»Die ganze Branche droht auf die Nase zu fallen!«
Smart Home - leider nur bedingt sicher
Das intelligente Heim gilt als interessanter Zukunftsmarkt. Die System- und Komponenten-Hersteller stehen in den Startlöchern, sie arbeiten an der Interoperabilität und schmieden Allianzen, um das Smart Home für den Endanwender attraktiv zu machen. Was dabei derzeit allerdings vernachlässigt wird, ist die Sicherheit.
»Die Geschichte wiederholt sich, mit jedem größeren Hype kommen wieder dieselben Probleme mit der Sicherheit«, erklärte Thomas Springer, TÜV Süd, auf dem 3. Energie&Technik Smart Home & Metering Summit in München.
Denn wenn Geräte miteinander vernetzt sind, dann sind Hackern Tür und Tor geöffnet. Dafür nur ein kleines, auf den ersten Blick wenig spektakuläres Beispiel: Die Fernsteuerung von Rollläden. Die Kommunikation ist verschlüsselt, im Hintergrund läuft etwa ein Rollig-Code-Verfahren. Das ist sicher, solange man nicht an den Schlüssel kommt. Aber oft genügt es, eine Schraube zu öffnen, um ein Gerät zu öffnen, an die Platine zu kommen und über die JTAG-Schnittstelle den Schlüssel auszulesen. Hier sind die Systemhersteller – weil es nicht ihre Kernkompetenz betrifft – oft sorglos. »Wenn etwa das Lock-Bit nicht gesetzt ist, dann hat es der Hacker sehr einfach – und schon kann er die Rollläden nach Belieben steuern«, so Thomas Springer.
Wie einfach das geht, sieht man an Autodiebstählen: Die Statistik der geklauten Fahrzeuge lässt deutlich erkennen, welche Hersteller sich eher weniger Mühe mit der Sicherheit ihrer Schlüsselsysteme geben und welche nicht.
Die Sicherheitsbedenken hegt Thomas Springer auch im Bereich des Smart Metering: So wird der wireless MBus gerne zum Auslesen der Zählerdaten benutzt. »Die Sicherheitsaspekte werden hier aber wohl eher als nachgelagert betrachtet; drei von vier Dokumenten befinden sich noch im Draft-Status«, erklärt Springer. Zudem sei die AES-Verschlüsselung oft lausig implementiert. »Die Hardware-Voraussetzungen für die Sicherheit sind nicht da«, resümiert Springer. Allgemein führe der Kostendruck dazu, dass in Smart-Home-Geräten möglichst kostengünstige Prozessoren und möglichst wenig Speicher eingesetzt werden. Auch eine möglichst geringe Energieaufnahme zu erzielen, spiele dabei eine Rolle. Beides habe laut Springer aber zur Folge, dass eine sichere Verschlüsselung wegen der schwachen Hardware oft nicht realisiert werden könne. Insgesamt arbeiten viele Hersteller offenbar nach der Devise: »Hauptsache, es funktioniert irgendwie!« Die Sicherheitsaspekte kommen dabei leider zu kurz.
Dass die Bedenken bei Weitem nicht aus der Luft gegriffen sind, zeigt dieser Vorfall: Vor einigen Monaten musste ein Mini-BHKW-Hersteller einräumen, dass die Steuerung seiner Heizung relativ einfach von außen manipulierbar war. Er empfahl als erste Maßnahme, die Geräte nicht ans Internet anzuschießen. Das ist für Klaus-Dieter Walter, Mitglied der Geschäftsleitung von SSV Software Systems, keine Überraschung. Er hat zwei Schwachstellen identifiziert, die oft übersehen werden: das Benutzerinterface, etwa eine App, und die Remote-Diagnostics-Schnittstelle, über die der Hersteller zugreifen kann – aber eben auch ein potenzieller Angreifer.
Wenn Sicherheitsschwachstellen im Smart Home häufiger auftauchen, wenn sie sogar ernste Schäden zur Folge haben, könnte dies für den Smart-Home-Markt verheerende Auswirkungen haben. Das ist vielen Herstellern im Smart-Home-Umfeld nicht bewusst. »Es werden zwar umfangreiche funktionale Tests durchgeführt, aber kaum einer prüft die Sicherheit«, erklärte auch Prof. Hartmuth Pohl auf dem 3. Energie&Technik Smart Home & Metering Summit 2013. »Wenn wir das nicht machen, wird die ganze Branche auf die Nase fallen!«
Was ist also zu tun? Standardisierung könnte Sicherheit bringen, sie schreitet allerdings quälend langsam voran und geht oft an der Realität vorbei. »Das BSI-Schutzprofil ist ein gutes Beispiel dafür«, so Springer. Allerdings kennt auch er keine schnelle Lösung für das Problem: »Es gibt keinen Königsweg. Voraussetzung ist, dass die Gerätehersteller einen gewissen Qualitätsanspruch an die eigenen Produkte stellen, und vor allem, dass sie die eigenen Produkte, die sie an die Endanwender verkaufen, auch wirklich verstehen.« Außerdem sollten die Hersteller bereit sein, auch aus den Fehlern anderer zu lernen.
Der Lichtblick: »Es gibt durchaus Firmen, die ihre Produkte testen lassen. Diese Produkte sind dann sicher, auch wenn sie mit der Cloud verbunden sind.« Dieser Meinung ist auch Klaus-Dieter Walter von SSV Software Systems, er sieht durchaus Lösungen für das Sicherheitsproblem: »In der Fabrik- und Gebäudeautomatisierung wurden schon viele Erfahrungen gesammelt, das ließe sich übertragen. Man muss gar nicht so viel neue erfinden. Allerdings gilt auch: Sicherheit ist ein Prozess, den muss man selber schaffen, den kann man nicht kaufen.«
Wenn sich Geschichte also wiederholt, so kann man doch zumindest aus ihr lernen. Wenn sich Lehren aus der Implementierung von Sicherheitsstandards in der Fabrikautomatisierung ziehen lassen, sollte man sie auch im Smart Meter-Bereich beherzigen. Eine Devise lautet: Wer nicht einfach extern billigst Komponenten zukauft, deren Funktionalität und Sicherheitskonformität er nicht versteht, kann bereits die gröbsten Fehler vermeiden.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
