Wiener Firma deckt „Smart Home“-Lücken auf
Praktisch alles, was sich in einem Haushalt normalerweise findet, kann für das „Smart Home“ („intelligentes Zuhause“) vernetzt werden. Gefährlich wird es, wenn Hacker etwa bei der Neuinstallation einer Glühbirne ins System eindringen und dann auf das Türschloss zugreifen können. Dass das möglich ist, hat die Wiener IT-Sicherheitsfirma Cognosec bewiesen.
colourbox
Waschmaschine, Heizung, TV, Telefon, Alarmanlage, Klimaanlage und vieles mehr können miteinander vernetzt werden
Übertragungsstandard als Schwachstelle
Die Schwachstelle ist der weit verbreitete Übertragungsstandard ZigBee, den zahlreiche IT-Konzerne wie etwa Samsung, Motorola, Philips und Texas Instruments verwenden. Über diesen Standard sei es gelungen, die Kontrolle über komplette, fremde Netzwerke zu übernehmen, teilten Tobias Zillner und Sebastian Strobl von Cognosec mit.
Cognosec präsentierte den Exploit, also die Schwachstelle innerhalb einer Software, erstmals im August auf der Hackerkonferenz Black Hat in Las Vegas. Immer wenn ein neues Gerät erstmalig mit dem ZigBee-Netzwerk verbunden wird, könne das Passwort, der Netzwerkschlüssel, von Hackern abgefangen werden, warnte Zillner. Die Sicherheitslücke sei noch nicht behoben und betreffe den Großteil der Geräte.
Bei Neuinstallationen haben Hacker eine Chance
Die ZigBee Alliance, die den Standard vorantreibt, ist sich der Sicherheitslücke bewusst, wie sie nach Bekanntwerden des Cognosec-Hacks erklärte. Bei jeder Installation eines neuen Geräts gebe es einen Schlüsselaustausch, der den Bruchteil einer Sekunde dauere. Die Schwachstelle betreffe nicht nur ZigBee, sondern alle Systeme, die mit offenem Schlüsselaustausch arbeiteten.
Der offene Austausch ist für die ZigBee Alliance der einfachste Weg, „Smart Home“-Geräte miteinander zu verbinden. „Es ist sehr schwer, ein 16-stelliges Passwort in eine Glühbirne ohne Tastatur und Display einzugeben“, heißt es in einer von US-Medien zitierten Stellungnahme der Hersteller. Sei eine Installationsmethode zu mühsam, würden die User die Technologie nicht anwenden.
Weniger Sicherheit für mehr Geschäft?
Für Cognosec liegt das Problem tiefer. Die Hersteller setzten derzeit vor allem darauf, Marktanteile zu gewinnen. Für die einfache Bedienbarkeit machten sie Abstriche bei der Sicherheit. ZigBee-Netzwerke erst später besser vor Hackern zu schützen sei aber ein Fehler, so Zillner.
Haushaltsgeräte hätten oft eine Lebenszeit von zehn bis 20 Jahren, der ZigBee-Standard müsse also auch 2025 und später noch mit jetzt auf dem Markt befindlichen Geräten kompatibel sein. Zillner: „Es gibt zwar immer wieder neue Versionen des Standards, was sich die Hersteller aber alle nicht trauen, ist, die alten Geräte auszuschließen.“
Laut Zillner würde es der Standard ermöglichen, ZigBee-Netzwerke vor Angriffen von außen besser zu schützen. So könnte jedem Gerät ein eigener Schlüssel zugewiesen werden. Dadurch wäre es für Hacker schwieriger, beispielsweise über die Glühbirne auch auf die Klimaanlage oder gar das Türschloss zuzugreifen.
colourbox
Nicht nur eine Sicherheitslücke
Die Schwachstelle beim Schlüsselaustausch ist nicht die einzige Lücke, die Cognosec bei ZigBee gefunden hat. Erst kürzlich habe man ein neues Sicherheitsproblem entdeckt. Derzeit würden die Hersteller und die ZigBee Alliance darüber informiert. Erst nach einer Schonfrist von drei Monaten werde man den Hack öffentlich machen, kündigte Strobl an.
Zukunftsmarkt mit intelligenten Geräten
Die Elektronikbranche setzt große Hoffnungen auf Haushaltstechnik, die sich via Internet aus der Ferne steuern lässt. Ziel ist es, etwa Kühlschrank, Waschmaschine, Herd und Heizung elektronisch zu verbinden und vom Smartphone aus unterwegs bedienen zu können.
Dieses „Internet der Dinge“ gilt als der nächste große Trend. Nach Daten des Marktforschers Strategy Analytics wurden bereits 2013 weltweit rund 23 Mrd. Euro mit vernetzten Geräten und dazugehörigen Dienstleistungen umgesetzt. Bis 2017 soll sich dieser Markt auf mehr als 50 Mrd. Euro verdoppeln. Zillner verwies auf Prognosen, wonach 2022 jeder Haushalt 500 intelligente Geräte haben wird. Dadurch werde das Thema auch für Kriminelle interessant.