Status Quo der Smart-Home-Sicherheit: Es brennt!
Der Zustand der Smart-Home-Sicherheit ist prekär. Millionen von vernetzten Geräten werden in den Umlauf gebracht, doch etliche von ihnen sind hochgradig unsicher. Gemeinsame Standards zur Sicherheit werden selten oder lückenhaft umgesetzt, sofern sie denn überhaupt existieren. Wir zeigen Euch bekannte Mängel und fragten bei Herstellern und Sicherheitsexperten nach, ob Aussicht auf Besserung besteht.
Es ist schon fast ein wenig gruselig. Lampenhersteller LIFX, Xiaomi, Tuya und WIZ seien betroffen. In einem schnellen Test konnte der Hacker "Limited Results" WLAN-Passwörter in mehreren WLAN-fähigen Lampen unverschlüsselt auslesen. Dafür musste er die Lampen jedoch per Hand öffnen.
Freilich, irgendwie müssen solche smarten Lampen sich mit Eurem WLAN wiederverbinden können, nachdem sie am Schalter aus- und später wieder eingeschaltet wurden. Doch die dafür nötigen Daten unverschlüsselt zu speichern, gilt gemeinhin als schlechtes Vorgehen. Immerhin ist die Hemmschwelle recht hoch, dass ein Dieb Eure Lampe herausschrauben und bei sich zuhause öffnen und auslesen würde.
Ein Hack ohne Löten oder Öffnen gelang dem Sicherheitsexperten und VTrust-Gründer Michael Steigerwald mit Tuya-Lampen. Steigerwald führte es auf seinem CCC-Vortrag in Leipzig vor, und wollte an jenem Tag den Hersteller jener Lampen gar nicht namentlich nennen. Das Problem sei nämlich ein globales und – wie die Erkenntnisse von Limited Results später belegen sollten – nicht auf einzelne Hersteller begrenzt.
Mit Sicherheits-Experte Maik Morgenstern von AV-Test unterhielt ich mich über den Stand der Smart-Home-Sicherheit und fragte: Wie kann ich als Kunde schon vor dem Kauf wissen, ob oder inwieweit ich einem vernetzten Elektrogerät trauen kann?
In der Öffentlichkeit sieht man vor allem die Fälle, bei denen etwas schief geht. Besonders erschreckend hierbei ist, dass immer wieder die gleichen simplen Fehler gemacht werden, die nicht sein müssten. Aufwendige Hacks sind oft gar nicht nötig. Da werden dann einfach Passwörter im Klartext durch das Netzwerk verschickt.
Seit 2013 testen wir nun schon IoT Geräte [auf iot-tests.org, Anm. d. Red.] und stellen dabei mehrere Trends fest. Namhafte Hersteller bemühen sich vermehrt um IT-Sicherheit und wir sehen, dass das Niveau hier stetig ansteigt. Gleichzeitig kommen aber auch ständig neue Firmen auf den Markt, bei denen allzu häufig IT-Sicherheit keine Rolle spielt. Hinzu kommt, dass der Umgang mit dem Thema Datenschutz sehr verschieden gehandhabt wird.
Insbesondere europäische Hersteller fallen uns vermehrt mit solider IT-Sicherheit aber auch vernünftigen Datenschutzvorgaben auf. Wenn sich die Unternehmen dann auch noch einem freiwilligen Sicherheitstest wie bei AV-TEST unterziehen, erkennbar am AV-TEST Siegel "GEPRÜFTES SMART HOME PRODUKT", ist die Chance groß, dass das Gerät wirklich sicher betrieben werden kann und Daten des Nutzers nicht missbraucht werden.
Doch ob namhaft oder nicht: Wenn Lieferanten wie Tuya hunderttausende Glühbirnen mit fremdem Namen verkaufen, sieht der Kunde gar nicht, was eigentlich in den Lampen drinsteckt. White Label Verträge verschleiern die wahre Herkunft der Technologie. In der Pressemitteilung zu seiner Verleihung des IFA-Innovationspreises schrieb Tuya:
Tuya Smart hat bis heute weit über tausend Software- und Hardwareprodukte für Unternehmen wie TCL und Archos entwickelt und arbeitet derzeit mit über 10.000 Kunden auf der ganzen Welt zusammen.
