c't warnt vor Sicherheitsleck beim Smart-Home-System von Loxone
(4.9.2016) Die Steuerung aus der Ferne per Handy ist bei vielen Smart-Home-Systemen Standard. Mit dem Komfort steigt aber auch das Risiko - vor allem, wenn die Hersteller bei der Umsetzung zu sorglos agieren. Wie durch ein Sicherheitsleck Einbrecher auf Knopfdruck in Häuser hätten eindringen können, schildert das Computermagazin c't in der Ausgabe 19/16 (siehe Titelbild rechts).
Moderne IT-basierende Systeme sollen möglichst einfach einzurichten sein. Gleichwohl ist sicherzustellen, dass die Anlagen wirksam vor Angriffen geschützt sind - insbesondere wenn sie für Fernzugriffe ins Internet eingebunden sind. Welche fatalen Konsequenzen es haben kann, wenn dieser Drahtseilakt misslingt, zeigt sich am Beispiel von Loxone Electronics: „Mit einem kleinen Skript ließen sich auf einen Schlag über 110 Anlagen in ganz Europa finden, die die schwachen Zugangsdaten benutzen", so c't-Redakteur Nico Jurran. Das eröffnet ein gewaltiges Missbrauchspotenzial: Schließlich werden über die Loxone-Anlagen nicht nur Sensoren und Aktoren aus den Bereichen Beleuchtung, Energie, Heizung und Kühlung, Rollladen und Audiosystemen gesteuert, sondern auch sicherheitskritische Komponenten wie Alarmanlagen, IP-Kameras und Zugangssysteme für Türen und Garagentore.
Kriminelle hätten sich hier mit einem Tipp auf ihrem Smartphone selbst Zutritt zum Haus verschaffen können - ohne dabei Spuren zu hinterlassen. „Das ist ein Albtraum für Eigentümer und Mieter - auch aus versicherungsrechtlicher Sicht“, so Jurran.
Als die c't-Redakteure die Geschäftsführung von Loxone Electronics über das Sicherheitsleck informierte, richtete diese eine interne Task Force ein, die als Sofortmaßnahme die Nutzung des hauseigenen DDNS-Dienstes für Heimserver mit unsicheren Zugangsdaten sperrte.
„Diese Maßnahme trug laut c't schon nach kurzer Zeit Früchte, die Zahl der Heimserver mit Standard-Login ging drastisch zurück. Allerdings können Kunden auch weiterhin ,admin/admin‘ verwenden“, konstatiert Jurran. „Wer weiß, dass seine Loxone-Anlage noch das Standard-Passwort nutzt, sollte umgehend Sicherheitsvorkehrungen treffen.“
siehe auch für zusätzliche Informationen:
- ESET erinnert noch einmal an alte Sicherheitslücken in beliebten Smart-Home-Geräten (14.7.2020)
- Europäischer Versichererverband warnt vor aktuellen Smart Home-Angeboten (10.9.2018)
- Cybersecurity Trends: TÜV erwartet in 5 Jahren rund 500 vernetzte Geräte in jedem Privathaushalt (2.7.2018)
- KNX Secure verspricht maximalen Datenschutz für smarte Gebäude (20.6.2018)
- IP-Router Secure mit KNX-Sicherheitstechnik neu von ABB und Busch-Jaeger (20.6.2018)
- weitere Details...
ausgewählte weitere Meldungen:
- Erwachsen! Smart Home-Fachtagung am 12./13. September
- Vier Sieger, zwölf Gewinner: SmartHome Deutschland Award 2016 entschieden (7.6.2016)
- Polizeiliche Kriminalstatistik (PKS) 2015: 10% mehr Wohnungseinbrüche (31.5.2016)
- Bosch bündelt seine Smart Home-Aktivitäten in neuer Gesellschaft (16.12.2015)
- Datenschutz und Datensicherheit im Smart Home (16.12.2015)
- Damit das Haus durch Building Automation Systeme nicht zum eigenen Feind wird (15.12.2015)
- Smart Home-Studie: Vernetzte Alarmsysteme sind gefragt (29.9.2015)
- DE-Institut bestätigt Viessmann hohe Informationssicherheit in der Heizungssteuerung (17.4.2015)
- VDE-Studie: „Ja“ zu Smart City, „Nein“ zum vernetzten Kühlschrank (10.11.2014)
- Zukunfts-Studie von RWE Effizienz und future matters: Deutschland wohnt 2018 smart (10.11.2014)
- VDE: „Smart Home wird 2025 Standard sein“ (18.7.2013)
siehe zudem:
- Gebäudeautomation im Haustechnik-Magazin sowie Security-Magazin auf Baulinks
- Literatur / Bücher Gebäudetechnik und Smart Home bei Baubuch / Amazon.de