblick: IoT im Unternehmenssektor IoT im Unternehmensbereich, bspw. im smarten Bürogebäude oder im Fertigungsbereich, hat laut Markus Bartsch gerade bei der IT-Sicherheit enormen Nachholbedarf. Für Thomas Uhlemann sind hier Schadcode-Angriffe und Überlast-Attacken sehr beliebt. Beispielsweise wurden Energieversorger mit DDoS-Attacken lahmgelegt. Botnetze sind hier ein beliebtes Mittel. Mit Phishing wird versucht sich Zutritt zu verschaffen.

Wo geht die Reise im Smart Home hin? Markus Bartsch von TÜViT geht davon aus, dass das Sicherheitsbewusstsein steigen wird. Cyberattacken sind stärker im öffentlichen Fokus. Es wird mehr Prüfungen geben und das Security-Niveau wird steigen. Thomas Uhlemann geht von einem Aufrüsten der Kriminellen aus. Zunehmende Vernetzung setzt sich durch und Angreifer wollen hier ansetzen. Es ist wichtig, dass hier auch die Sicherheit gestärkt wird. Ein bisschen Paranoia sollte immer mit dabei sein.

Serviceteil Prüfen Sie vor dem Kauf, welche Funktionen Ihnen im Smart Home wichtig sind, zum Beispiel Sicherheit, Klima oder Beleuchtung. Klären Sie auch, ob der Hersteller seine Geräte regelmäßig mit Updates versorgt und nehmen Sie die Datenschutzerklärung genauestens unter die Lupe. Hier muss der Hersteller angeben, welche Daten er sammelt, speichert und verarbeitet.

Die Firmware eines Geräts sollte vom Hersteller automatisch aktualisiert werden. Zumindest sollten Sie über eine Anwendung oder eine E-Mail regelmäßig informiert werden, welche Updates zur Verfügung stehen, um sie zeitnah einspielen zu können.

Sichern Sie Ihr Heimnetzwerk ausreichend ab. Nutzen Sie dafür aktuelle Verschlüsselungsmethoden und verwenden Sie sichere individuelle Passwörter. So machen Sie es Hackern schwer, Ihr Netzwerk anzugreifen.

Auch mit einem Heimrouter kann ein Netzwerk in verschiedene Segmente unterteilt werden. Viele Heimrouter bieten die Möglichkeit, ein separates WLAN einzurichten, in dem nur IoT-Geräte eingebunden werden. Dabei besteht keine Verbindung zu sensiblen Daten oder Geräten wie Computern. Einige Router bieten zwar keine Netzwerksegmentierung an, aber ein Gäste-WLAN, das Sie für smarte Geräte verwenden können. In dem Fall sollte das Gäste-WLAN ausschließlich für IoT- Geräte genutzt und die Zugangsdaten nicht an Dritte weitergegeben werden.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.