slider

Smart Home Sicherheit - Prof. Dr. Norbert Pohlmann

Smart Home Sicherheit

Smart Home Sicherheit - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Wie sicher ist Smart Home?


Smart Home ist der Obergriff für die Ausgestaltung von Wohnräumen, in denen Haushalts- und Multimedia-Geräte interagieren und intelligent gesteuert werden, um insgesamt die Wohn- und Lebensqualität zu erhöhen, aber ebenso die Sicherheit sowie die Effizienz der Energienutzung zu verbessern. Durch die Smart Home-Technologie werden Alltagsvorgänge automatisiert und Smart Home-Geräteeinstellungen, zum Beispiel von Heizung, Licht und Lautsprechern per Smartphone problemlos von zu Hause, aber auch von unterwegs an die persönlichen Bedürfnisse angepasst. Die Steuerung über Sprachbefehle oder Handzeichen gewinnt bei Smart Home zunehmend an Bedeutung.

Lösungsvarianten von Smart Home-Systemen

Bei Smart Home-Systemen gibt es viele diverse Lösungsvarianten. Grundsätzlich gilt, dass ein Smart Home-System dann besonders effizient und komfortabel ist, wenn möglichst alle Smart Home-Gegenstände miteinander verknüpft sind, die Smart Home-Infrastruktur also nachvollziehbare Mehrwerte schafft. Im Rahmen der Umsetzung gibt es generell die nachfolgend aufgeführten Ansätze:

Offene Lösung von Smart Home-Systeme
Offene Smart Home-Systeme haben einen Standard, der von verschiedenen Anbietern für Smart Home-Lösungen unterstützt wird. Somit können verschiedene Smart Home-Anwendungen von unterschiedlichen Herstellern miteinander kombiniert und ergänzt werden. Dadurch lassen sich mehrere parallel operierende Insellösungen vermeiden, die mit jeweils unterschiedlichen Apps bedient werden müssen. Offene Smart Home-Systeme sind flexibel, vielfältig und zukunftsorientiert. Digitale Assistenten wie Alexa sind ein Beispiel für offene Systeme.

Geschlossene / System-gebundene Lösung von Smart Home-Systeme
Geschlossene oder System-gebundene Smart Home-Systeme sind nicht kompatibel mit den Smart Home-Lösungen anderer Anbieter. Wenn es von einem Anbieter keine technische Lösung für eine bestimmte Anforderung gibt, kann nicht auf die Anwendung eines anderen Herstellers zurückgegriffen werden. Daher können in der Regel nur die Anwendungen von einem einzigen Hersteller genutzt werden. Bei der Nutzung einer geschlossenen Lösung ist die Auswahl der Smart Home-Geräte zwar eingeschränkt, dafür agieren sie perfekt miteinander. In der Regel sind geschlossene Lösungen eher kabelgebunden und weder sehr flexibel noch vielfältig. Bei geschlossenen Smart Home-Lösungen kann das Management eher auch nur von zuhause ohne ein Internetverbindung umgesetzt werden, was prinzipiell eine höhere Sicherheit erzielen kann.

