Der Markt für Smart-Home-Lösungen unterteilt sich in zwei große Gruppen:
- Zur einen gehören die Steuerungssysteme, die von zertifizierten Handwerksbetrieben fest eingebaut werden.
- In der anderen Gruppe tummeln sich Komponenten diverser Hersteller, die sich auch von Laien problemlos nachrüsten lassen und einfache Leuchten oder Thermostate in smarte Geräte verwandeln.
Bei letzteren Geräten gibt es eine ganze Reihe von Ärgernissen, über die sich die meisten Anwender beim Kauf noch keine Gedanken machen. Dieser kleine Ratgeber zeigt erstens, wie Sie die Risiken schon vor der Anschaffung minimieren, und zweitens, wie Sie Schwachstellen bereits vorhandener Geräte finden und schließen.
Lesetipp: Sind smarte Geräte im Haushalt ein Sicherheitsrisiko? So schützen Sie sich!
Zwang zur Cloud? Am besten abschalten
Viele Hersteller zwingen die Kunden, den Geräten eine Verbindung zum Internet zu erlauben, weil nur dies eine ortsunabhängige Steuerung ermöglicht. So lassen sich die Geräte des chinesischen Hersteller Xiaomi (Mi Lamp und Ventilatoren) lediglich per App für das Smartphone steuern (es sei denn, Sie verwenden die Schalter an den Geräten, aber dafür braucht es kein Smart Home).
Leider sind die Einrichtung der App und somit auch die Verwendung von Sprachassistenten wie Alex oder Google Home zwingend damit verbunden.
Open VAS (auch unter Kali Linux dabei) analysiert das lokale Netzwerk und sämtliche Geräte auf Schwachstellen und Konfigurationsmängel.
IDG
So ist es auch kaum überraschend, dass sich mit der Suchmaschine Shodan dann auch leicht Einblicke in fremde Räume gewinnen lassen – dank nicht abgesicherter und selten aktualisierter Webcams.
Es ist ratsam, sich unbedingt vor einem Kauf die Rezensionen durchzulesen und auf einen solchen Zwang zur Cloud zu achten. In den eigenen vier Wänden sollte dazu keine Notwendigkeit bestehen.
Mit alternativen Bridges wie der Raspbee oder Conbee ist die Steuerung auch ohne Cloud möglich (sofern das Gerät kompatibel ist).
Und es sollte sich stets die Frage stellen, ob eine Funktion tatsächlich gebraucht wird: Wer eine komfortable Temperaturregelung der Heizung oder Lüftung sucht, benötigt dafür nicht unbedingt eine Funktion, die via Smartphone erkennt, dass Sie sich dem Gebäude nähern (was nur durch eine Verbindung über das Internet zu realisieren ist).
Wenn an dieser Stelle von Sicherheitsrisiken die Rede ist, geht es nicht allein um die Sicherheit der Daten, die sich innerhalb Ihres eigenen Netzwerks befinden. Gehören gekaperte Geräte im Netzwerk zu einem Bot-Netz, lassen sie sich nicht mehr einsetzen, von allen rechtlichen Komplikationen einmal abgesehen.
Die Suchmaschine Shodan fördert erstaunliche Ergebnisse zutage. Zu wenig abgesicherte Webcams erlauben oft den Blick in fremde Wohnungen.
IDG
WLAN? Eine Frage der Verbindung
Minimieren lassen sich Sicherheitsrisiken durch die Wahl der richtigen Hardware und ihrer Konnektivität. Geräte, die sich in das WLAN einbinden, scheinen auf den ersten Blick bequem. Zwar ist auch hier üblicherweise eine App nötig, um die Einrichtung zu bewältigen, diese dient dann aber lediglich dazu, den Netzwerkschlüssel im Gerät zu hinterlegen.
Mit der Nutzung des WLAN sind die Devices dann aber auch allen Angriffen ausgesetzt, die Angreifer gegen ein Funknetzwerk einsetzen.
Smart Home ohne Spionage: Wie weit kommt man ohne Cloud?
Die Hersteller betonen bei den Beschreibungen ihrer Geräte nur den Komfort und die leichte Einrichtung. Hinweise auf den verwendeten Standard bleiben eher versteckt. Besser als zig Geräte im Haus zu haben, die sich an das hauseigene WLAN hängen, sind Devices, die einem anderen Standard folgen, etwa Zigbee.
