Cybersecurity: Sicherheit von Smart Home Devices
Der Markt für Smart Home Devices wächst rasant und das Thema Sicherheit ist für den Heimmarkt nebensächlich und bleibt hier sehr oft auf der Strecke. Zu Zeiten von Homeoffice hat dies aber auch einen erheblichen Einfluss auf die Sicherheit von Unternehmen.
Wo sind die Einfallstore und welche Massnahmen sollten ergriffen werden?
Smart Home – Was ist das?
Die Digitalisierung hält immer stärker Einzug in allen Bereichen unseres täglichen Lebens. Bei Freizeitaktivitäten, in der Arbeitswelt oder in den eigenen vier Wänden.
Smart Home ermöglicht uns durch vernetzte und fernsteuerbare technische Geräte (Smart Home Devices), Abläufe zu automatisieren.
Mit diesen „smarten“ Geräten in unserem Zuhause steigern wir die Lebens- und Wohnqualität, sparen Energie und erhöhen die Sicherhit.
Smart Home Devices und Homeoffice – Wo sind die Berührungspunkte?
Smart Home Devices unterscheiden sich zwischen solchen, die direkt ansprechbar sind und solchen, die über eine zentrale Steuereinheit funktionieren.
Den “direkten” Geräten gemeinsam ist, dass sie normalerweise über das Heimnetzwerk (überwiegend das WLAN) kommunizieren. Hierbei wird teilweise auch direkt eine Verbindung ins Internet hergestellt, um z. B. nach Updates zu suchen und/oder auch Daten in der Cloud zu speichern.
“Indirekte” Geräte (meistens mit dem Funkstandards Bluetooth oder ZigBee), verbinden sich normalerweise direkt mit den Steuereinheiten, die dann wiederum mit dem WLAN verbunden sind.
Im Heimnetzwerk ist neben dem Smartphone der netzwerkfähige Drucker mit 33.4% das am meisten verbreitete Gerät. Der Firmen-Laptop oder ein Firmen-Telefon werden in der Regel ebenfalls mit dem WLAN verbunden. Je nachdem erhält der Mitarbeitende sogar die Möglichkeit, im Homeoffice den privaten Drucker zu nutzen.
Dadurch wird sehr schnell deutlich, wie schnell die Firmengeräte und -daten bei einem kompromittierten Heimnetzwerk einem Sicherheitsrisiko ausgesetzt sind.
Sicherheitsrisiko Smart Home – Was kann schon passieren?
Gemäss dem Avast Smart Home Security Report 2019 wiesen 2019 40.8% der weltweit untersuchten Haushalte mindestens ein Gerät mit bekannter Schwachstelle auf. Davon hatten gut 2/3 schwache Anmeldeinformationen und ca. 1/3 bekannte Schwachstellen in der Software.
Die meisten Geräteschwachstellen in der Schweiz weisen dabei Netzwerkspeicher NAS (30%), Drucker (26%) und Netzwerkkomponenten (25%) auf. Geräte also, die in der breiten Bevölkerung nachgefragt und unter grossem Preisdruck stehen. Ein paar Dollars mehr für Security liegt dabei oft nicht drin, da dies auf den ersten Blick ja auch keinen direkten Mehrwert für die meisten Käufer hat.
Hacker nutzen diese Schwachstellen dazu, um die Smart Home Devices zu übernehmen und für ihre Interessen zu missbrauchen.
- Ausspähen – Einsehen von gedruckten oder gescannten Dokumenten, Videobildern oder Tonaufnahmen von gekaperten Geräten
- Fernbedienen – Öffnen von Toren und Fenstern
- Distributed Denial of Service DDoS – Die Geräte werden mit einfachen Schadprogrammen versehen, die diese zu riesigen Botnetzen zusammenführen und so selbst performante Ziele in die Knie zwingen können
Schritte zu einem sicheren Smart Home – Konkrete Empfehlungen
Sie ahnen es bereits – Patchen, Passwörter und minimaler Netzzugriff:
Einsatzkriterien
Der erste Schritt zum sicheren Smart Home beginnt bereits beim Kauf. Es gilt sicherzustellen, dass die Geräte über eine Updatefunktion verfügen, sie eigene Benutzer anlegen können und keine festcodierten Zugangsdaten im Gerät hinterlegt wurden.
Authentisierung
Verwenden Sie die Authentisierung der Geräte und stellen Sie sicher, dass nur sichere Passwörter verwendet werden.
Regelmässige Updates
Stellen Sie sicher, dass die Geräte regelmässig mit Updates aus vertrauenswürdigen Quellen versorgt werden. Tauchen Schwachstellen auf (diese lassen sich mit diversen kostenlosen Scannern aufspüren), muss zeitnah gepatcht werden.
Sichere Router
Häufigstes Problem ist, dass die Geräte selbstständig unter Verwendung des UPnP Protokolls eine Internetverbindung aufbauen, über die sie auch von aussen erreichbar sind. Dies wird über das automatische Einrichten einer Portweiterleitung erreicht und öffnet den Hackern Tür und Tor. Die Geräte können gefunden und bei bekannten Schwachstelle oder schwachen Anmeldeinformationen gehackt werden.
Die UPnP-Funktion ist auf sämtlichen Routern zu deaktivieren.
Für Interessierte – Der Sicherheitsbaustein «Allgemeines IoT-Gerät» des IT-Grundschutz Kompendium vom BSI mit den detaillierten Handlungsempfehlungen.
Fazit
Smart Home Devices stellen für Privatpersonen wie auch für Unternehmen zunehmend ein ernstzunehmendes Risiko dar. Oft werden aber Smart Home Devices als nicht schützenswert empfunden, da sie ja «nur» für den Heimgebrauch gedacht sind. Unternehmen sollten ihre Mitarbeitenden entsprechend sensibilisieren und im Umgang mit Homeoffice entsprechende Richtlinien erlassen.
Literaturquellen:
- Avast Smart Home Security Report 2019
- BSI IT-Grundschutz Kompendium: Stand Februar 2020
- Smart Home – Wikipedia
- Was ist ein Smart Home? Geräte, Systeme und Smart Home Produkte (homeandsmart.de)
Bildquellen:
- (smarthomewelt.de)
- (bitdefender.com)
- (avast.com)
- (gfk.com)
Links:
- https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/itgrundschutzKompendium_node.html
- https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs/07_SYS_IT_Systeme/SYS_4_4_Allgemeines_IoT_Geraet_Edition_2020.pdf?__blob=publicationFile&v=1
- https://press.avast.com/press-kits/avast-smart-home-report-2019
Autoren:
Christian Rentsch
Alexander Disch
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)