Beispiele von Angriffsvektoren bei Smart-Home

  • Einbruchsmöglichkeiten
    Die Einbrecher kommen zukünftig nicht mehr mit der Brechstange, sondern hacken sich in das Smart Home-System ein. Dies bietet neue Möglichkeiten: Zuerst lassen sich darüber vorab problemlos die Rahmenbedingungen analysieren, indem mittels der so kompromittierten Videokamera ausgekundschaftet wird, wo die Wertgegenstände versteckt sind, wann die Bewohner in der Regel nicht zu Hause sind und welche Verhaltensweisen sie typischerweise haben. Eventuell ist es darüber sogar möglich Nutzernamen und Passwörter von wichtigen Internet-Diensten (Einkaufen, Online-Banking, …) oder Unternehmensdaten auszuspähen.
    Der so vorbereitete Kriminelle kann dann den idealen Zeitraum für einen erfolgversprechenden Einbruch wählen, indem er sicherstellt, dass tatsächlich niemand zu Hause ist.
    Das Öffnen der Tür über die gehackte Smart Home-Infrastruktur (Cloud) ist dann ebenso potenziell möglich. Der eigentliche Einbruch mit dem Diebstahl der Werte kann dann risikoärmer, zielgerichteter und erfolgreicher durchgeführt werden.
Smart Home-Infrastruktur-Angriff - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
  • Manipulationsmöglichkeiten von Alexa
    In mehreren Fällen ist es bereits vorgekommen, dass Alexa sich angesprochen fühlt, obwohl der Nutzer dies nicht beabsichtigt hatte. Dies liegt zum einen an den hervorragenden Mikrofonen sowie der entsprechenden Spracherkennung und zum anderen an dem Umstand, dass Alexa eher auf uneindeutige Ansprachen reagiert, als einen Befehl zu ignorieren. Hinzu kommt, dass es möglich ist, Alexa auch auf eine größere Distanz, zum Beispiel von außen durch ein Fenster, Befehle zu geben. Dies ermöglicht somit Einbrechern zum Beispiel Haustüren zu öffnen oder Jalousien hochfahren zu lassen, wenn diese Smart Home-Anwendungen vorhanden sind. Aus diesem Grund muss darauf geachtet werden, dass Alexa stets ausgeschaltet ist, wenn niemand zu Hause ist. Siehe Bild, rechts oben.
Light Command-Angriff - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
  1. „Light Command“-Angriff
    Sprachbefehle an Alexa und Co. müssen nicht unbedingt per Sprache übertragen werden. US-Forscher haben aufgezeigt, wie mithilfe eines Lasers aus bis zu 110 Metern Entfernung Alexa und Co. sich von außen steuern lassen. Ebenfalls mit einem Laser lässt sich die Membran eines Mikrofons zum Schwingen bringen, mit den Schwingungen können Töne bis hin zu Sprachbefehlen erzeugt werden. Mit diesen, für Menschen nicht hörbaren Sprachbefehlen, können die digitalen Sprachassistenten im Sinne eines Angreifers manipuliert werden. Siehe Bild, links unten.
  2. Unsichere Smart Home-Gegenstände
    Die Hersteller von Smart Home-Gegenständen, etwa Videokameras, stellen teilweise immer noch IT-Technologie zur Verfügung, die bei Weitem nicht die Cyber-Sicherheitsanforderungen – den Stand der Technik – erfüllen. Wenn einfache Videokameras über das Internet gehackt werden können, ist das vordergründig ein Problem des jeweiligen Anwenders, denn Angreifer können über entsprechende Schwachstellen Einblicke seiner Wohnräume erhalten. Das verletzt erst einmal die Persönlichkeitsrechte des Bewohners und erhöht die Wahrscheinlichkeit eines Einbruches, wenn dieser nicht zu Hause ist.
    Ein weitaus größeres Problem für alle anderen ist jedoch ein anderes: Angreifer haben sehr viele Videokameras und weitere Smart Home-Gegenstände, die mit dem Internet verbunden sind, wie Drucker, Föne oder Kaffeemaschinen fremdgenutzt, um die Infrastruktur des Internets insgesamt erfolgreich mithilfe von DDoS bis zu 1,5 Terabit/s anzugreifen. Dadurch wird das Internet sehr verletzlich, ist nicht mehr verlässlich und gefährdet somit die Digitalisierung.
    Aus diesem Grund müssen die Smart Home-Gegenstände, -Infrastruktur und -Bediengeräte sicher und vertrauenswürdig realisiert werden, damit diese nicht von außen angreifbar sind und dabei zu helfen, unsere Gesellschaft angemessen zu schützen.
  3. Angriff auf die Privatsphäre der Bewohner
    Der direkte Angriff auf ein Mikrofon oder eine Kamera ermöglicht unmittelbar ein Eingreifen in die Privatsphäre der Bewohner. Der Angreifer kann aus der Ferne unerlaubt jedes Wort hören oder jede Bewegung sehen. Da immer mehr Kameras in den Smart Home-Gegenständen, wie Kühlschlank, Roboter oder Smart TV integriert sind, werden die Kameras zu einem immer größeren Risiko, unsere Privatsphäre zu stören.
    Unerlaubter Zugriff auf die Smart Home-Gegenstände, -Infrastruktur und -Bediengeräte, um an die Daten, mit denen ein Bewegungsprofil erstellt werden kann, zu gelangen.
    Beispiele sind:
    • Stromverbrauch:
      Der Stromverbrauch kann analysiert und dadurch das Verhalten der Bewohner ausgewertet werden. Wann schaltet er das Licht an, föhnt sich, kocht, wäscht, guckt Fernsehen, hört Musik – all das kann über den Stromverbrauch identifiziert und analysiert werden.
    • Jalousien:
      Die Daten über die Zeiten, wann Jalousien hoch- und runtergefahren werden, geben Informationen darüber, wie der Tagesablauf eines Bewohners aussieht.
    • Wasser-, Gas-, Internet-, … -verbrauchswerte:
      Auch diese Informationen können genutzt werden, um die Aktivitäten der Bewohner zu beobachten. Wann geht jemand auf die Toilette, macht Kaffee (über den Wasserverbrauch), dreht die Heizung an, surft im Internet usw. 
    • Heizkurve:
      Auch die Heizkurve gibt Aufschluss darüber, wie die Gewohnheiten eines Bewohners sind.
    • Zugriff auf Terminkalender:
      Hier kann leicht festgestellt werden, wann der Bewohner sein Haus, seine Wohnung verlässt, um einen Termin anderswo wahrzunehmen.
      In diesem Bereich ist es besonders wichtig, dass alle Parteien dafür sorgen, dass so wenig wie möglich personenbezogene Daten generiert, verarbeitet und gespeichert werden. Außerdem müssen Smart Home-Gegenstände, -Infrastruktur und -Bediengeräte gegen den unerlaubten Zugriff durch Angreifer nach dem Stand der Technik im Bereich der IT-Sicherheit geschützt werden.
  4. Der Verlust von Vertrauen
    Da die Bewohner in der Regel nicht in der Lage sind, die IT-Sicherheit von Smart Home-Gegenständen, -Infrastruktur und -Bediengeräten zu überprüfen, müssen Mechanismen wie Reputationssysteme und Evaluierung/Zertifizierung für die Vertrauensbildung aufgebaut und umgesetzt werden, damit eine nachhaltige Akzeptanz von Smart Home-Anwendungen zu erreichen ist.
  5. Wie ist die Akzeptanz von Smart Home-Anwendungen?
    Die Angebote, die wir im Bereich Smart Home sehen, stellen im Prinzip Mehrwerte zur Verfügung. Ob diese jedoch tatsächlich von der Bevölkerung akzeptiert werden, ist nicht grundsätzlich anzunehmen. Denn fraglich ist, ob ältere Menschen zukünftig von Robotern gepflegt werden wollen oder nicht eher weiterhin menschliche PflegerInnen bevorzugen, um ihr Bedürfnis nach sozialen Kontakten zu erfüllen. Inwieweit die vielen Kameras in den Smart Home-Gegenständen mittel und langfristig von allen akzeptiert werden, ist bei dem heutigen Level der realen IT-Sicherheit unklar, wenn die Privatsphäre auf dem Spiel steht. Aber auch, ob wir wirklich wollen, dass unsere Kühlschränke eigenständig Ware nachbestellen, muss sich noch zeigen. Das Bedürfnis, mal etwas anderes einzukaufen, macht das Leben vielfältig und zeigt uns, dass wir eine freie Wahl haben.