Die erwischten Hersteller lassen auf die Kritik Taten folgen und patchen ihre Systeme entsprechend. Tuya antwortete in einem umfangreichen Statement, dass es folgende Probleme aus Steigerwalds Live-Hack angehen werde oder schon angegangen sei:
- Der AES-Schlüssel werde nun verschlüsselt übertragen
- Die Kommunikation mit der Tuya-Cloud werde TLS-Verschlüsselt
- Informationen im Flash-Speicher werden verschlüsselt gespeichert
- Firmware-Pakete werden verifiziert
- Die App bekommt eine neue Verwaltung für Sicherheitsschlüssel
Warum in der Tuya-Cloud noch immer die Standortdaten jedes einzelnen Benutzers abgerufen werden können, wurde uns leider nicht mitgeteilt. Es bleibt also dabei, dass Hersteller mit Tuya-Technologie unnötig viel über Euch wissen.
Auch Lifx sandte uns eine Stellungnahme zu, die im Grunde dasselbe vorgehen verspricht:
"Alle Schwachstellen mittlerer bis hoher Schwere, die durch Limited Results identifiziert wurden, wurden in den Firmware- und App-Releases Ende 2018 behoben. Alle sensiblen Informationen, die in der Firmware gespeichert sind, sind nun verschlüsselt und wir haben zusätzliche Sicherheitseinstellungen in der Hardware eingeführt. Kunden können das Firmware-Update durch Öffnen ihrer LIFX-App erhalten. Wenn sie Ihre Leuchten bisher nicht aktualisiert haben, wird eine Firmware-Update-Eingabeaufforderung angezeigt."
Xiaomi deteuert in seinem Statement, ebenfalls einen Patch nachzuliefern. Des Weiteren sagt der Hersteller, dass ein Angriff äußerst unwahrscheinlich sei, wenn dieser zunächst physischen Zugriff auf ein Produkt bedarf.
Ein Gesundheitsamt, nur für IoT-Hersteller
Patches alleine werden das Problem nicht bei der Wurzel packen: Die Hersteller vernetzter Heimelektronik müssen deutlicher klarstellen, dass ihnen unser Datenschutz wichtig ist. Wir müssen uns als Kunden darauf verlassen können, dass die Hersteller die Smart-Home-Geräte mit Fokus auf Privatsphäre entwickeln. Alles andere ist nachrangig.
So wie sie den Mehrwert vernetzter Hausgeräte betonen, so müssen sie auch zeigen, dass dieser uns nicht durch Datenlecks und fremden Missbrauch zur Last wird. Hier wäre es auch wünschenswert, dass Gesetzgeber oder Verbraucherschützer einschreiten würden. Diese könnten Sicherheits-Audits wie die obigen zur Norm machen, wie ein Besuch des Gesundheitsamts in Restaurants.
Bis dahin müssen wir uns mit den Sicherheitstipps des Bundesamtes für Sicherheit in der Informationstechnik (BSI) begnügen. Die geben Hinweise darauf, wie Ihr in Eigenregie für ein wenig mehr Sicherheit im Smart Home sorgt. Doch wenn wir nicht vorher wissen können, ob die Geräte sicher hergestellt wurden, sind auch unsere besten Mühen vielleicht vergebens.
Quelle: Techcrunch, Heise
Ich bin bestimmt nicht fortschrittsfern. Aber der ganze Elektro-Klimbim hat nur 3 Ziele: Euch das Geld aus den Taschen zu ziehen, Euch auszuspionieren & Eure Daten zu verwerten (auch im 3.-Handel).
Dazu ständig neue technische Parameter: Was für Unmengen Geld für Geräte und entsprechende Datenträger ich schon aufgewandt habe? (Z.B. Schallplatten, Kassetten, Super 8, VHS, Mini-Disk, CD, DVD, BD; Disketten, SuperDisk, CD-/DVD-RAM/ROM+/- etc.; von zig Handys seit Anfang der 90er & diversen Kabeln/Adaptern abgesehen.)
Jüngstes Beispiel ist eine recht neue Teufel (R)-Anlage, die noch nicht mal einen Digitaltuner hat & nach der sog. "Analog-Abschaltung" nach Geld in Form eines kleinen, hässlichen Zusatzkästchens namens DVB-C-Receiver schreit, der sich 15 W Extra-Strom gönnt und meinem "Netzbetreiber" nebenbei auch noch mitteilt, welchen Radiokanal ich wann/wie lange höre. Alternativ kann ich ein WLAN-Radio-Adapter mit dem gleichen Ergebnis anschließen.
Leute, glaubt Ihr, dass es ein Zufall ist, dass jede SmartWatch, jede CD/DVD, jeder USB-Stick etc. seine eigene "ID" hat? (Bei Handy/Smartphone wäre es ja noch plausibel.)
[Guckt mal hier: "5G in China" (11 Min.) bei YT.]
Ansonsten liest sich für mich IOT wie Idiot/Idiocracy.
So, jetzt bitte den Rasenroboter in Bewegung setzen!
die beste Sicherung ist der Verzicht auf Smart - Home - Sicherheit
hab mir gerade ne packung kerzen geholt!
Hallo Kollegen..
1.) "Einbrecher" zerlegen keine Lampen und häcken kein WLAN.
Das Standard-Tool für Einbrecher sind:
a) grosser Schraubenzieher flach
b) Lederhandschuhe
c) Wollmütze
Trotz Alarmanlage und Videoüberwachung wird gerade im Winter mal "schnell" das Haus ausgeräumt.
2.) Egal, ob man ein "einfaches" oder "sicheres" Passwort verwendet. "Gehäckt" wird nicht der Nutzer, sondern der Internetdienst (Fratzenbuch, GMX, und Konsorten).
Gruss!!
Ein wesentlicher Aspekt wurde hier noch gar nicht genannt: Was passiert, wenn ein sog. Smart-Home-Gerät fehlerhaft funktioniert und/oder kompromittiert wurde und dadurch ein Schaden entsteht?
Beispiel 1: Man ist auf der Arbeit und der Staubsauger-Roboter fährt gegen ein Hindernis, der Motor läuft weiter, erhitzt sich bzw. der Akkumulator wird heiß dabei und das Gerät geht in Flammen auf. Würde eine Versicherung hier keine Probleme bezgl. Schadensregulierung machen? Wie soll der Geschädigte nachweisen, dass das Gerät (nicht) kompromittiert wurde? Schließlich ist ja allgemein bekannt, dass man Haushaltsgeräte bei längerer geplanter Abwesenheit nicht laufen lassen sollte.
Beispiel 2: Das elektronische Türschloss soll ja nur unter bestimmten Bedingungen öffnen. Was passiert, wenn es sich willkürlich entsperrt, z. B. durch einen Softwarefehler und ein Dieb kommt ungehindert in die Wohnung und entwendet dort etwas?
Beispiel 3: die "intelligenten" Heizregler drehen aufgrund eines Fehlers das Ventil zu, aber das Thermostat in der Wohnung signalisiert der Heizung, die Umwälpumpe anzuwerfen und die Wärmezufuhr zu aktivieren. Folge wäre ein ständiges An-/Ausschalten der Umwälzpumpe sowie der Wärmezufuhr. Das tut einerseits der Umwälzpumpe nicht gut und die Verbrennung zum Heizen wäre sehr ineffektiv und schadet auch dem Kamin.
Es wären auf jeden Fall Szenarien denkbar, indem Geräte kaputt gehen und ev. Feuer fangen könnte.
Worst case ist sicherlich, wenn Tür, Tor oder Fenster aufgehen. Es wird sicherlich Hacker geben, die per Standortdaten den Weg dazu finden und dann diese Sicherheitslücken ausznutzen und ihre Kumpane losschicken. :-(
In einigen Punkten gebe ich dir Recht und die Fragen sind wirklich berechtigt. Aber das mit dem Türschloss ist schon der eigenen Dummheit des Users zuzuschreiben - sofern so ein System im Einsatz ist. Ich mag Smart Home, aber man muss auch Grenzen ziehen. Und der Eingang zum privaten Bereich sollte noch klassisch über einen Schlüssel oder ähnliches erfolgen.
Ich weiß nicht ob es wirklich was zur Sicherheit beiträgt, aber meinen Staubsaugerroboter habe ich mit dem eingerichteten Gästebüchern WLAN verbunden. Sowie auch das als Steuereinheit dienende Tablet. Darauf sind keine persönlichen Daten, wie Bilder, Dokumente usw. gespeichert. Das alles gibt mir zumindest ein besseres Gefühl.
Ich steh lieber noch selber auf um die Glühbirne auszumachen oder klatsche 👏😴 2x mit den Händen dann geht die Lampe an und aus.
Klatschschalter sind auch billiger. Nur nicht neben dem Fernseher, sonst hat man vielleicht eine Lichtorgel. :D
Ich nehme immer einen Stein und Streichholz mit ins Bett. Mit dem Stein werfe ich die Lampe aus. Mir dem Streichholz gucke ich nach, ob ich getroffen habe.
Das ist der Grund, warum ist IoT skeptisch gegenüberstehe.
Aus der Erfahrung wurden wir über die Jahre von Websites, bzw, den dort enthaltenen Trackern, ausgespäht. Diese Module wurden den Betreibern der Website als tolle Analyse und Werbemodule verkauft. Sie waren jedoch nicht gegen die Verteilung von Schadsoftware gesichert. Erst als das Kind in den Brunnen gefallen war, hat man sich darum gekümmert.
