Smart Home Spam aus dem Kühlschrank

Immer mehr Haushaltsgeräte können vernetzt werden. Das intelligente Haus wird damit auch zum Angriffsziel für Hacker. Sie können Geräte manipulieren oder herausfinden, wo sich die Bewohner aufhalten.

Von Lars Klaaßen

Horst Evers erzählt auf Bühnen und im Radio hin und wieder von seiner Kaffeemaschine, die eine eigene Homepage hat und mit der er sich via E-Mail austauscht - zum Beispiel über neue Aromadüsen. Die Lacher sind dem Kabarettisten sicher, vielleicht gerade weil die Realität schon ganz ähnlich aussieht. Ein Smart Home als Komplettpaket ist zwar noch selten, aber viele neue Haushaltsgeräte können Informationen speichern, verarbeiten und kommunizieren. Das heißt auch: Digitale Signale können von Unbefugten mitgelesen, manipuliert und damit für illegale Zwecke missbraucht werden, etwa das Ausspähen der Wohnungsinhaber, Sabotage und Einbruch. So erregte im vergangenen Jahr ein Kühlschrank Aufsehen, der unzählige Spam-Mails verschickt hatte.

Dieser Kühlschrank ist kein Einzelfall. Hacker hatten ihn zu einem Teil eines sogenannten Botnets gemacht. Angreifer infiltrieren dabei mehrere Rechner ("Bots" von engl. "robots") ohne die Kenntnis ihrer Eigentümer, schließen sie zu einem Netz zusammen und missbrauchen dieses für Computerattacken. Das betreffende Botnet hat vor gut einem Jahr etwa 750 000 Spam-Mails verschickt. Außer dem Kühlschrank waren daran mehr als 100 000 Heimnetz-Router, Multimedia-Player und Smart-TVs beteiligt. Diese Haushaltsgeräte machten ein Viertel aller für die Aktion missbrauchten Geräte aus. Für den Rest wurden herkömmliche Computer und Router okkupiert.

"Wie bei jeder Technik gibt es auch beim Smart Home Risiken, aber mit dem nötigen Know-how lassen diese sich minimieren", betont Günther Ohland, Vorsitzender der SmartHome Initiative Deutschland. "Gegen klassische Diebe bieten die Anwendungen sogar einen deutlich erhöhten Schutz." So weist Ohland auf Bewegungsmelder und Kameras hin, die potenzielle Einbrecher abschrecken. Das intelligente Eigenheim könne durch automatisierte Beleuchtung und Rollläden zum Beispiel Anwesenheit simulieren, wenn die Bewohner im Urlaub seien. Theoretisch lassen sich Rollläden und Fenster, die vom Besitzer per Smartphone gesteuert werden, zwar auch von Unbefugten bedienen, wenn diese die Software knacken. "Aber das lässt sich in der Praxis definitiv ausschließen", sagt Ohland. "Das System sollte so konzipiert sein, dass Fenster und Türen prinzipiell lediglich geschlossen, aber nicht geöffnet werden können - so wird Missbrauch unmöglich."

Heute hängen auch Smartphones oder Haushaltsgeräte wie Waschmaschinen am Netz. Sie sind damit für Angriffe ebenso anfällig wie ein PC.

(Foto: Sebastian Kahnert/dpa)

Die SmartHome Initiative Deutschland und das Landeskriminalamt Nordrhein-Westfalen (LKA NRW) haben gemeinsam zwei Broschüren veröffentlicht, die zum einen Nutzer und zum anderen Anbieter über Sicherheit smarter Haustechnik informieren. "Wer sein Eigenheim technisch aufrüstet, sollte sich auch intensiv mit Sicherheitsaspekten befassen", sagt Kriminaldirektor Wolfgang Hermanns vom LKA NRW, der dort unter anderem den Bereich Prävention leitet. "Wie beim PC sollten etwa eine Firewall, ein Virenschutzprogramm und sichere Passwörter verwendet werden, um Zugriffe von außen abzuwehren." Die Software der einzelnen Geräte sollte sich immer auf dem neuesten - weil sichersten - Stand befinden. Sind verschiedene Module miteinander vernetzt, kann eine einzige Sicherheitslücke zum Einfallstor in das gesamte System werden. "Die Basis für Sicherheit im Eigenheim bleibt nach wie vor der mechanische Schutz, um Einbrecher aufzuhalten", sagt Hermanns. Umsichtig eingesetzt, könnten Smart-Home-Anwendungen dann zur Sicherheit beitragen. "Dabei kommt es auf das Know-how der Hersteller, Fachhändler und Handwerker an", betont der Kriminaldirektor, weshalb das LKA NRW auch für diese Zielgruppe Informationen zusammengestellt habe.

