Smart-Home mag eine praktische „Erfindung“ sein, doch ist diese momentan noch unausgereift und unsicher.
Der Begriff open wird ja von Software-Entwicklern gern gehört (s. open-source), doch im Bereich Smart-Home möchte man lieber nicht so viele Dinge offen haben. Weder Türen und Fenster sollen ungewollt offen sein, noch die digitalen Verbindungen zwischen den Geräten im smarten Haushalt.
Viele Firmen, wie etwa die Telekom, RWE, Danalock, Gira, Somfy, etc. versuchen die Software Ihrer Geräte so sicher wie möglich zu machen, doch klappt dies meistens nicht so gut und wirkt deswegen eher unausgereift.
Sinnhaftigkeit fraglich
In einem Test von golem.de wurde das Danalock (ein smartes Türschloss) genauer unter die Lupe genommen. Mit dem Danalock kann man z.B. schon aus dem Auto von der Einfahrt aus die Haustür per Smartphone öffnen. Die Verbindung läuft dabei über Bluetooth mit einem 128bit AES-Key, der nur einmal benutzt werden kann. Nach dem einmaligen Nutzen wird ein neuer generiert, dies steigert die Sicherheit.
11 Sekunden zum öffnen
Um eine Tür mit Hilfe des Danalock zu öffnen benötigt es sage und schreibe 11 Sekunden. Das klingt erst mal nicht viel, doch wartet man an der Haustür 11 Sekunden lang im Regen beginnt man sehr schnell das smarte Türschloss zu verfluchen.
Nach Angaben von golem.de ist man zudem mit einem herkömmlichen Schlüssel genauso schnell, wie mit dem Danalock … und hat 230€ gespart.
Sicherheit nicht immer ausreichend
Die meisten Anbieter von Smart Home Geräten bieten dem Kunden ein Grundlevel an Sicherheit, doch sieht es darüber hinaus oftmals eher dünn aus.
Die Smart Home Lösungen von RWE setzen bspw. auf eine HTTPS Verbindung für Authentifizierung und Datenübermittlung. Die Geräte im Haus werden zwar nicht über einen RWE-Server gesteuert, sondern über die sogenannte RWE SmartHome Zentrale, doch wird zu ihr eine HTTPS Verbindung hergestellt
Ist HTTPS böse?
Die Frage ist jetzt: Ist HTTPS auf einmal nicht ausreichend? Die Antwort ist: Nicht immer.
HTTPS basiert auf SSL (secure-socket-layer, einem Verschlüsselungsprotokoll) und in SSL tauchen immer mal wieder – mehr oder weniger schwere – Sicherheitslücken auf, wie etwa die Freak-Lücke. Um diese auszunutzen bedarf es zwar höherem technischen Sachverstand, doch eine Verbindung mit SSL (also auch mit SSH bzw. HTTPS) ist nicht immer komplett sicher.
Mit dem Spielzeug IM-ME konnten Garagen gehack werden. Bild: http://3.f.ix.de/scale/geometry/600/q75/imgs/18/1/5/0/8/9/4/1/opensesame-2ef04fc37e6ce0ba.jpeg
Mit Kinderspielzeug Garage gehackt
Kurios wurde es im Juni, als es Hackern mit Hilfe eines Kinderspielzeuges gelang einen in den USA gängigen Garagentor-Mechanismus zu überlisten. Dabei wurde ein kleines Spielzeug namens IM-ME verwendet, das es zwei Benutzern (meistens Kindern) erlaubt miteinander zu chaten. Das ganze funktioniert mit einer einfachen Funkverbindung und eignete sich deswegen besonders gut zum senden von Befehlen, da Tastatur und Sendeeinheit ja bereits vorhanden waren.
Immer Sicherheitslücken
Meistens sind es Sicherheitslücken in den Systemen, die eine Gefahr darstellen, wie etwa im Fall des August-Türschlosses, wo eine fehlerhafte (bzw. nicht vorhandene) UUID-Abfrage dazu führte, dass man sich als Besitzer/legitimierter Gast ausgeben konnte.
Wer also sicher mit Smart-Home-Geräten arbeiten möchte, sollte auf eine korrekte Legitimation/Authentifizierung, eine Verschlüsselung von Gerät-zu-Gerät und Gerät-zu-Internet Verbindungen und auf allgemeine Sicherheitsvorkehrungen (gute Passwörter, Firewall, etc.) achten.
Statement
(eigene Meinung)
Wer durch eine Sicherheitslücke in „smarten“ Geräten angegriffen wird, ist irgendwo selbst Schuld. Seit Jahrtausenden kamen die Menschen ohne „smarte“ Geräte aus und das hat immer gut funktioniert. Wenn man also nun absichtlich Sicherheitslücken in sein Haus einbaut, bitte – aber ich habe mit solchen Leuten wenig Mitleid.
Pingback: Bierkühlschrank: Smarte Geräte werden skurril - [curi0sity]
Pingback: Spionage: Überwachungs-Chip für IoT Geräte - [curi0sity]