Weitere Informationen zum Begriff “Smart Home Sicherheit”:


Vorlesungen: „Lehrbuches Cyber-Sicherheit“

Artikel:
Chancen und Risiken von Smart Home – Artikel


Wertschöpfung der Digitalisierung sichern – Vier Cybersicherheitsstrategien für den erfolgreichen Wandel in der IT“

IT-Sicherheit im Lauf der Zeit

Das Manifest zur IT-Sicherheit – Erklärung von Zielen und Absichten zur Erreichung einer angemessenen Risikolage in der IT“

Strafverfolgung darf die IT-Sicherheit im Internet nicht schwächen

Wie wirtschaftlich sind IT-Sicherheitsmaßnahmen

Risikobasierte und adaptive Authentifizierung

Eine vertrauenswürdige Zusammenarbeit mit Hilfe der Blockchain-Technologie

Künstliche Intelligenz und Cybersicherheit – Unausgegoren aber notwendig“

Vertrauen – ein elementarer Aspekt der digitalen Zukunft

Eine Diskussion über Trusted Computing – Sicherheitsgewinn durch vertrauenswürdige IT-Systeme“

Ideales Internet-Frühwarnsystem

Bedrohungen und Herausforderungen des E-Mail-Dienstes – Die Sicherheitsrisiken des E-Mail-Dienstes im Internet“

Vortrag: “Chancen und Risiken von Smart Home – Vortrag

Bücher:

Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
Smart Home Sicherheit - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
Smart Home Sicherheit Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten