Sicherheit mit Smartphone und Smart Home: Haben es Eindringlinge so einfach?

Fabian Portrait
Fabian 16. Februar 2017, 19:18 Uhr

Nicht nur Smartphones verbreiten sich rasant schnell, sondern auch der Einsatz von Smart Home Lösungen. Aber wie sicher ist diese ganze Geschichte eigentlich?

ARD Mediathek Beitrag

Am Mittwochabend habe ich einen Bericht im ARD-Magazin Plusminus gesehen, den ihr euch ganz einfach in der ARD Mediathek ansehen könnt. Es dreht sich um die angeblich oft mangelnde Sicherheit in Smart Home Systemen, wobei vor allem ein smartes Türschloss im Fokus steht. Augenscheinlich handelt es sich um ein Modell von Homematic, das im Internet für einen Preis von knapp 150 Euro erhältlich ist, beispielsweise auf Amazon. Wir wollten wissen: Ist das System tatsächlich so anfällig und so einfach zu knacken, wie es im Bericht gezeigt wird?

Dass dieses Thema durchaus interessant ist, haben wir vor wenigen Tagen unter einem unserer eigenen Artikel feststellen können. Unter unserem Bericht rund um die smarte Gegensprechanlage Nello One haben zahlreiche Nutzer bedenken an solchen Lösungen geäußert, wie beispielsweise Andy: “Verlockende Technik, aber bei diesen Cloud-Geschichten ist die Sicherheit doch immer sehr vage und falls es ein Problem gibt ist man als Kunde in einer komplizierten Situation. Die Userdaten die gesammelt werden oder auch die Fernsteuerung der Hardware können auf so viele Arten mißbraucht werden, das kann man langfristig doch garnicht vorhersehen.”

Leider haben wir den Hersteller Homematic in der Kürze der Zeit nicht für eine Stellungnahme erreichen können, dafür hat uns einer der direkten Mitbewerber innerhalb kürzester Zeit auf unsere Anfrage geantwortet: Nuki. Das smarte Türschloss aus Österreich ist direkt mit dem Modell von Homematic zu vergleichen, einen ausführlichen Erfahrungsbericht könnt ihr auf unserer Seite ja schon finden.

Schlechte Sicherheit im ARD-Beitrag scheint sehr konstruiert zu sein

“Zu Fremdsystemen können wir keine Aussage treffen, aber im Video sieht es so aus als ob eine Hauszentrale installiert, das Standard Passwort beibehalten und zusätzlich im WLAN Router ein Portforwarding auf die Hauszentrale eingerichtet wurde. Also wurde absichtlich das Scheunentor so weit wie nur möglich geöffnet, damit sich ein 'Hacker' sehr einfach darauf verbinden und es fernsteuern kann”, sagt Martin Pansy, Geschäftsführer von Nuki. “Selbst wenn man ein Nuki System absichtlich so präparieren würde, indem man etwa die Bridge API aktiviert und anschließend über ein Portforwarding von extern erreichbar macht, so würde ein Zugriff auf die API daran scheitern, dass es bei Nuki kein Standard Passwort gibt, sondern individuelle Sicherheitstokens verwendet werden.”

Das bedeutet natürlich nicht, dass automatisch jedes Smart Home System sicher ist. Daher kann es nicht schaden, einen Blick auf unabhängige Bewertungen von Sicherheitsexperten zu werfen, bevor man sich für ein Modell entscheidet. Das Nuki Smart Lock hat bereits ein Zertifikat erhalten, in dem es unter anderem heißt: “Nach dem Review der zur Verfügung gestellten Dokumente, einem Vulnerability Assessment der Infrastruktur und der Durchführung von gezielten Tests hinsichtlich der Sicherheit der Bluetooth Kommunikation konnten keine kritischen oder schwerwiegenden Schwachstellen identifiziert werden. Dem Tester war es nicht möglich, unberechtigten Zugriff auf Systeme oder Daten zu erlangen.”

