Dieser Artikel beruht, wie bereits von anderen Nutzern richtig festgestellt, auf Halbwissen. Als Qualitätshersteller von ZigBee Produkten möchten wir daher einige Aspekte ins rechte Licht rücken, da sie in dieser Form nicht unwidersprochen stehen bleiben können.
Eines Vorweg: Keines der Produkte von ubisys ist von den Schwachstellen betroffen, die hier geschildert wurden. Das bedeutet im Umkehrschluss: Der ZigBee-Standard erlaubt sehr wohl äußerst sichere Produkte herzustellen - sicherer als alle übrigen bekannten Funkstandards.
Es ist zutreffend, das im Home Automation Profil ein sogenannter well-known Default Trust Center Link Key ("ZigBeeAlliance09") eingesetzt werden kann, um den initialen Schlüsselaustausch zu realisieren, d.h. die Übertragung des Netzwerk-Schlüssels erfolgt verschlüsselt mit einem bekannten Schlüssel, also quasi im Klartext. Das ist aber nur die halbe Wahrheit, denn dies ist nur eine Möglichkeit des Schlüsselaustauschs. Seit ZigBee HA 1.2.1 ist ein sogenannter Installation Code verpflichtend, der auf das Gerät aufgebracht ist. Gleiches gilt für ZigBee 3.0. Ein Trust Center kann anstelle des bekannten "ZigBeeAlliance09" Schlüssels diesen Geräte-individuellen Schlüssel verwenden, sodass der initiale Schlüsselaustausch bereits sicher ist.
Diese Installation Codes werden auch im Smart Energy Profil seit jeher eingesetzt - aus dem im Artikel genannten Grund. Dies ist also keine neue Erkenntnis, sondern altbekannt.
Es gibt die Möglichkeit des zertifikatsbasierten Schlüsselaustauschs (CBKE), was im Smart Energy Bereich verpflichtend ist. Das bedeutet aber, dass eine Zertifizierungsstelle und eine Zertifikatskette etabliert und aufrechterhalten werden muss, was wiederum einer einfachen Interoperabiliät von unabhängigen Herstellern zuwiderläuft. Bezogen auf das Beispiel Smart Energy: Wenn das Gerät nicht vom Energieversorger zertifiziert ist und mit einem entsprechenden Zertifikat versehen, dann hat es keine Chance im Netzwerk betrieben zu werden. Das bedeutet maximale Sicherheit, aber eben auch für den Anwender eine sehr eingeschränkte Geräteauswahl.
Türschlösser müssen über eine weitere Verschlüsselung auf Anwendungsebene (APS Key oder auch application link key genannt) verfügen. Die Kenntnis des Netzwerkschlüssels reicht damit nicht aus, um dem Schloss Befehle wie "öffnen", "schließen" oder "neue PIN codes einlernen" zu senden. Wenn ein Hersteller eines Türschlosses diese APS Verschlüsselung nicht einsetzt, grenzt das an grobe Fahrlässigkeit. Die Empfehlung lautet: Kaufen Sie nur Produkte von Qualitätsherstellern. Hier können Sie sicher sein, dass der Hersteller seinen hohen Anspruch an die Sicherheit der eigenen Produkte auch im Produkt umsetzt.
Die Schwachstelle, die hier vorgeführt wird, ist eine Schwachstelle des Trust Centers. Ein hochwertiges Trust Center, wie z.B. das von uns hergestellte Gateway G1, verweigert einen sogenannten „insecure rejoin“, d.h. einen Rejoin mit einem bekannten Schlüssel im laufenden Betrieb. Somit ist lediglich zum Zeitpunkt des Anlernens eines neuen Gerätes das mitschneiden des Netzwerkschlüssels möglich (sofern kein Installation Code eingesetzt wird). Das bedeutet wiederum, das gleiche Türschloss betrieben an einem hochwertigen Trust Center, wie z.B. dem G1, wäre von der Sicherheitslücke nicht betroffen.
