Smart Home:

Schutz vor Cyber-Attacken ist größte Herausforderung

21/03/2017
header image

Der jüngste Skandal heißt Cayla. Cayla ist eine blonde, blauäugige Puppe, die sprechen kann. Aber Cayla hört auch zu, und das ist das Problem. Die Bundesnetzagentur hat das Spielzeug jetzt als „unerlaubte funkfähige Sendeanlage“ eingestuft. Cayla ist ein Smart Toy, also ein Spielzeug, das sich mit dem Internet verbinden kann. Die Puppe verfügt über ein Mikrofon und einen Lautsprecher und kommuniziert über Bluetooth mit einer Smartphone-App. Wenn solche Funkverbindungen vom Hersteller nicht ausreichend geschützt werden, kann jeder, der in der Nähe ist, sich über die App mit dem ungeschützten Gerät verbinden und so Gespräche unbemerkt mithören, warnen Verbraucherschützer.

Wenn immer mehr Geräte ins Netz wandern – vom scheinbar harmlosen Spielzeug bis zum Rauchmelder und vom Thermostat bis zur Bratpfanne – dann erreicht das Thema Datensicherheit eine neue Dimension. Natürlich steckt das größte Gefährdungspotenzial für die Allgemeinheit nach wie vor im Manipulieren von Industrieanlagen und kritischen Infrastrukturen. Dass diese Anlagen einen besonderen Schutz brauchen, darin sind sich wohl alle einig. Aber die wenigsten Haushalte, die nun mit ihren Geräten ans Netz gehen, haben einen IT-Sicherheitsexperten zu Hause. Doch wenn die Wohnung oder das Haus zum Smart Home werden, müssen sich auch Mieter und Hausbesitzer weiterbilden.

8,4 Milliarden vernetzte Geräte

Auf knapp 8,4 Milliarden wird die Zahl der vernetzten Geräte weltweit in diesem Jahr steigen. Das jedenfalls ist die Prognose des US-Marktforschungsinstituts Gartner in seiner aktuellen Studie. Die Zahl bedeutet immerhin ein Plus von 31 Prozent gegenüber dem Vorjahr. Verbunden mit diesen 8,4 Milliarden Geräten seien Ausgaben in Höhe von zwei Billionen Dollar für Produkte und Dienstleistungen im laufenden Jahr, sagen die Analysten. Für das Jahr 2020 prognostiziert Gartner sogar 20,4 Milliarden vernetzte Geräte weltweit. Und dabei zählen die Analysten nur solche, die eine eigene IP-Adresse haben. Der größte Teil dieser vernetzten Geräte wird derzeit von Konsumenten genutzt. Mit 5,2 Milliarden Einheiten im Jahr 2017 mache dieser Bereich 63 Prozent der eingesetzten Geräte aus. In Unternehmen werden dagegen laut Gartner in diesem Jahr nur 3,1 Milliarden vernetzte Geräte im Einsatz sein.

Cyber-Attacken gehören in vielen Unternehmen zum Alltag. Nicht nur große Unternehmen wie die Deutsche Telekom oder Thyssen-Krupp sind bereits Opfer von Hackerangriffen geworden. 56 Prozent der befragten deutschen Unternehmen haben im vergangenen Jahr mindestens einen Angriff auf ihre Netzwerke und Daten festgestellt. Das zeigt der „Cyber Readiness Report 2017“, den das Marktforschungsunternehmen Forrester im Auftrag des Spezialversicherers Hiscox erstellt hat. Befragt wurden Führungskräfte, Abteilungsleiter, IT-Manager und andere Verantwortliche für Cyber-Sicherheit von Unternehmen in Deutschland, Großbritannien und den USA. Lediglich in den USA waren mit 63 Prozent noch mehr Firmen 2016 von Cyber-Angriffen betroffen.

Gründe gegen Smart Home (Quelle: Bitkom)

Viele Firmen sind nicht ausreichend gerüstet

Zur Implementierung eines umfassenden Cyber-Risk-Managements muss die Mehrheit der deutschen Unternehmen aber noch einen weiten Weg gehen. Auch das zeigt der Report. „Die Anzahl der schlecht gegen Cyber-Attacken gerüsteten Unternehmen in Deutschland ist erschreckend hoch“, sagt Robert Dietrich, Hauptbevollmächtigter von Hiscox Deutschland. „Bei gut vorbereiteten Unternehmen ist IT-Security ein Top-Management-Thema und es existiert eine klare Strategie.“ Doch das ist nur bei wenigen Unternehmen der Fall: Mit 62 Prozent weist Deutschland im Ländervergleich den höchsten Anteil an Unternehmen auf, die unzureichend auf Cyber-Attacken vorbereitet sind. Der Anteil der „Cyber-Experten“ liegt in Deutschland bei lediglich 20 Prozent, wohingegen 44 Prozent der befragten US-Unternehmen gut gegen Cyber-Attacken gerüstet sind (Großbritannien 26 Prozent). 18 Prozent der deutschen Befragten zählen zu den „Cyber-Fortgeschrittenen“, die zumindest teilweise mit den Folgen einer Cyber-Attacke klarkommen können.

Schaut man jedoch auf den privaten Sektor, sieht das natürlich anders aus. „Dass sie ihren Computer oder das Smartphone vor Angriffen aus dem Netz schützen müssen, ist für die Menschen mittlerweile eine Selbstverständlichkeit“, sagt Marco Di Filippo. „Ganz anders sieht es im Bereich Smart Home aus. Hier fehlt vielen Anwendern einfach das Verständnis, dass vernetzte Heizungssteuerungen, Rauchmelder oder Alarmanlagen ebenso angreifbar sind und das Ziel von Attacken werden können.“

Di Fillipo ist IT-Sicherheitsexperte und darauf spezialisiert, Schwachstellen in IoT-Anwendungen zu finden. Bereits vor acht Jahren hat der White Hat Hacker, der Sicherheitsaudits für die Industrie durchführt, sich in einem White Paper intensiv mit den Gefahrenquellen, die im Internet der Dinge (IoT) lauern, befasst. Fehlkonfigurationen, falsche oder fehlende Sicherheitseinstellungen, Hintertüren, unausgereifte oder übereilt installierte Systeme: All dies macht viele IoT-Anwendungen zu leichten Zielen für Script Kiddies, Hacker, Erpresser, Wirtschafts- und Industriespione – in der Industrie, aber auch zunehmend im privaten Umfeld.

In einer ARD-Fernsehsendung konnte Di Filippo kürzlich zeigen, wie leicht sich über spezielle Suchmaschinen tausende Smart Homes im Internet finden – und dann im Handumdrehen auch von außen manipulieren lassen. Oft reicht Hackern ein allgemein bekanntes Standard-Passwort, um das ganze Smart-Home zu übernehmen. Die Angreifer können in diesem Fall nicht nur Türen und Fenster öffnen oder schließen und somit den Besitzer aus seinem Haus aussperren, die Heizung hoch oder runterfahren und die Alarmanlage deaktivieren. Hacker können die gekaperten Geräte auch zu einem Botnetz zusammenschließen und so eine Cyber-Armee aus Smart-Home-Geräten rekrutieren, um größere Ziele anzugreifen.

Die Waschmaschine im Botnetz

Zuletzt nutzte die Schadsoftware Mirai die Tatsache aus, dass immer mehr Alltagsgegenstände wie Router, Überwachungskameras, Thermostate oder Fernseher mit dem Internet verbunden sind. Die Software scannt das Netz nach Sicherheitslücken bei Geräten mit werkseitig aufgespielter Betriebssoftware sowie Standardpasswörtern und versucht dann, Schadcode auf diese aufzuspielen.

Dass es in Deutschland höhere Anforderungen an den Datenschutz gibt als anderswo, schützt die Kunden nicht vor Angriffen auf schlecht geschützte Systeme. „Ein eigentlich dem Stand der Technik entsprechendes System kann auch dadurch unsicher werden, dass es falsch konfiguriert wird“, erklärt Di Filippo. Jeder Schreiner sei heute in der Lage, eine Haustür mit einem App-gesteuerten Türschloss zu installieren. „Den meisten fehlt aber die nötige IT-Kompetenz, um auch die entsprechenden Sicherheitsvorkehrungen zu treffen.“ Immer wieder führt er Experimente durch, um die Anfälligkeit von Systemen zu testen.

So zum Beispiel auch 2015 mit dem Projekt Honeytrain. Dabei wurde die komplette Infrastruktur eines fiktiven Verkehrsbetriebs für sechs Wochen ins Netz gestellt. Die Sicherheitsexperten wollten so Kenntnisse über Qualität, Quantität und Aggressivität der Angriffsanatomie gewinnen. Insgesamt wurde in der Zeit 2.745.267 Mal versucht auf das System zuzugreifen. 41 Prozent aller Angriffe kamen aus China, neun Prozent aus den USA (gemäß der letzten auflösbaren IP-Adresse). Aus Deutschland kam dagegen nur ein Prozent der Angriffe. Von denen, die erfolgreich waren – darunter acht besonders schwerwiegende – kamen jedoch vier aus Deutschland.

Potenzial für Smart-Home-Produkte (Quelle: Bitkom)

Haunted House auf der Cebit

Derzeit startet Di Filippo mit seinem Arbeitgeber Koramis in Zusammenarbeit mit der Firma Sophos ein neues Experiment. Diesmal ist der Honeypot, also das Lockmittel für die Hacker, ein Smart Home. Das Haunted House genannte Projekt wird unter anderem auf der Cebit vorgestellt. Dort wird ein vier Mal zweieinhalb Meter großes Modellhaus zu sehen sein, in dem diverse Smart-Home-Applikationen verbaut sind. Die Messebesucher können live mitansehen, wenn es Hackern gelingt, die Tür zu öffnen oder zu schließen. Anhand des Modellaufbaus soll eine weitere interaktive Studie über die aktuelle Gefahrenlage für IoT in Unternehmen und Privathaushalten entstehen.

