Feindliche Übernahme

In vielen Smart Homes stehen die virtuellen Türen sperrangelweit offen. Braucht künftig auch die Waschmaschine Anti-Viren-Software?

Thomas Hatley lag noch im Bett, als frühmorgens das Telefon klingelte. "Ich sehe alle Ihre Hausgeräte, und ich kann sie steuern", sagte eine unbekannte Frauenstimme am anderen Ende der Leitung. Hatley, der mit seiner Frau in Oregon wohnt, hielt den Anruf für einen Spaß und forderte die Anruferin auf, das Licht im Schlafzimmer ein- und auszuschalten – worauf das Licht an- und wieder ausging. "Ich bin total geschockt", gestand Hatley.

Er hatte Glück im Unglück: Die Anruferin war Kashmir Hill, Redakteurin beim Wirtschaftsmagazin "Forbes", die für eine Story testete, wie sicher Heimautomatisierungslösungen sind. Sehr unsicher, wie sich herausstellte. Von ihrem Büro in San Francisco aus konnte sie in acht Häusern im ganzen Land das Licht schalten, in einem Fall sogar das Garagentor öffnen.

Den Zugang zu den Steuerungen – alle vom US-Hersteller Insteon – fand Hill einfach über Google: Die Webadressen standen offen im Internet, eine Passwort-Absicherung gab es nicht. Bei einem weiteren Anruf meldete sich ein Craig in Connecticut, ein Berater, der Kunden bei der Installation der Insteon-Steuerung hilft. Selbst er hatte keine Ahnung, dass in seinem Haus Tür und Tor für Hacker geöffnet waren.

Dieses Beispiel aus den USA ist besonders augenfällig, doch das Problem ist grundsätzlich – und gewinnt mit dem Trend zu vernetzter Haustechnik an Brisanz. In vielen Haushalten werkelt mittlerweile ein Konglomerat aus Hausgeräten, Unterhaltungselektronik, Computern, Tablets und Automatisierungstechnik, vernetzt über WLAN, Bluetooth oder andere Funkstandards.

Selbst Glühbirnen mit Funksteuerung gibt es schon. Das ist praktisch, aber riskant. Denn zur leichteren Installation wollen die Hersteller die Sicherheitsmechanismen nicht zu kompliziert machen. Die bequeme Fernsteuerung via App öffnet zudem neue Einfallstore für Hacker. Wer denkt bei einer Waschmaschine schon daran, das vom Hersteller vorgegebene Passwort zu ändern?

Das bestätigt die Sicherheitsfirma Trustwave, die das Sicherheitsloch bei Insteon entdeckt und Hill auf die Spur gebracht hatte. Das Unternehmen hat weitere Smart-Home-Gadgets untersucht – mit beunruhigenden Ergebnissen. So lässt sich auch die intelligente Toilette des japanischen Herstellers Satis leicht manipulieren. Kommt man nah genug heran, baut die mitgelieferte Smartphone-App eine Bluetooth-Verbindung auf, das voreingestellte Passwort "0000" ändern die wenigsten Nutzer.

Spaßvögel können so die Dusche des Bidets starten, während der Besitzer sein Geschäft verrichtet, oder den eingebauten Musikspieler des 5000-Dollar-Klos lauter stellen. Und auch der viel gelobte Nest-Thermostat ist nicht uneinnehmbar: Im August berichteten Sicherheitsforscher, sie hätten das Gerät über seinen USB-Anschluss gehackt und könnten es dazu bringen, Daten über Raumtemperatur und zur Bewegungserkennung nach draußen zu leiten.

"Im Einzelfall ist so etwas weniger kritisch", sagt Steffen Heyde, Portfolio-Manager bei der Sicherheitsfirma Secunet. Gefährlich werde es aber dann, wenn derartiges in großem Maßstab geschehe. Die Autoren der amerikanischen Sitcom "Two and a Half Men" haben das bereits durchgespielt: In einer Episode erfindet der Milliardär Walden Schmidt den "Electric Suitcase", eine Software, die das Licht in den ganzen USA ausschalten kann.

