Beim "smarten" Zuhause tun sich Sicherheitsprobleme auf. Beim erstmaligen Verbinden eines Gerätes kann der weltweite Standard ZigBee geknackt werden, zeigten Sicherheitsforscher vor.
Wiener Sicherheitsexperten haben Schwachstellen bei vernetzten Glühbirnen, Türschlössern und anderen intelligenten Haushaltsgeräten aufgedeckt. Sie übernahmen erfolgreich die Kontrolle über fremde Netzwerke. Die Lücke sei noch nicht behoben und betreffe den Großteil der Geräte, sagten Tobias Zillner und Sebastian Strobl von der IT-Sicherheitsfirma Cognosec am Freitag vor Journalisten in Wien.
Schwachstelle ist der weitverbreitete Übertragungsstandard ZigBee. Er wird hauptsächlich für "Smart Homes", also für das sogenannte intelligente Zuhause, verwendet. IT-Konzerne wie Samsung, Philips, Motorola oder Texas Instruments arbeiten mit ZigBee. Immer wenn ein neues Gerät erstmalig mit dem ZigBee-Netzwerk verbunden wird, könne das Passwort, der Netzwerkschlüssel, von Hackern abgefangen werden, warnt Zillner. Cognosec präsentierte den Exploit erstmals vor einer Woche auf der Hacker-Konferenz "Black Hat" in Las Vegas.
Passwörter für Glühbirnen schwierig zu vergeben
Die ZigBee Alliance, die den Standard vorantreibt, ist sich der Sicherheitslücke bewusst, wie die Alliance nach Bekanntwerden des Cognosec-Hacks erklärte. Bei jeder Installation eines neuen Gerätes gebe es einen Schlüsselaustausch, der einen Bruchteil einer Sekunde dauert. Die Schwachstelle betreffe nicht nur ZigBee, sondern alle Systeme, die mit offenem Schlüsselaustausch arbeiteten.
Der offene Austausch ist für die ZigBee-Allianz der einfachste Weg, Smart-Home-Geräte miteinander zu verbinden. "Es ist sehr schwer, ein 16-stelliges Passwort in eine Glühbirne ohne Tastatur und Display einzugeben", heißt es in einer von US-Medien zitierten Stellungnahme der Hersteller. Sei eine Installationsmethode zu mühsam, würden die User die Technologie nicht anwenden.
Für Cognosec liegt das Problem tiefer. Die Hersteller würden derzeit vor allem darauf setzen, Marktanteile zu gewinnen. Für die einfache Bedienbarkeit machten sie Abstriche bei der Sicherheit. ZigBee-Netzwerke erst später besser vor Hackern zu schützen, sei aber ein Fehler, so Zillner.
Lange Lebenszeit der Geräte als Hindernis
Haushaltsgeräte hätten oft eine Lebenszeit von zehn bis 20 Jahren, der ZigBee-Standard müsste also auch 2025 und später noch mit jetzt auf dem Markt befindlichen Geräten kompatibel sein. Zillner: "Es gibt zwar immer wieder neue Versionen des Standards, was sich die Hersteller aber alle nicht trauen ist, die alten Geräte auszuschließen."
Laut Zillner würde es der Standard ermöglichen, ZigBee-Netzwerke vor Angriffen von außen besser zu schützen. So könnte jedem Gerät ein eigener Schlüssel zugewiesen werden. Dadurch wäre es für Hacker schwieriger, beispielsweise über die Glühbirne auch auf die Klimaanlage oder gar das Türschloss zuzugreifen.
Neue Lücken entdeckt
Die Schwachstelle beim Schlüsselaustausch ist nicht die einzige Lücke, die Cognosec bei ZigBee gefunden hat. Erst kürzlich habe man ein neues Sicherheitsproblem entdeckt. Derzeit würden die Hersteller und die ZigBee Alliance darüber informiert. Erst nach einer Schonfrist von drei Monaten werde man den Hack öffentlich machen, kündigte Strobl an.
Die Elektronikbranche setzt große Hoffnungen auf Haushaltstechnik, die sich via Internet aus der Ferne steuern lässt. Ziel ist es, etwa Kühlschrank, Waschmaschine, Herd und Heizung elektronisch zu verbinden und vom Smartphone unterwegs bedienen zu können.
Das sogenannte Internet der Dinge gilt als der nächste große Trend. Nach Daten des Marktforschers Strategy Analytics wurden bereits 2013 weltweit rund 23 Mrd. Euro mit vernetzten Geräten und dazugehörigen Dienstleistungen umgesetzt. Bis 2017 soll sich dieser Markt auf mehr als 50 Mrd. Euro verdoppeln. Zillner verwies auf Prognosen, wonach 2022 jeder Haushalt 500 intelligente Geräte haben wird. Dadurch werde das Thema auch für Kriminelle interessant.
(APA)