Durch Berichte in den Medien wie zuletzt im ARD Magazin PlusMinus gerät die Sicherheit von SmartHomes immer wieder in den Fokus – und wird danach leider oft genauso schnell wieder vergessen. War das SmartHome im privaten Bereich vor 10 Jahren noch überwiegend ein Hobby von Bastlern, Computerbegeisterten oder kurz Nerds, so sind wir mittlerweile im Massenmarkt angekommen. Wer sich für das Plus an Komfort, Energieoptimierung oder Lifestyle entscheidet, das ein SmartHome bringt, kennt sich nicht zwangsläufig mit der dahinterliegenden Technik aus. Das ist auch völlig legitim. Im Folgenden versuche ich einen verständlichen Einblick in die Bedrohungen zu geben, die sich aus der Nutzung von SmartHome Technologie ergeben – und einige Vorschläge, wie man sich dagegen schützen kann.
Grundsätzlich sind zwei Angriffswege zu berücksichtigen:
Angriffe von innen und Angriffe von außenBei allen Angriffen ist zu bedenken, dass es sich um vernetzte Systeme handelt, die dafür geschaffen wurden, miteinander zu kommunizieren. Für einen erfolgreichen Schutz sind also die gutartigen von den bösartigen Kommunikationsbeziehungen zu unterscheiden. Oder, wie es schon bei Aschenputtel hieß: Die guten ins Töpfchen, die schlechten ins Kröpfchen. In der Praxis stellt sich aber nun die Frage, was genau soll ins Töpfchen? Also was sind die erlaubten Kommunikationen? Hier hilft der gesunde Menschenverstand. Aus einem externen Netzwerk, meist dem Internet, sollten nur die Zugriffe erlaubt sein, die von einer vertrauenswürdigen Quelle stammen. Alles andere gehört ins Kröpfchen, also den digitalen Mülleimer einer Firewall oder eines Routers. Ähnlich sieht es im internen Netzwerk aus. Hier sollten zunächst nur die Geräte Zugriff auf das Netzwerk haben, die auch wirklich zum lokalen Netz gehören, und kein außenstehender Dritter. Zudem sollten die erlaubten Geräte gegen aktuelle Bedrohungen wie Viren, Ransomware etc. geschützt sein.
Schutz von Angriffen von außen
Eine SmartHome Zentrale ist in ihrer Grundkonfiguration zunächst einmal sicher gegen externe Angriffe. Sicher, solange sie nur im lokalen Netzwerk betrieben und nicht für einen externen Zugriff verfügbar gemacht wird. Der Reiz eines SmartHomes ist es jedoch, auch extern darauf zugreifen zu können. Hierzu gibt es grundsätzlich folgende Lösungsmöglichkeiten:
Eigener VPN Server auf dem Internet Router
Konfiguration eines eigenen „
VPN Servers“ auf dem Internet Router, über welchem die SmartHome Zentrale mit dem Internet verbunden wird. Beim VPN handelt es sich um ein „
Virtuelles
Privates
Netzwerk“, das auf der Gegenseite der Kommunikation ein Gegenstück, einen VPN Client voraussetzt. Die Kommunikation wird dabei über ein festgelegtes Kennwort, einen „PreShared Key“ oder über digitale Zertifikate authentisiert. Nur wer das passende Zertifikat hat, bzw. das geheime Kennwort kennt, kann sich von einem Client mit dem VPN Server verbinden. Zusätzlich wird die Kommunikation verschlüsselt, und so durch Mitlesen auf dem Übertragungsweg geschützt. Der Nachteil an diesem Lösungsansatz ist, dass man einen IPv4 Internet Anschluss mit DynDNS Namen oder noch besser fester IP benötigt, sowie nur von Geräten zugreifen kann, auf denen man einen eigenen VPN Client installieren kann. Das Szenario „ich schalte die Heizung zuhause vom Büro PC aus wärmer“ entfällt somit – ist in Zeiten von Smartphones jedoch auch kein KO Kriterium mehr. Für die Einrichtung gibt es online diverse Anleitungen.
