Max Klaus, Melani

"Die Angreifer müssen zuerst ein lohnendes Geschäftsmodell entwickeln"

Uhr | Aktualisiert
von Christoph Grau

Die Welt wird zunehmend vernetzter. Unser Zuhause auch. Stehen dem Hacker somit alle Türen im Smarthome offen? Max Klaus, stellvertretender Leiter bei Melani, liefert Antworten.

(Quelle: flickr.com/photos/ajdagregorcic)
(Quelle: flickr.com/photos/ajdagregorcic)

Wie haben sich die Angriffe auf Smarthome-Geräte in der Schweiz entwickelt? Gibt es schon Erfahrungen?

Max Klaus: In der Schweiz wurden uns bislang keine Angriffe in diesem Bereich gemeldet. Vernetzte und am Internet angeschlossene Geräte sind prinzipiell den gleichen Gefahren ausgesetzt wie normale Computer. Ein Augenmerk liegt hier vor allem auf der Konfiguration und der Sicherung des Zugriffs von aussen. Ungeschützte Smart-Building-Systeme wurden uns schon gemeldet. Mit spezialisierten Suchmaschinen wie etwa Shodan ist es relativ einfach, entsprechende Geräte aufzuspüren.

Was ist das bevorzugte Einfallstor für die Angreifer?

Viele der publik gewordenen Fälle sind "Proof of Concepts", also unter laborähnlichen Bedingungen durchgeführte Versuche zum Aufzeigen von Sicherheitslücken. So hat die BBC kürzlich über einen Versuch berichtet, bei dem es gelungen sein soll, über den Missbrauch von DAB/DAB+-Radios Zugriff auf wichtige Elemente eines Autos – inklusive Bremsen, Lenkung usw. – zu erlangen. Im Juni 2015 wurde an einer Konferenz in Berlin ein Versuch demonstriert, mit dem es möglich sein soll, über das Bordunterhaltungssystem in einem Flugzeug Zugriff auf wichtige Steuerungsfunktionen zu erhalten. Ich stehe solchen Versuchen immer skeptisch gegenüber. Diese Demos sind zwar sehr eindrücklich, aber es handelt sich eben um laborähnliche Versuchsanlagen. Das heisst: Sowohl das Angreifer- als auch das Opfersystem sind dem Angreifer bekannt. Reale Hackerangriffe sind ungleich schwerer durchzuführen, weil der Angreifer zunächst in einem ihm völlig unbekannten System Lücken auffinden und diese dann auch noch erfolgreich ausnützen muss. Einfallstore können Sicherheitslücken aller Art sein. Insbesondere Zero-Day-Lücken sind besonders lukrativ, da diese den Systembetreibern naturgemäss noch nicht bekannt sind und es somit auch noch keine Patches zum Schliessen dieser Lücken gibt. Andere Einfallstore können schlecht konfigurierte Systeme sein. Es gibt etwa Systeme, die nur mit einem Standardpasswort geschützt sind. Oftmals sind diese Standardpasswörter im Benutzerhandbuch erwähnt. Ist dieses Benutzerhandbuch im Internet zum Download verfügbar, ist es selbst für Laien einfach, sich Zugriff auf ein solches System zu verschaffen.

Wie gross schätzen Sie die Gefahr für Hacking-Angriffe im Bereich Smarthome in der Schweiz ein?

Grundsätzlich liegt der Internetkriminalität fast immer eine finanzielle Motivation zugrunde. Die Angreifer müssen also zuerst ein lohnendes Geschäftsmodell entwickeln. Denkbar wäre etwa Erpressung: Ein Angreifer übernimmt im Winter die Kontrolle über die Heizung in einem Hotel in den Alpen und stellt diese ab. Er erpresst vom Hotelbetreiber ein Lösegeld, damit die Heizung wieder funktioniert. In die meisten Smarthome-Geräte kann jedoch physisch eingegriffen werden. Das macht es Kriminellen schwieriger, ein lohnendes Geschäftsmodell zu entwickeln. Grundsätzlich ist die Schweiz nicht mehr und nicht weniger gefährdet als andere Staaten. Überall, wo Geräte ans Internet angeschlossen werden, besteht die potenzielle Gefahr, dass diese Geräte manipuliert werden.

Tun die Hersteller Ihrer Meinung nach genug für die Sicherheit? Wo sollten Sie ansetzen?

Wichtig scheint uns die Möglichkeit der Einspielung von Updates. Wie jedes andere System weisen auch Smarthome-Systeme Lücken auf, die teilweise vielleicht noch gar nicht bekannt sind. Hier ist vonseiten der Hersteller ein gutes Management angezeigt, weil derartige Updates meist schwieriger durchzuführen sind als bei handelsüblichen Computern.

Wie sehen wirksame Schutzmechanismen aus?

Zu nennen sind hier zunächst ein gutes und regelmässig überprüftes Patch-Management durch den Hersteller und Verwendung von starken Passwörtern anstelle von Standardpasswörtern. Wie bei Computern, Laptops, Smartphones oder Tablets ist es auch hier wichtig, die Systeme immer auf dem neuesten Stand zu halten. Bei Verkehrsmitteln wie Autos oder Flugzeugen gibt es aus unserer Sicht keinen Grund, die Bordunterhaltungssysteme mit den kritischen Systemen zu koppeln. Eine strikte Trennung von Bordunterhaltungssystemen und den zentralen Steuereinheiten ist nach unserer Auffassung zwingend notwendig. Dies bestätigten auch verschiedene Hersteller in der letzten Ausgabe der "Automobil Revue" in einem Artikel, der sich mit dem oben erwähnten Versuch befasst, der durch die BBC publik gemacht worden war.

Webcode
4010