Die Energiespar-App, in der TV-Serie ein Lacher, könnte in der Realität eine Bedrohung für die Volkswirtschaft sein, warnt Heyde. Clevere Hacker würden vermutlich keine spektakulären Aktionen starten, sondern versuchen, in großem Stil Gebäudesteuerungen in Büros und Fabriken zu kapern und etwa Heizungs- und Klimatisierungssteuerungen zu manipulieren. Bemerken die Opfer diesen Angriff nicht schnell genug, können die Energiekosten in bedrohliche Höhen steigen.

Dass so etwas tatsächlich möglich wäre, hat sich im vergangenen Jahr beim Heizungshersteller Vaillant gezeigt. Das Unternehmen vertreibt kleine Blockheizkraftwerke namens EcoPower 1.0 für Ein- und Zweifamilienhäuser, die zentral über eine Internetverbindung gewartet werden. Einem Besitzer war an seiner Anlage ungewöhnlicher Datenverkehr aufgefallen – offenbar hatten unbekannte Hacker versucht, die Steuerung zu manipulieren.

Wie sich bei Tests herausstellte, hätten sie das Kraftwerk nach Belieben abschalten oder auf Volllast hochfahren können. Weil Vaillant keine schnelle Lösung für das Problem fand, empfahl das Unternehmen seinen Kunden schlicht, die Verbindung ins Internet zu kappen.

Oft hilft in solchen Fällen ein Software-Update, das idealerweise vom Hersteller aus der Ferne aufgespielt wird. Heyde hat allerdings Zweifel, dass jeder Hausbesitzer seine Smart-Home-Steuerung regelmäßig mit Updates und Patches versorgt. Das müsse automatisch übers Internet geschehen, was dann aber potenziell ein zusätzliches Einfallstor für Kriminelle schafft.

Die Vernetzung aller möglichen Geräte ist ohnehin ein Problem, wie das US-Unternehmen Proofpoint herausfand. Zu Beginn des Jahres machten dessen Experten eine beunruhigende Beobachtung: Cyberkriminelle hatten die Computer, die in vielen vernetzten Haushaltsgeräten stecken, gekapert. Mit ihnen schufen sie ein Botnetz, um eine Dreiviertelmillion Spam- und Phishing-Mails zu versenden. Ein Botnetz ist ein Verbund von Tausenden Rechnern, die von Hackern unbemerkt für den Versand von Spam missbraucht werden.

Doch in diesem Fall bestand das Botnetz nicht wie üblich aus PCs, sondern aus 100.000 Haushaltsgeräten: Internet-Router, Multimedia-Anlagen und Smart-TVs. Sogar ein Kühlschrank war dabei. Proofpoint geht davon aus, dass Cyberkriminelle "Thingbots" zunehmend als Vehikel für ihre Attacken entdecken werden. Die Zahl der im Internet vernetzten Geräte soll laut der Marktforschungsfirma IDC bis 2020 auf etwa 200 Milliarden zunehmen und die Zahl der klassischen Computer bei Weitem übersteigen.

Die Hersteller sind sich der Gefahren zunehmend bewusst – und steuern dagegen. Die AllSeen-Allianz, ein Konsortium aus 51 Unternehmen, plant eine Software, mit der App-Entwickler gezielt Sicherheitsmechanismen definieren können, etwa eine verschlüsselte Übertragung von der E-Zahnbürste zum Smartphone. Auch kann der Nutzer Sicherheitskorridore vorgeben, indem er etwa die Regelung der Heizung via App nur in einem bestimmten Temperatur- oder Zeitfenster erlaubt.

Doch wo es einen Zugang gibt, gibt es auch Einbruchsmöglichkeiten – zumal die Hersteller nicht davon ausgehen können, dass die Nutzer immer alles richtig machen. So war es auch im Fall der Insteon-Steuerungen: Nach Angaben des Unternehmens betraf er nur ältere Geräte, die ab Werk gar nicht für Zugriff über das Internet ausgelegt waren.

Nur geschickte Nutzer konnten ihn selbst herstellen. Zu diesen zählten die acht Opfer in Hills Recherche. Dass sie für den Zugang dringend einen Login-Namen und ein Passwort hätten einrichten sollen, wie es in der Anleitung stand, hatten sie offenbar geflissentlich überlesen. (bsc)