Tipp: Wenn es denn unbedingt WLAN sein muss (weil Sie die Lampen oder Heizkörperregler schon angeschafft haben), können Sie die Komponenten in einem separaten Netzwerk abschotten. So bringt etwa die Fritzbox ein zusätzliches „Gastnetz“ mit, das sich für diese Geräte zweckentfremden lässt.
Der Router als Schwachstelle
Bei allen Bemühungen, mehr Sicherheit für IoT-Geräte in den eigenen vier Wänden zu erreichen, sollten Sie stets den Router priorisieren. Denn hier verbergen sich üblicherweise die größten Schwachstellen.
Dazu zählen vergessene Portfreigaben, die Sie einmal angelegt hatten, um etwas auszuprobieren. Achten Sie neben den Portfreigaben auch auf Protokolle, die besonders häufig von Angreifern ausgenutzt werden. Dazu zählt UPnP zum Beispiel (Universal Plug and Play).
UPnP erleichtert Geräten innerhalb eines Netzes, einander zu finden und Verbindungen herzustellen. Ist einem Gerät (und dessen Firmware) aber erlaubt, selbständig Portfreigaben einzurichten, ist es denkbar, dass dieses einfache Protokoll auch extern erreichbar wird. Das ist dann eine leichte Beute für jeden Bot.
Die beste Strategie zum Härten des Netzwerks besteht darin, konsequent von einer schwarzen Liste auszugehen. Schalten Sie alle Verbindungen nach draußen zu Geräten ab, wenn diese nicht unbedingt für die Funktionalität notwendig sind. Kurzum: Alles, was nicht benötigt wird, sollte auch abgeschaltet werden.
Transparenz durch eigene Plattformen
Jeder Hersteller legt Ihnen für die Steuerung der Geräte eine eigene App nahe. Das ist bei einer größeren Anzahl von Geräten auf die Dauer alles andere als smart und bequem. Homekit von Apple oder Google Home und Alexa wollen das korrigieren, um den Preis, dass hier gar keine Möglichkeiten mehr bestehen, sich um mögliche Schwachstellen zu kümmern.
Sicherheitsbewusste Anwender, die Know-how mitbringen, können mit Anwendungen wie Open HAB, Domoticz oder iobroker eine individuelle Umgebung zusammenstellen, die sich einfacher pflegen lässt, mehr Transparenz bietet und auch geräteübergreifende Abläufe ermöglicht.
Achtung: Die 5 gefährlichsten WLAN-Angriffe
Schwachstellen aufspüren und schließen
Tools wie Open VAS liefern für gefundene Lücken in der Regel eindeutige CVE-Nummern, mit der Sie dann nach Patches und Lösungsmöglichkeiten suchen können.
IDG
Wenn Sie sich über potenzielle Schwachstellen bei den von Ihnen eingesetzten Geräten und Systemen informieren wollen, benötigen Sie Sicherheitslösungen. Open VAS („Open Vulnerability Assessment System“), das es unter kommerziellen Label von der Firma Greenbone gibt, ist ein solcher Schwachstellen-Scanner.
Diesen können Sie via Docker oder auch aus dem Quellcode auf Ihrem System installieren. Oder Sie greifen zur bekannten Distribution Kali Linux, die den Scanner ebenfalls an Bord hat.
Das Scannen nimmt eine Weile in Anspruch, am Ende erhalten Sie aber einen umfangreichen und auch grafischen Report, um vorhandene Schwachstellen zu erkennen. Jede Schwachstelle wird durch die eindeutige CVE-Nummer charakterisiert. Über deren Erläuterungen informieren Sie sich dann über mögliche Schäden und können auch nach Patches im Internet suchen.
Die Erkennung von möglicherweise bereits laufenden Angriffsversuchen oder Anomalien im Netzwerk ist dagegen schwerer zu entdecken. Zum einen benötigen Sie ein Werkzeug, das die Datenpakete scannt und auf mögliche Probleme hinweist.
Zum anderen sind Kenntnisse in Protokollen und Netzwerkverkehr nötig, um die Ergebnisse auch korrekt zu interpretieren. Unter Kali Linux können Sie etwa das Programm Suricata installieren, das einen ausgezeichneten Ruf genießt. Die eigentliche Arbeit beginnt allerdings erst nach der Installation, was den Rahmen des Beitrags sprengen würde.