Experimente zeigen, dass die Gebäude oft nur schlecht geschützt sind

Bisher gibt es im Bereich Smart Home lediglich Richtlinien, aber noch keine umfassenden Normen für Hersteller. Wer "smarte" Produkte samt Software zertifizieren lassen möchte, kann sich seit 2014 an den Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE) wenden. Der VDE hat dafür eigens eine Abteilung ins Leben gerufen. "Viele Hersteller kennen sich sehr gut bei elektrischer Sicherheit aus, aber weniger bei Informationssicherheit", berichtet VDE-Experte Alexander Matheus. "Doch gerade die Software ist Angriffsziel von Hackern, der Wettlauf zwischen Schutzvorrichtungen und kriminellen Attacken wird technologisch permanent weitergetrieben."

"Unsere Experimente im Labor zeigten, dass Gebäude-IT nicht ausreichend gegenüber Angriffen aus dem Internet geschützt ist", sagt Steffen Wendzel von der Bonner Abteilung Cyber Defense des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Wenn sich Angreifer in die IT von Gebäudefunktionen hacken, erfahren sie im schlimmsten Fall, wo die Insassen sind und was sie machen. "Das reicht dann bis zum Gang auf die Toilette", warnt Wendzel. "Einbrecher könnten die Daten nutzen, um ihre Raubzüge vorzubereiten." Hier agiert der Hacker passiv, zapft Informationen an. Er wäre aber auch in der Lage, aktiv in die Systeme einzugreifen, also zum Beispiel die Heizung zu manipulieren.

Smart Home

5,8 Prozent der Bundesbürger leben bereits in einem vernetzten Haus ("Connected Home"), 43 Prozent sind daran interessiert. Zu hohe Anschaffungskosten (65,6 Prozent), fragwürdige Datensicherheit (33,9 Prozent) und Fehleranfälligkeit (30,5 Prozent) sind die größten Bedenken derer, die prinzipiell an einem Smart Home Interesse zeigen. Das ergab der Report "Smart Home - Connected Home" der Internet Consulting & Research Services Fittkau und Maaß, für die 2014 knapp 90 000 Personen befragt wurden. Das Angebot an Geräten wird immer größer. Derzeit hat etwa Miele 400 vernetzungsfähige Geräte im Programm. Waschmaschinen lassen sich zum Beispiel mit Apps aus der Ferne steuern oder mit dem Tablet bedienen. Neben der intelligenten Vernetzung ist in einem Smart Home auch die Integration der Geräte die in hauseigenen Photovoltaikanlage für ein intelligentes Energiemanagement möglich. Lars Klaaßen

Die Sicherheitstechnik auf dem neuesten Standard zu halten, ist teuer. Wendzels Team entwickelt deshalb gemeinsam mit einem Industriepartner ein Schutzsystem, das sich zwischen Internet und Gebäude-IT schalten lässt. Die Technologie filtert potenzielle Angriffe aus den Kommunikationsprotokollen heraus, noch bevor sie die eigentlichen Geräte des Gebäudes erreichen. Ganz egal, welche Technik innerhalb der Gebäude verwendet wird: Sie muss bei dieser Herangehensweise nicht ausgetauscht werden.

Nicht nur der Forscher rät deshalb davon ab, Gebäudefunktionen in Eigenheimen allzu sorglos mit dem Internet zu verbinden. "Die Hersteller von Smart-Home-Anwendungen konzentrieren sich zunächst auf zwei Fragen: Wie funktioniert das am besten und wie kann es der Kunde einfach bedienen - oftmals werden erst danach Fragen betreffend der Sicherheit gestellt", sagt Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab, einem Softwareunternehmen, das sich auf IT-Sicherheit spezialisiert hat. "Wer ein Smart Home nutzt, sollte deshalb technikaffin sein und ein Gespür für potenzielle Schwachstellen entwickeln."