CERT-Bund warnt vor offenen Smarthome-Systemen

Rolläden hoch- und runterrfahren, Licht ein- und ausschalten oder die Heizung hochdrehen – das alles lässt sich mit Smarthome-Systemen via App oder Web-Interface bewerkstelligen. Im Februar entdeckte das CERT-Bund, dass das bei über 6000 Homemmatic-Systemen auch Fremde übers Internet können und begann damit, über die Internet-Provider der jeweiligen IP-Adressen Betroffene über das Problem zu unterrichten. Ein halbes Jahr später stehen immer noch fast die Hälfte dieser Smarthomes sperrangelweit offen.

Man muss dazu sagen, dass das kein direktes Homematic-Problem ist. Vielmehr haben dessen Nutzer beziehungsweise die Techniker, die es eingerichtet haben, offenbar eine Port-Weiterleitung auf dem Router eingerichtet. Bei der Mehrzahl der System ist dann sogar noch eine automatische Anmeldung oder eine alte Firmware mit bekannten, kritischen Sicherheitslücken aktiv.

Das bedeutet, dass schon der Aufruf einer passenden URL genügt, um die virtuelle Schaltzentrale zu übernehmen. Solche URLs lassen sich über passende Suchmaschinen einfach ermitteln. Im Schnellversuch entdeckte heise Security auf Anhieb mehrere derartiger Systeme. Wer also ein Homematic-System betreibt, sollte dieses lieber vom Internet abschotten. Wenn man einen Zugang von außen benötigt, sollte dieser über ein Virtual Private Network (VPN) erfolgen. (ju)