Alle uns bekannten Funkstandards haben einen deutlich geringere Sicherheit als ZigBee. Viele sind generell umverschlüsselt, andere sind protokollmäßig gar nicht offengelegt („security by obscurity“), oder haben ein ganz ähnliches Verfahren. Im Gegensatz dazu haben mehrere unabhängige Reviews der Sicherheit von ZigBee im Rahmen der Zulassung für die Übertragung von abrechnungsrelevanten Zählerständen durch Behörden wie NIST stattgefunden. Generell gilt: Verfügt das Produkt und das Gateway/Hub nicht über Installation Codes oder Zertifikate, dann erfolgt das Pairing immer entweder mit einem vordefinierten Schlüssel oder im Klartext. In der Regel ist das für private Haushalte auch kein Problem, da nur im kurzen Moment des Anlernens, der vom Nutzer aktiv gestartet werden muss, diese Schwachstelle überhaupt ausgenutzt werden kann. Für gewerbliche und öffentliche Objekte ist der Einsatz von Installation Codes ratsam.
In der Tat zielen Geräte mit Touchlink auf einfache Inbetriebnahme durch technisch unbedarfte Nutzer ab und die Abwägung Sicherheit vs. einfache Inbetriebnahme fällt hier zu Gunsten der einfachen Installation aus. Aus diesen Gründen haben wir uns innerhalb der ZigBee Alliance dafür eingesetzt, dass Touchlink nicht verpflichtend wird für alle ZigBee Geräte. Dieses Ziel konnten wir im Rahmen der Standardisierung von ZigBee 3.0 auch erreichen. Es obliegt nun jedem Hersteller zu entscheiden, ob seine Geräte Touchlink unterstützen oder nicht. Die Geräte von ubisys tun es nicht; sollte sich die Sicherheit in diesem Bereich verbessern, werden wir unsere Position hierzu überdenken. Ebenso können Anwender entscheiden, ob dieses Maß an Sicherheit für Ihre jeweilige Installation ausreichend ist, oder der Konsument lieber auf Geräte mit Touchlink verzichten möchte.
Wir haben aktiv an der Entwicklung des ZigBee 3.0 Standards mitgewirkt, der spezielle weitere Maßnahmen beinhaltet, die die Sicherheit von Netzwerken weiter erhöhen. So ist es z.B. nicht mehr möglich, ein Trust Center zu zertifizieren, dass Rejoins mit globalen Schlüsseln erlaubt. Dazu erhält jedes Gerät vom Trust Center einen neuen, individuellen Schlüssel, den es für Rejoins verwenden kann. Überhaupt sind solche „Trust Center Rejoins“ nur dann notwendig, wenn der Netzwerkschlüssel erneuert wurde, und das Gerät diesen Prozess versäumt hat (weil es z.B. offline war, die Funkverbindung gestört, oder die Batterie leer war). In allen anderen Fällen ist der Schlüssel ja bekannt.
Alle unsere Geräte und die Geräte vieler renommierter Hersteller wie z.B. BEGA, CentraLite, dresden elektronik, KABA, meazon, OSRAM, Philips, etc. sind sehr wohl über Funk zu aktualisieren. Sogar das Verfahren, die Protokolle und Dateiformate hierzu sind standardisiert (ZigBee Over-The-Air Upgrade, OTA). Bei den Produkten von ubisys geschieht dies automatisch über das Gateway G1. Für Gateways anderer Hersteller bieten wir die Update-Dateien zum Download an. Alle unsere Produkte werden ein kostenloses Upgrade auf den neunen Standard ZigBee 3.0 erhalten, der im Januar in Las Vegas anlässlich der CES 2016 offiziell gelauncht wird.
Es steht also jedem frei anstelle eines billigen Produktes, das weder Wert auf Sicherheit noch auf Support und Service durch regelmäßige Firmware-Updates legt, ein hochwertiges Produkt eines Qualitätsherstellers zu kaufen.
Es drängt sich der Eindruck auf, dass das Beratungshaus, das diesen Artikel angestoßen hat, in erster Linie Werbung für sich selbst betreibt, in dem es altbekannte Sicherheitslücken, die längst erkannt und geschlossen sind, als brandneue Erkenntnis auf Sicherheitskonferenzen präsentiert.
Über ubisys: Wir sind Hersteller von zertifizierten ZigBee 2015 Stacks, die höchste Ansprüche an Sicherheit und Zuverlässigkeit erfüllen und die Grundlage von ZigBee 3.0 bilden. Mit Freigabe des ZigBee 3.0 Zertifizierungsprogramms werden auch alle unsere Produkte entsprechend zertifiziert.
Dr.-Ing. Arasch Honarbacht
Geschäftsführender Gesellschafter und Leiter F&E von ubisys.
Vice-Chairman Core Stack Group ZigBee Alliance
Elected Member Technical Steering Committee ZigBee Alliance