Schwachstellen in den eigenen vier Wänden

Zuletzt wurde es auf der IFA, der Messe für Unterhaltungselektronik und Haushaltsgeräte in Berlin, deutlich: Der Markt für Smart-Home-Geräte wächst stetig. Besucher konnten dort beispielsweise die neuste Generation smarter Lautsprecher, Türschlösser, Thermostate oder Kameras in Augenschein nehmen. Doch es ist fraglich, inwieweit diese Geräte wirklich den Weg in deutsche Heime finden werden. Denn die Skepsis gegenüber dem Smart Home ist groß – auch im Hinblick auf die Sicherheit. Was Hersteller dagegen tun können, erklärt Nils Gerhardt, CTO von Utimaco.

Normalerweise verursacht das Bundesamt für Kartographie und Geodäsie (BKG), zu dessen Aufgaben etwa die Aufbereitung, Aktualisierung und Bereitstellung von orts- und raumbezogenen Daten zur Beschreibung der Objekte der Erdoberfläche gehört, eher selten Schlagzeilen. Kürzlich wurde jedoch bekannt, dass eine chinesische Hackergruppe – als APT15 („Advanced Persistent Threat“) bekannt – wohl bereits im Jahr 2021 das Netzwerk des BKG infiltriert hat, wodurch ein Netzbereich kompromittiert wurde.

Das Interesse solcher staatlicher Akteure an Bundesbehörden ist keine Überraschung, wohl aber das Vorgehen in diesem Fall: Die Hacker missbrauchten unter anderem Endgeräte von Privatpersonen wie Router und Smart-Home-Anwendungen, um eine Art Virtual-Private-Network (VPN) aufzubauen um aus diesem in das Netzwerk der Behörde einzudringen. Zwar sind bisher keine Fälle bekannt, dass auch die Privatpersonen auf diese Weise ausspioniert wurden, doch das Risiko besteht natürlich weiterhin.

 

Smart-Home: Komfort vs. Sicherheit?

Sicherheitsbedenken sind auch in einer aktuellen Studie von Utimaco ein wesentlicher Grund, warum Verbraucher Smart-Home-Geräte ablehnen. Demnach nutzen zwei Drittel der Deutschen (66 Prozent) keine Geräte wie Smart-TVs, virtuelle Assistenten oder Saugroboter. Dies liegt zum einen daran, dass sie in diesen Anwendungen keinen Nutzen sehen, zum anderen vertrauen sie den Anwendungen aber auch nicht.

Dabei ist die Vernetzung und Automatisierung von Geräten durchaus erstrebenswert, sowohl aus Bequemlichkeit als auch im Hinblick auf die Energieeffizienz des eigenen Zuhauses. So bietet die Steuerung etwa des Fernsehers per Smartphone oder die Automatisierung des morgendlichen Kaffees hohen Komfort, während sich die Heizung dem Wetter oder das Licht der Uhrzeit anpassen lässt. Auch der neue Verbindungsstandard „Matter“, der zunehmend Anwendung findet, könnte die Fragmentierung zwischen den verschiedenen Anbietern reduzieren und dadurch die Interoperabilität ihrer Anwendungen erhöhen.

Allerdings müssen Hersteller zunächst die Sicherheitsbedenken der Verbraucher aus dem Weg räumen, wenn sie ihre Produkte stärker vermarkten wollen. Nur ein Fünftel der Befragten (22 Prozent) in der Utimaco-Studie ist etwa überzeugt, dass die Anbieter genug für die Sicherheit ihrer Produkte tun. Die Gefahr, dass Hacker sich Zugang zum eigenen zuhause verschaffen könnten, wird von 61 Prozent der Studienteilnehmer als größtes Risiko genannt. Das Vorgehen von APT15 beim BKG dürfte diese Sorge weiter unterstreichen.

 

Was können die Verbraucher tun?

