Smart-Home-Geräte sind eine Gefahr für die Privatsphäre
Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) geht in der Studie “Threat Landscape and Good Practice Guide for Smart Home and Converged Media” (PDF) auf Sicherheitsrisiken und Probleme im sogenannten Smart Home ein. Die Autoren der Studie stellen aber auch erforderliche Gegenmaßnahmen vor.
Die Autoren der Studie haben Cyberkriminelle, die Sicherheitslücken in intelligenten Einrichtungsgegenständen ausnutzen, wenig überraschend als die größte Gefahrenquelle für Smart Homes ausgemacht. Sie erwarten zudem, dass der Missbrauch smarter Geräte aufgrund ihrer kontinuierlich zunehmenden Zahl ebenfalls weiter zunehmen wird.
Als eine der Hauptbedrohungen für Smart-Home-Nutzer sieht die Studie aber das Abgreifen und Weitergeben persönlicher Informationen der Nutzer, da die intelligenten Gegenstände zahlreiche solcher Daten verarbeiteten. Auch zuvor nicht dokumentierte Daten würden hierbei generiert und könnten somit eine Verbindung zwischen den Smart-Home-Bewohnern und ihrer jeweiligen Umgebung herstellen.
Vor allem die große Anzahl an in smarten Möbeln und Gegenständen verbauten Sensoren sei ein Problem. Diese könnten zum Beispiel das Konsumverhalten, An- und Abwesenheit oder auch die Gesundheit und die persönlichen Vorlieben der Smart-Home-Anwender nachverfolgen.
Sogenannte integrierte Medien, zu denen die Studie primär Smart TVs oder etwa auch Googles Chromecast-Stick, Settop-Boxen und Spielkonsolen zählt, erhöhten das Sicherheitsrisiko hinsichtlich der Privatsphäre und des Datenschutzes, da es sich vielfach um undurchsichtige Systeme handele, die etwa Sehgewohnheiten mitloggen und anschließend an den Hersteller übermitteln könnten.
Das ist nicht aus der Luft gegriffen. Erst diese Woche wurde etwa bekannt, dass Samsung auf seiner britischen Website darauf hinweist, dass bei seinen Smart-TVs nicht nur Seh- und Nutzungsgewohnheiten sowie Hardware- und Browser-Daten übermittelt werden, sondern, sofern die Sprachsteuerung aktiviert ist, auch Sprachdaten.
Bereits 2013 hatte LG Ärger damit, dass seine Smart-TVs die Sehgewohnheiten der Besitzer an den Hersteller übermittelten. In Deutschland gehörten dazu unter anderem das gewählte Programm, die TV-Plattform und die Sendequelle. Eine Funktion, um diese Datensammlung abzuschalten, war zwar vorhanden aber wirkungslos. Erst ein Firmware-Update sorgte dafür, dass bei ausgeschalteter Funktion auch tatsächlich keine Daten mehr übertragen wurden.
Laut ENISA kommt den Geräten ihre zumeist zentrale Position innerhalb des Raumes zugute, die es ihnen erlaubt, die Räumlichkeit sowie die darin stattfindenden Aktivitäten zu überwachen und die daraus gewonnenen Daten etwa an die Werbewirtschaft oder an sogenannte Data Miner weiterzugeben. Solche Geräte stellten in der Regel jedoch die ersten Smart-Home-Gegenstände dar, die in vielen Haushalten eingeführt würden. Daher gelten sie der Studie zufolge als Hauptursache für viele der identifizierten Sicherheitsprobleme.
Ein weiteres Problem ist laut ENISA-Studie, dass es in Smart Homes eine Vielzahl an unterschiedlichen Geräten mit entsprechend unterschiedlichen Protokollen und Technologien gibt, die zu herkömmlichen Sicherheitssystemen nicht kompatibel sind – vorwiegend handele es sich hierbei um Drahtlostechnologien wie WLAN, Z-Wave67, Zigbee und Bluetooth.
Darüber hinaus hätten viele Smart-Home-Geräte – sowie übrigens auch ihre Pendants in der Industrie – noch nicht die Rechen- beziehungsweise Energieleistung, um Verschlüsselungsalgorithmen oder eine Endpunktauthentifizierung zu unterstützen. Daher sind sie der Studie zufolge besonders anfällig für beispielsweise Sniffing- oder Man-in-the-Middle-Attacken. Letztere seien sogar bereits bei ZigBee- und Z-Wave-Protokollen nachgewiesen worden.
Gleichermaßen könnten Angreifer die Kontrolle über die Funkkommunikation im Smart Home mittels Wardriving übernehmen, die Reichweite der entsprechenden Geräte und Protokolle ist laut Studie ausreichend dafür. Angreifer könnten durch diese Methode etwa das Licht im Smart Home an- und ausschalten und auf diese Weise nicht nur das Drahtlosnetzwerk lokalisieren, sondern im schlimmsten Fall auch unsichere Gebäudeautomationssysteme. Eine erfolgreiche Wardriving-Demonstration habe es ebenfalls schon mit dem ZigBee-Protokoll gegeben.
Für einen erfolgreichen Umgang in diesem Bereich empfiehlt die Studie einerseits die Konzeption des Smart Homes als vollständiges System und andererseits die präzise Überwachung der Sicherheit bei Cloud-basierenden Smart-Home-Geräten. Zudem sollten intelligente Einrichtungsgegenstände in ein isoliertes Programmiergerüst eingegliedert werden, wie es etwa bei smarten Autos der Fall ist. Darüber hinaus sollte kritische Software von unproblematischen Apps oder Netzwerken getrennt werden.
“Das Smart Home ist ein Punkt intensiven Kontakts zwischen Netzwerkinformationstechnologie und materiellem Raum. Daher kommen hier Sicherheitsrisiken aus dem virtuellen und dem räumlichen Kontext zusammen. Es ist essentiell, Cyber-Bedrohungen zu identifizieren, um die Sicherheit des Smart Homes zu garantieren. Dies ist ein Schlüsselelement für den Erfolg des Smart Homes”, kommentiert ENISA-Geschäftsführer Udo Helmbracht in einer Pressemitteilung.