„Vielen Leuten ist nicht bewusst, dass beispielsweise selbst eine Waschmaschine Bestandteil eines Botnetzes werden kann, wenn sie nicht vernünftig geschützt ist“, sagt Di Filippo. Wer sich eine Überwachungskamera bei einem Discounter kaufe, dürfe sich nicht wundern, wenn diese kompromittiert werde. „Ein Autokäufer kennt ja auch den Unterschied zwischen einem Fiat und einem Mercedes“, vergleicht der IT-Experte. „Bei Smart-Home-Anwendungen muss sich dieses Bewusstsein erst noch entwickeln.“ Dabei mangele es weder an der Technologie noch am Know-how, um Smart Homes sicher zu betreiben – beides müsse eben auch konsequent angewendet werden.

Zu den bekanntesten Startups im Smart-Home-Bereich zählt Tado aus München. Tado bietet intelligentes Energiemanagement für zu Hause an, durch die smarte Steuerung von Heizung und Klimaanlage. Im September 2011 gegründet, verkauften die Münchner ihr erstes Produkt im Oktober 2012. „Im vierten Quartal 2016 haben wir einen riesen Sprung gemacht“, verrät CEO Christian Deilmann. „Die Endkundennachfrage lag vier Mal höher als in Q4 2015. Einer der Faktoren war, dass Apple im September sein Home Kit gelauncht hat.“ Das habe dem Markt einen kräftigen Schub beschert. Denn auch wenn in der Industrie und auf Messen schon lange über Smart Home gesprochen wird, so richtig scheint es erst jetzt bei den Kunden anzukommen – mit überzeugenden Produkten und großen Playern wie Apple, Google oder Amazon. „Dass die großen amerikanischen Player jetzt einsteigen, hat die Aufmerksamkeit enorm erhöht“, sagt Deilmann. „Der Markt entwickelt sich rasant.“

„DEN MEISTEN FEHLT DIE NÖTIGE
IT-KOMPETENZ, UM DIE ENTSPRECHENDEN SICHERHEITSVORKEHRUNGEN ZU TREFFEN“
– MARCO DI FILIPPO,
IT-Sicherheitsexperte

Und in Deutschland gibt es noch viel Potenzial: „In Holland verfügen bereits 15 Prozent aller Haushalte über intelligente Thermostate zur Steuerung der Heizung. In Deutschland sind es gerade einmal ein Prozent. Aber es geht mit schnellen Schritten voran“, sagt Deilmann. Tado hat seine App in die Smart Home Systeme von Apple und Amazon bereits integriert. „Zwei Jahre haben wir daran gearbeitet, unsere App Apple-Home-Kit-fähig zu machen“, sagt der Tado-CEO. „Wir mussten viele Auflagen erfüllen und Tests durchlaufen bis alles abgestimmt war.“ Datensicherheit sei dabei ein „wahnsinnig wichtiges Thema“ gewesen. Alle Tado-Produkte haben eine eigene IP-Adresse und die Kommunikation zwischen den Geräten und der Cloud ist von Ende zu Ende SSL-verschlüsselt, also mit dem Standard, den auch die Banken nutzen. „Unsere Steuerungsgeräte sind so sicher, dass sie noch nicht gehackt worden sind“, sagt Deilmann. „Wir sammeln nur die Daten, die für den Betrieb nötig sind, alles andere wird gelöscht.“ Zudem könne der Nutzer Einfluss nehmen, welche Daten von Tado erfasst werde. Den strengen deutschen Datenschutz hält Christian Deilmann für einen Vorteil: „Das steigert das Vertrauen der Konsumenten in unsere Produkte“, sagt er. „Und es ist ein Wettbewerbsvorteil gegenüber den amerikanischen Unternehmen.“

https://www.youtube.com/watch?v=tiWM-L3gSM

Und jetzt kommt Nest

Inzwischen hat auch Nest aus den USA angekündigt, seine vernetzten Rauchmelder und Sicherheitskameras in Deutschland anbieten zu wollen. Der lernende Thermostat, der die Firma 2011 in den USA bekannt gemacht hat, soll später folgen. Er muss erst an die in Deutschland gängigen Heizsysteme angepasst werden. Vor rund drei Jahren hatte die Google-Mutter Alphabet Nest für den stolzen Preis von 3,2 Milliarden Dollar erworben. „Ich finde es schön, dass Nest nach Deutschland kommt“, sagt Marius Lissautzki, CEO von Tink, einer Plattform die Smart-Home-Produkte und Beratung dazu anbietet. „Aber Nest wird den Markt nicht verändern“, sagt Lissautzki. Die Kunden, meint er, seien sehr sensibel beim Thema Privatsphäre und bevorzugten daher deutsche Marken.

SI Logo