Uhren, Thermostate, Alarmanlagen und Rauchmelder – all diese per Internet verbundenen Geräte weisen erhebliche Sicherheitslücken auf. Das stellt eine neue Studie von Symantec fest. Problematisch ist beispielsweise ein von Kriminellen manipulierbarer Türöffner. Denn der wird schnell zur Schwachstelle und öffnet Einbrechern Zugänge zum Haus.
Von den 50 von Symantec analysierten Smart-Home-Geräten hatten viele nicht einmal einen Basisschutz. Die größten Schwachstellen:
- Keines der geprüften Geräte nutzt eine gegenseitige Authentifizierung, besteht auf starke Passwörter oder schützt gegen Brute-Force-Attacken.
- Fast 20 Prozent der mobile Apps, die zur Kontrolle der Smart Devices genutzt werden, senden die Daten unverschlüsselt in die Cloud beziehungsweise zum Server des Anbieters.
- Von 15 geprüften Smart-Home-Cloud-Schnittstellen wiesen zehn zum Teil kritische Web-Schwachstellen auf. Durch diese können Angreifer ein Haus per Fernsteuerung aufsperren.
- Durch nicht signierte Firmware-Updates für Smart-Home-Geräte können Angreifer vollständig die Kontrolle über das entsprechende Gerät erlangen.
Weitere Informationen zum Thema finden sich im Symantec-Blog und im Whitepaper „Insecurity in the Internet of Things“.
Auch internetfähige Alarm- und Überwachungsanlagen für Privathaushalte weisen deutliche Schwachstellen auf. Das haben Spezialisten der HP-Security-Sparte Fortify unabhängig von Symantec herausgefunden. Sie entdeckten in allen untersuchten Systemen zur Haussicherheit Sicherheitslücken bei Passwörtern, Verschlüsselung und Authentifizierung. Fazit: Die Experten bezeichnen die getesteten Sicherheitssysteme selbst als Sicherheitsrisiko.
Weder würden sicherere Passwörter verlangt, noch sperrte ein System den Account nach einer bestimmten Anzahl von fehlgeschlagenen Log-in-Versuche. Im Test zeigten sich bei allen Cloud-basierenden Schnittstellen Sicherheitslücken. Bei fünf der getesteten zehn Systeme entdeckten die Forscher bei den mobilen Anwendungen vergleichbare Probleme.
Darüber hinaus sammeln sämtliche Systeme im Test persönliche Daten wie Name, Adresse, Geburtsdatum, Telefonnummer und sogar Kreditkartennummern. Viele Sicherheits-Anlagen zeichnen zudem Videodaten auf, die über mobile Anwendungen oder die Cloud zugänglich sind. Laut HP können Kriminelle auf diese privaten Accounts zugreifen. Die Systeme verfügen zwar über eine SSL- oder TLS-Verschlüsselung, allerdings weisen die Forscher auf Sicherheitslücken beim Transport der Daten über die Cloud hin. HP hat bereits mehrfach auf Sicherheitslücken im Internet der Dinge aufmerksam gemacht.
Auch wenn die derzeitigen Geräte noch Sicherheitslücken haben mögen, ist das kein Grund zur übertriebenen Sorge. Denn zum einen sind noch keine großangelegten Angriffe auf Smart-Home-Komponenten bekannt. Und zum anderen lassen sich die Lücken so gut wie immer durch ein bewährtes Mittel schließen: Software-Updates.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Der ganze Artikel: TechNet Blog Deutschland : sicherheit