Ein Problem für Smart-Home-Nutzer ist, dass sie bei diesen Geräten deutlich weniger Einstellungsmöglichkeiten haben als beispielsweise bei ihrem Smartphone oder sich ihrer Möglichkeiten nicht bewusst sind. Selbst wer bei seinem Smart-TV auf die Sprachsteuerung verzichtet, denkt vielleicht nicht daran, das Mikrofon zu deaktivieren. Es gibt aber ein paar grundsätzliche Schritte, die Privatpersonen unternehmen können, um die Sicherheit in ihrem Zuhause zu erhöhen. Allen voran sollte der Router, die Schnittstelle zwischen Internet und Heimnetzwerk, besonders geschützt werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt hierfür eine ganze Reihe an Maßnahmen wie die Änderung von Router- und WLAN-Passwort oder des Routernamens.

Darüber hinaus sollten verfügbare Updates schnellstmöglich aufgespielt werden, denn mit diesen schließen Hersteller etwaige Sicherheitslücken. Das Problem hierbei: Wenn die Unterstützung für Geräte endet, sie aber weiterhin in Betrieb sind, bleiben solche Lücken offen und können Kriminellen als Einfallstor dienen. Dementsprechend sollten Verbraucher sich schon vor dem Kauf informieren, wie lange ein Anbieter in der Regel seine Geräte mit Sicherheitsupdates versorgt und diese Information in ihre Kaufentscheidung einfließen lassen. Und wenn sich das Ende des Supports nähert, sollten sie sich außerdem damit auseinandersetzen, wie sie ihr Gerät ersetzen können.

 

Was müssen die Hersteller von Smart-Home-Geräten beachten?

Die Hersteller müssen währenddessen sicherstellen, dass ihre Geräte selbst sicher sind. Doch gerade das wird in Zeiten, in denen immer größere Mengen gefälschter Waren im Umlauf sind, immer schwieriger. Denn diese lassen sich teilweise kaum von Originalen unterscheiden, da sie beispielsweise „echte“ Seriennummern aufweisen können, aber in der Hardware ein erhebliches Sicherheitsrisiko darstellen. Eine Technologie, mit der sich dieses Risiko senken lässt, ist Key-Injection: Bei diesem Verfahren erhalten Geräte oder einzelne Bauteile wie Chips eine eigene digitale Identität in Form eines geheimen kryptografischen Schlüssels. Dieser lässt sich später mithilfe eines öffentlichen Schlüssels überprüfen, um die Produktidentität festzustellen. So kann der Hersteller eines Smart-Home-Geräts gewährleisten, dass er hierfür nur Originalteile verwendet.

Auf Softwareseite kann zudem eine Software-Bill of Material (SBOM) hilfreich sein, um den Überblick zu behalten und ein hohes Sicherheitsniveau von Geräten sicherzustellen. Hierbei handelt es sich um eine formale, strukturierte Aufzeichnung aller Softwarekomponenten und ihrer Beziehungen innerhalb der Softwarelieferkette. Dass Software immer kleinteiliger – etwa durch Microservices und Container – und Code, beispielsweise aus Open-Source-Bibliotheken, gleichzeitig häufiger wiederverwendet wird, kann negative Folgen für die Sicherheit haben, weil Sicherheitslücken übernommen oder nicht unmittelbar bemerkt werden. Dank einer SBOM können Hersteller jedoch schneller Schwachstellen und ihren Ursprung identifizieren sowie ihre Software auf neue bekannte Sicherheitsrisiken überprüfen.

Hersteller, die in die Sicherheit ihrer Geräte und Lösungen investieren, können darüber hinaus bei den Verbrauchern Vertrauen aufbauen und deren Kaufentscheidung beeinflussen, wenn sie klar und transparent über diese Sicherheitsmaßnahmen informieren.

 

Fazit

Nils Gerhardt, CTO von Utimaco

Smart-Home-Anwendungen können sehr praktisch sein und bieten viele Vorteile, bergen aber potenziell auch einige Sicherheitsrisiken. Und gerade bei diesen Geräten ist es für Nutzer oft nicht ersichtlich, wenn Außenstehende sich Zugriff verschaffen. Um ein sicheres Zuhause zu schaffen, sind daher gleichermaßen die Hersteller und die Verbraucher gefragt. Inhärente Sicherheitsmaßnahmen wie Key-Injection und SBOM auf der einen, ein sicheres Heimnetzwerk und schnelle Updates auf der anderen Seite sind entscheidend für die Sicherheit des Smart-Home.

#Utimaco