Sicherheit zählt nicht nur beim Smart Home, sondern auch beim Smartphone

Gedanken rund um die Sicherheit sollte man sich nicht nur beim Smart Home machen. Gerade bei Türschlössern lautete meine persönliche Meinung ja immer noch: Wenn jemand unbefugt in ein Haus oder eine Wohnung eindringen möchte, muss er dafür kein IT-Spezialist und Hacker sein. Aber wie steht es eigentlich um die Sicherheit unserer Smartphones? Immerhin hat mittlerweile mehr als jeder zweite Deutsche ein iPhone, Android-Gerät oder anderes Smartphone im Einsatz, auf dem haufenweise persönliche Daten gespeichert sind.

App Store Icon

Um dieses Thema haben sich auch die Sicherheits-Experten von OWL gekümmert und insbesondere im Bezug auf das Thema Apps einige Empfehlungen ausgegeben, die wir gerne mit euch teilen. Die wohl wichtigste Regel im Umgang mit dem iPhone und iPad: Niemals Apps außerhalb des App Stores installieren, selbst wenn die Installation nach Absegnen eines harmlosen Zertifikats spielend einfach ist. Zwar hat sich in den letzten Jahren immer mal wieder Schadsoftware in den App Store eingeschlichen, zumindest bei Apple kann man diese Fälle aber an einer Hand abzählen. Ebenfalls wichtig: Muss eine App, die beispielsweise das Wetter anzeigt, auch auf die Kontakte zugreifen dürfen? Wohl nicht. Glücklicherweise kann das alles mit dem aktuellen iOS-Betriebssystem einfach reguliert werden, womit wir bereits bei der dritten wichtigen Regel rund um Apps wären: Software-Updates sollten regelmäßig installiert werden - im übrigen ist die Update-Politik seitens Apple eines der großen Aushängeschilder im Vergleich zur “wilden” Android-Welt.

Teilen

Kommentare13 Antworten

  1. Svenson sagt:

    Ich habe lange keinen so schlechten Fernsehbeitrag gesehen wie den hier beschriebenen.
    Ahnungslos werden verschiedene Themen zusammen geworfen. Plötzlich sind Smart Home Geräte Überbringer von Verschlüsselungstrojanern. Nicht ein einziges Mal wird erwähnt, dass es hier um 99% Anwendungsfehler geht. Selbst in den schlechtesten Geräten steht man solle das Passwort ändern. Dann werden aber die Standard Passwörter benutzt.
    Am besten ist noch die Testperson, die noch den Anschein erweckt, das sie mit der Bedienung eines Smartphones schon überfordert ist.
    Die Schuld geben ich in erster Linie den Verbrauchern.
    Talentfreie Verbraucher die sich einen feuchten Kehricht um Sicherheit kehren und die Technik nicht verstehen. Sie wollen immer alles haben und können es nicht bedienen. Schuld sind dann natürlich die Hersteller der Billiggeräte die Hinz und Kunz im Aldi kaufen will.

  2. Calihero sagt:

    Sehr inkompetenter Beitrag der hier noch empfohlen wird. Keine Details – nur Blabla. Habe selber eine Homematic und frage mich wie das funktionieren soll. Da lobe ich mir gut recherchierte Artikel wie z.B. von CT (Heise).

    • MacMau sagt:

      Das sehe ich genauso.
      Die Sendung PlusMinus ist nicht gerade für exellente Beiträge beakannt und ermittelt oder recherschiert (mit Gebühren) schon mal reißerisch in RTL-Manier, nur wegen der TV-Quote.

      Ich bin im Besitz von SmartHome-Geräten und kann die Sicherheit meines Hauses und meiner Lieben garantieren, soweit es auf heutigem Niveau und technisch möglich ist.
      Alles ist hack- und knackbar,- aber nichts ist so schwer wie heute als zu analogen Zeiten!

  3. STR sagt:

    Da kann ich Calihero nur zustimmen. Selten so ein faktenloser Bericht gesehen. „Könnte“ alles passieren. Ja, könnte. Ich möchte ja nicht wirklich das Risiko absprechen, aber der Beitrag war ja die reinste Verschwörung ohne jegliche Fakten. Das Beste war „ja könnte ich, mach ich aber nicht, bin ja kein Hacker“. Aber vor der Haustür stehen.
    Und natürlich ist es so, dass man erstmal in das Netz, auf die Server etc. muss. Allein die Grafiken der Anwendungen lassen irgendwie den Verdacht aufkommen, dass das konstruiert war. Aber das ist nur ne Verschwörung von mir 🙂
    Risiko ist da, definitiv. Aber so banal ist es dann meiner Meinung dann auch. Nicht alles ist böse, so wie es hier definitiv dargestellt ist.
    Es wäre zudem auch seriös gewesen auf sichere Systeme zu verweisen als das gesamte System zu verurteilen. Ebenso kamen keinerlei Hinweise dazu, auf was man tatsächlich achten solle oder müsse.
    Hab wirklich selten so was Schlechtes gesehen, was auf ein reales, potentielles Risiko hinweisen möchte.
    Was soll mir der Beitrag jetzt sagen. Seriös wäre gewesen: Wenn Du über die Straße läufst, dann schaue nach links und rechts oder benutze eine Ampel. Aber nicht: Wenn Du über die Straße läufst, bist Du sehr wahrscheinlich tot. Daher bleibe immer auf Deiner Straßenseite. Da bist Du sicher.

  4. Obst-Micha sagt:

    Zumal Homematic selber beschreibt, wie man Sicherheitsrelevante Systembestandteile, die von Außen zugänglich sind, absichert. Das gesamte System kann die Übertragungen verschlüsseln, mit einem 256 Bit AES Schlüssel. Unwahrscheinlich, dass den jemand in akzeptabler Zeit knackt. Er müsste sich ja in Funkreichweite befinden, würde also sicher auffallen.
    Das muss man sicherlich nicht mit jeder Lampe oder jedem Lichtschalter machen, aber bei Tür-/Fensterkontakten, Schlössern, Bewegungsmeldern macht das Sinn.
    Und schon ist HM sehr sicher.
    Dazu dann noch Finger weg von Port-Forwarding und stattdessen einen VPN-Endpunkt im System einsetzen, oder einen Dienstleister für den HM-Zugang buchen (kostet aber regelmäßig), und schon klappt,auch die Steuerung von außerhalb wieder – nur diesmal sicher(er).

    Na ja, die ARD-Zielgruppe lies hier wohl kaum mit 😉

    • MacMau sagt:

      Doch doch doch, die ARD Zielgruppe liest gerade hier mit.
      Selten so viele Kommentare von Users gelesen, die sich intensiv mit Technik befassen und gerade hier anderen Usern helfen, zu begreifen nd zu verstehen. Und dies nicht nur zu diesem Thema.

      Was ich vermisste in dem Beitrag seitens Appgefahren war die Kompetenz des Verfasses…!

      • Raga sagt:

        „Was ich vermisste in dem Beitrag seitens Appgefahren war die Kompetenz des Verfasses…!“

        Diesbezüglich musst Du Deine Erwartungen zurückschrauben. Hier kannst Du prima Infos über kostenreduzierte Apps oder iTunes-Karten abgreifen, auch jede Menge Werbeartikel mit leicht variierten Textvorlagen der Hersteller. Mehr nicht.

  5. MrCrabs sagt:

    Ihr solltet nicht nach Zertifikaten oder sogenannte Experten für Sicherheit suchen, sondern nach Lösungen die Technik auszutricksen. Zertifikate bekommt man gegen Bezahlung – wie vollmundige Produktwerbung in Bloogs – knick knack -. Es gibt genug Nerds, die sich täglich beweisen müssen wie toll sie sind. Schaut doch mal zur Autoindustrie. Solange es Schließsysteme mit Fernbedienung gibt, solange gibt es auch Möglichkeiten sie auszutricksen. Das hat bis heute Bestand.

    Wer Zuhause ein üblichen Türzylinder und zusätzliche smarte Features besitzt, der bietet dem Übeltäter die Wahl was er angreifen soll. Dann besser eine Lösung und die aber richtig.

  6. Gomeck sagt:

    Die meisten Einbrecher kommen eh über die oft schlecht gesicherte Terrassentür rein oder schmeißen einfach ein Fenster ein.

  7. Thomas Bahn sagt:

    Die aller wichtigste Regel was die Sicherheit von Smartphones angeht, ist meiner Meinung nach sie mit einem Zugangspasswort zu schützen.

Kommentar schreiben