Bedenke aber dass Du zumindest grob verstehst, was Du tust - am Ende bist Du für die Sicherheit selbst verantwortlich!
Nutzung eines Security Service Providers (z.B. cloudmatic.de)
Eine gute Alterative stellt der Einsatz eines Security Service Providers dar. Ähnlich einem Internet Service Provider, der für Dich den Internet Zugang bereitstellt, kümmert sich der Security Service Provider um die Sicherheit Ihrer Systeme. Dies kann nur für den Fernzugriff genutzt werden, Du kannst jedoch auch dein komplettes Netzwerk als Dienstleistung absichern lassen. Der wohl bekannteste Anbieter im HomeMatic Umfeld ist die Firma
EASY SmartHome GmbH, mit ihrem Produkten
CloudMatic connect und
CloudMatic complete. Bei der dort angebotenen Lösung, wird ein VPN Tunnel zwischen Ihrer SmartHome Zentrale als VPN Client und einem VPN Server beim Provider aufgebaut. Die Authentisierung untereinander erfolgt hierbei dem Stand der Technik entsprechend mit digitalen Zertifikaten. Die Kommunikation zwischen SmartHome Zentrale und VPN Server beim Service Provider erfolgt verschlüsselt und ist so gegen Mitlesen durch Dritte geschützt. Um nun auf die eigene SmartHome Zentrale zugreifen zu können, versieht CloudMatic jede Zentrale mit einer eindeutigen ID und macht sie so für externe Zugriffe verfügbar. Dein SmartHome wird z.B. unter der URL "https://1024.meine-homematic.de" erreichbar. Anfragen werden allerdings erst nach Eingabe eines vom Benutzer festgelegten Benutzernamens und Kennworts an die passende Zentrale weitergeleitet. Durch diese vorgeschaltete Authentisierung kann nur der auf die Zentrale zugreifen, der Benutzername und Kennwort kennt. Für die zweite Jahreshälfte ist eine Erweiterung dieser Sicherheit um eine „zwei Faktor Authentisierung“ angekündigt, sprich eine Kombination aus einem Kennwort und einem generierten Sicherheitscode, z.B. unter Nutzung des Google Authenticators. Für Firmenkunden gibt es zudem die Möglichkeit, sich mit einem VPN Client auf „seine“ Anlagen zu verbinden.
Portforwarding – und warum man es vermeiden sollte
Eine dritte Möglichkeit stellt die Nutzung des sogenannten
PortForwardings dar. Ports kann man vergleichen mit Hausnummern in einer Straße. Für einen externen Zugriff muss man übertragen zunächst wissen, in welcher Straße Du dich befindest. Sprich welche IP Adresse oder welchen
DynDNS / DNS Namen Du hast. Der Port leitet dann zum auf dem System verwendeten Dienst weiter. Deinen Router kannst Du dir nun wie eine riesige Shopping – Mall vorstellen, die sich über diverse Hausnummern erstreckt, und hinter der sich dann einzelne Geschäfte (=Dienste) verbergen. Diese laufen dann nicht auf dem Router selber, sondern auf einem dahinterliegenden Gerät, wie z.B. der SmartHome Zentrale. Das Problem hierbei ist, dass die meisten Router keinen digitalen Türsteher beschäftigen, sprich keine Authentisierung vornehmen sondern jede Anfrage hineinlassen. Dies führt in der Praxis dazu, dass viele Nutzer die Bedienoberfläche ihrer Zentrale (TCP Ports 80 und 443) sowie die für die Bedienung per APP notwendigen Ports (TCP Ports 2000-2002 und 8181) freigeben. Dadurch steht die Haussteuerung nun logisch nicht mehr im lokalen Netzwerk, sondern ist für jeden direkt aus dem Internet erreichbar. Das ist fast so, als ob man das Bedienfeld für eine Alarmanlage nicht im Haus sondern neben der Haustür anbringen würde, und dann noch einen Zettel mit dem Geheimcode daneben hängt. Warum der Zettel? Weil über die Remote Scripting API (Port 8181) Befehle auf Systemebene der CCU als dortiger Administrator (root) ausgeführt werden können, und es zudem eine Schwachstelle in der Benutzerauthentisierung der Weboberfläche der HomeMatic CCU gibt.