Mit den Smart Devices hat das Usertracking eine neue Qualität bekommen. Nicht nur das Verhalten des Nutzers wird analysiert, sondern es werden gleich noch seine Anruflisten, Kontakte und Konten (dort bekommt man eventuell weitere E-Mail-Adressen, ein Grund, weshalb ich von Aqua Mail abrate) ausgelesen.
Siri, Google Home, Alexa, Cortana sollen alle nur auf Schlagworte reagieren. Komisch, dass diese Schlagworte auch dann verstanden werden, wenn sie nicht (bewusst) gesprochen werden. Noch komischer, dass in mindestens einem Fall Daten einer ganz anderen Person im Profil landeten, was nur herauskam, weil einer sein Recht aufgrund der DSGVO geltend gemacht hat.
Jetzt Smart Home. Die Heizung lässt sich vor dem Abflug vom Urlaubsdominzil hochdrehen. Auf den ersten Blick toll. Aber was, wenn die Heizung unbemerkt hochgedreht wird und das Öl alle ist, wenn man heim kommt? Wie sicher ist es, dass die Daten, die mir angezeigt werden, auch wirklich die aktuellen sind?
Ist der Zugang per NFC zur Wohnung wirklich so schlau? Könnte der Code nicht unbemerkt aus meinem Smartphone ausgelesen werden? Und ist mein Smartphone ausreichend geschützt, damit ein Dieb sich damit keinen Zugang erschaffen kann?
Der Dieb muss erst meine Adresse wissen? Die steht vielleicht auf denm Sperrbildschirm, der eigentlich einem Finder helfen soll, mit mir Kontakt aufzunehmen. Und wenn nicht, kann sie über Namen und Telefonnummer jeden Telefonbuch entnommen werden.
Dann noch so grobe Nachlässigkeiten der Hersteller, kritische Dinge unverschlüsselt zu speichern oder zu übertragen.
Das ist auch einer der Gründe weshalb ich Smarthome, Fitnesstracker usw. ablehne, solange das Zeugs von der Wolkenwelt abhängig ist.
Was soll daran komisch sein, dass die Dinger sich auch mal verhören, wenn etwas ähnlich klingt wie das Hotword? Soll das jetzt dein Indiz dafür sein, dass die dauerhaft alles aufzeichnen?
Und was hat das mit den Geräten ansich zu tun, wenn ein Mitarbeiter falsche Daten raussendet? Warnst du auch vorm Autofahren, nur weil die Dame Serviceschalter einem Kunden den Fahrzeugschlüssel eines anderen Kunden aushändigt?
Komisch ist weniger, dass sich die Dinger auch mal verhören. Vielmehr, dass das beim Verkauf nicht gesagt wird. Beim Verkaufsgespräch wird so getan, als hätte man die Geräte im Griff.. Das ist aber nicht der Fall.
Es hat auch kein Mitarbeiter "einen falschen Schlüssel" herausgegeben, sondern ein Algorithmus!Wir verlassen uns vielleicht mittlerweile zu sehr auf die Technik, vergessen dabei aber, dass die Technik vieles schneller kann als der Mensch, aber nicht unbedingt besser, bzw. nur so gut, wie es ein anderer Mensch programmiert hat.
Ich bin nicht gegen IoT. Sie wird kommen. Aber aktuell erscheinen mir die Lösungen mehr gefährliche Spielerei als wirkliche Hilfe.
Die Teile verbessern sich aber auch. Kam bei mir in letzter Zeit nicht mehr vor, dass sich mein Pixel oder der echo verhört hat.
Also nach meinem Kenntnisstand, was alle Artikel über den Fall geschrieben haben, war es nachweislich ein menschlicher Fehler, kein Algorithmus.
Oh ja, da gibt es Typen, da sollte man besser in Deckung gehen.
Macht ihr mal euer Smarthome.
Ich kauf lieber nen Profilzylinder mit Antipicking.
Ein Dieb kann die Glühbirne (nicht Lampe) nur rausschrauben wenn er in die Wohnung einbricht. Aber es ist eher unwahrscheinlich dass ein Dieb auf Verdacht in eine Wohnung einbricht um dort nur die Glühbirnen/Leuchtelemente rauszuschrauben. Der Dieb wird dann schon das ganze System und alle Wertgegenstände mitnehmen, nicht nur die Glühbirnen.
@Rene H.: Es gibt keine Glühbirnen. Die korrekte Bezeichnung lautet Glühlampe. Wenn man schon klugscheißt, dann bitte richtig 😉