Wer seine SmartHome Zentrale wie oben beschrieben direkt in das Internet stellt, handelt grob fahrlässig.
Eigene Firewall oder Reverse Proxy Server
Für wen die Nutzung von VPN aufgrund der Notwendigkeit eines VPN Clients nicht infrage kommt, und wer die Dienste eines professionellen Security Providers nicht in Anspruch nehmen möchte der kann sich, entsprechendes Fachwissen vorausgesetzt, selber eine sichere Lösung einrichten. Hier bietet sich z.B. der Betrieb einer kleinen Firewall wie z.B. pfsense oder Sophos an, welche zwischen Internet Router und SmartHome Zentrale geschaltet wird. Alternativ kann eine „Reverse Proxy Lösung“ auf Basis von Apache oder NGINX genutzt werden, z.B. betrieben auf einem RaspberryPi.
Ein Beispiel hierfür findet sich unter:
http://www.lxccu.com/manuals:apache-reverse-proxy-manual
Schutz vor Angriffen von innen
Die Angriffe von innen sind die meiner Einschätzung nach langfristig größere Bedrohung. Ist man als Nutzer für Angriffe aus dem Internet sensibilisiert, so fühlt man sich in den eigenen vier Wänden doch meistens sicher. So sind auch die Heimnetze oft aufgebaut. Alle Geräte hängen in einem Netzwerk, ein Verbindungsaufbau von innen nach außen wird ungehindert zugelassen. Das kann man so machen – ist dann aber … verbesserungswürdig. Da ein umfassendes Sicherheitskonzept nur schwer in einen Blog Artikel zu pressen ist, möchte ich im Folgenden einige Anregungen zur Gestaltung des heimischen Netzwerks geben. Darüber hinaus ist eine kostenpflichtige Dienstleistung bei den verlinkten SmartHome Systemhäusern oder Spezialisten wie der EASY SmartHome GmbH anzuraten, wenn entsprechende Werte zu sichern sind oder technische Unsicherheit besteht.
Schutz des LAN und WLAN Netzwerkes
Viele IT Systeme kommunizieren heute per WLAN. Hier ist die ausschließliche Nutzung von WPA2 zu empfehlen, achte also darauf ein komplexes Kennwort zu verwenden. Die auf Routern oft voreingestellten Zahlen-Kombinationen sind funktionell, jedoch aufgrund der geringen Anzahl von unterschiedlichen Zeichen nicht zu empfehlen.
Dritten sollte kein Zugriff auf das WLAN Netzwerk gewährt werden. Das gilt auch für die Freunde der Kinder, die zu Besuch kommen. Aktuelle Router können ein Gast WLAN anbieten – nutze dies!
Ein WLAN Router ist für den Preis eines HomeMatic Aktors zu bekommen. Investiere in ein aktuelles Modell und richte ein eigenes WLAN Netz nur für Deine IoT Geräte ein.
Folge den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, sie sind verständlich geschrieben und praxisnah:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html
Schutz der verwendeten IT Systeme
Ein mögliches Angriffsszenario, das immer konkreter wird, ist Schadsoftware, die im lokalen Netz gezielt nach IoT Systemen sucht und diese infiziert. Die Motivationen können die Erpressung von Geld beim Besitzer (Ransomware) sein, oder aber auch die Nutzung der Rechenleistung und Internetbandbreite der Systeme als „Zombies“ in einem Bot Netz. Es geht wieder um Geld, diesmal aber um die Erpressung bei jemand anderem. Beide Szenarien sind wenig erstrebenswert. Schutz erfolgt durch den sicheren Betrieb der eigenen IT Systeme. Nicht auf Internetseiten mit fragwürdigen Inhalten surfen, nicht blind irgendwelche Software aus dem Internet laden, keine unbekannte Dateianhänge aus E-Mails öffnen, den Rechner und das Smartphone mit aktueller Virenschutzsoftware versehen.
Konfiguration von IoT Geräten
Unter IoT Geräte fallen Webcams genauso wie Rasenmähroboter oder die SmartHome Zentrale. Für alle Systeme ist kritisch zu hinterfragen, mit wem sie kommunizieren und wie darauf zugegriffen werden muss. In den Einstellungen der aktuellen Internet Router kann eine Filterung der Verbindungen in das Internet eingestellt werden. Dies sollte so restriktiv wie möglich eingestellt werden. Webcams versuchen oft, Ports per UPNP in der Firewall freizuschalten. UPNP ist ein Mechanismus, der es im lokalen Netzwerk befindlichen Geräten erlaubt, selbständig Weiterleitungen auf dem Internetrouter einzurichten und sich als Gerät so aus dem Internet erreichbar zu machen. Dies mag für einen einfachen Fernzugriff toll sein, sicherheitstechnisch ist es ein Albtraum. Diese Funktion sollte möglichst abgeschaltet werden. Ein Zugriff auf Webcams erfolgt besser per VPN oder per Fernzugriff über einen sicheren Tunnel wie CloudMatic connect.
Neben der Netzwerkkonfiguration ist die sichere Einrichtung Deines IoT Gerätes wichtig. Verwende Benutzeranmeldungen, wo sie einschaltbar sind. Lege Benutzer mit komplexen Kennworten an. Greife gesichert auf Deine Systeme zu, per HTTPS statt per http und per SSH statt per Telnet – sofern die Systeme es zulassen.
Wie sollte ich jetzt vorgehen?
Du musst jetzt nicht den Stecker ziehen, wenn Du mit Schrecken festgestellt haben solltest, dass Du nicht schon alle Sicherheitsmaßnahmen umgesetzt hast. Gehen Schritt für Schritt vor
- Deaktiviere umgehend evtl. Portfreigaben und nutze einen sicheren Fernzugriff
- Sichere Dein WLAN Netz, WPA2 und komplexes Kennwort
- Verwende Logins und komplexe Kennwörter, greife mit sicheren Protokollen zu
- Ziehe ggf. einen Experten hinzu, wenn Du ein komplexeres Netzwerk oder erhöhten Schutzbedarf hast
Es gibt sicherlich noch weitere Aspekte, die zur Sicherheit des SmartHomes beitragen können. Hier ist jeder herzlich eingeladen, in den Kommentaren Anregungen zu hinterlassen.
Gastbeitrag von Boris Bertelsons, Geschäftsführender Gesellschafter der EASY SmartHome GmbH
Certified Ethical Hacker, Certified Information Systems Security Professional (CISSP), 3 x Cisco Certified Internetwork Expert (Routing & Switching, Security, Datacenter)
Dateien einfach über das Netzwerk teilen ohne lästige Up- und Downloads oder eine komplizierte Rechteverwaltung: Das soll das Open-Source-Projekt Upspin mit einem globalen Namensraum lösen. Die beteiligten Google-Entwickler arbeiteten an Go oder Plan 9, wie etwa Rob Pike. (
UPS hat einen Lieferwagen mit einem beweglichen Dach ausgerüstet, unter dem sich der Hangar für eine Drohne befindet. Diese liefert Pakete aus und kehrt dann zum Truck zurück. Künftig könnte das System UPS viel Geld sparen. (
Telefónica Deutschland verspricht in diesem Jahr eine bessere Performance im Mobilfunknetz. Doch die Investitionen in den Ausbau gehen leicht zurück, die Netzkonsolidierung soll die Verbesserungen bringen. (
Telefónica Deutschland hat vorläufige Quartalszahlen vorgelegt. Der Verkauf von Handys und Tablets ging zurück. Das Unternehmen verzeichnet jedoch im vergangenen Jahr den höchsten Vertragskundenzuwachs.
Die deutsche Polizei wird digital: Mit Continuum, Windows 10, Windows 10 Mobile und Cloud-Anbindung soll der Streifenwagen zum mobilen Büro werden. (
Vodafone Deutschland hat mit EEG messen lassen, ab wann den Nutzer eine Verzögerung im Netzwerk stört. Die Toleranz der Nutzer ist hier sehr gering, selbst wenn es nur um ein Selfie geht. (