Laut Marktforscher Navigant Research soll das Marktvolumen für Gebäude- und Heimautomation weltweit von 2016 bis 2025 um rund 52 Prozent auf 102 Milliarden US-Dollar steigen. Von diesem Wachstumsmarkt profitieren Unternehmen und Verbraucher deutlich: So können sie beispielsweise durch eine intelligente Heizungssteuerung Energie und damit Geld einsparen, durch eine intelligente Lichtsteuerung den Komfort erhöhen und sich durch Anwesenheitssimulationen vor Einbrechern schützen.
Die Automatisierung ist aber nur durch die hochgradige Vernetzung verschiedener Sensoren, Aktoren, Bedienelemente, Verbraucher und anderer technischer Einheiten möglich, die wiederum an das Internet angeschlossen sind. Die Automatisierung ist also ein Teil des Internet of Things (IoT) mit all seinen Vorzügen und Problemen.
Das größte Problem des IoT ist die Sicherheit, wie der DDoS-Angriff auf den Security-Blogger Brian Krebs im September 2016 zeigte. Laut dem CDN-Betreiber Akamai wurde der Angriff, der 665 GBit/s in der Spitze erreichte, von einem Botnetz ausgeführt, dass aus mehr als einer Million IoT-Geräte bestand - darunter allem Anschein nach auch mit dem Internet verbundene Sicherheitskameras darunter gewesen. Darüber hinaus wurde auch der DNS-Provider Dyn mit Hilfe eines IoT-Botnetzes angegriffen. Eine Folge: Etliche populäre Services wie Netflix, Twitter, Spotify oder Airbnb waren nicht mehr erreichbar.
Internet der Dinge: Hacker haben leichtes Spiel
Wie einfach solche Angriffe realisierbar sind, zeigte eine Sicherheitslücke bei Heizungsanlagen, die mit dem Internet verbunden waren und sowohl von den Eigentümern als auch vom Servicepersonal des Heizungsbauers ferngesteuert werden konnten. Leider ließ sich über das entsprechende Web-Interface relativ leicht auf die hinterlegten Passwörter zugreifen - im Klartext-Format. Der Hersteller reagierte nach Bekanntwerden des Lecks sofort mit der drastischen Empfehlung: "Lieber Kunde, bitte den Netzwerkstecker ziehen!"
Dieses Beispiel zeigt, dass beim Thema IoT-Sicherheit durchaus noch etliches im Argen liegt. Hier sind natürlich zunächst die Hersteller und Lösungsanbieter gefordert. Und es tut sich bereits einiges: Etliche Organisationen beschäftigen sich inzwischen intensiv mit Standards und Security-Modellen für das Internet of Things, zum Beispiel das Industrial Internet Consortium oder die Open Connectivity Foundation, die 2014 unter anderem von Broadcom, Dell, Intel und Samsung gegründet wurde.
Heimautomatisierung: So sorgen Sie für Security
Ein zentrales Problem ist, dass die internetfähigen Geräte in den Haushalten keine - oder nur unregelmäßige - Updates erhalten. Problematisch ist auch, dass sich im Hinblick auf das Internet der Dinge bisher keine übergreifenden Standards etabliert haben. Bei der drahtlosen Vernetzung der Geräte werden zum Beispiel nach wie vor unterschiedliche Übertragungsverfahren genutzt. An dieser Vielfalt wird sich in absehbarer Zeit nichts ändern, auch wenn es branchenweit Standardisierungsbestrebungen gibt.
Verbreitete Kommunikationsprotokolle sind heute ZigBee oder Z-Wave. Dass diese eine hohe Sicherheit bieten, ist allerdings ein Trugschluss. Das hat sich wieder einmal Ende 2015 gezeigt, als eine ZigBee-Variante geknackt wurde. Genutzt wurde dabei ein öffentlich bekannter, asymmetrischer Schlüssel, der bei der Neuanmeldung eines ZigBee-Gerätes in einem Netz benötigt wird. Ob ein derartiges Verfahren heute noch zeitgemäß ist, sei dahingestellt.
Bedeuten diese potenziellen Sicherheitslücken nun im Umkehrschluss, dass der Verbraucher überhaupt nichts tun kann? Natürlich nicht. Er ist durchaus gefordert und muss selbst einige Sicherheitsmaßnahmen ergreifen. Ganz allgemein gibt es für einen IoT-Anwender drei Handlungsempfehlungen:
1. Der Verbraucher muss sich bewusst sein, dass Sicherheitsrisiken bestehen. Diese Awareness ist nach wie vor nicht sonderlich ausgeprägt.
2. Er muss grundlegende Sicherheitsempfehlungen beachten und aktiv werden, etwa bei der Änderung der Default-Passwörter von Systemen und Devices.
3. Er muss alle genutzten Systeme auf dem aktuellen Stand halten und - soweit möglich - für das regelmäßige Einspielen von Updates sorgen.
Der Anwender muss vor allem Maßnahmen bei der Sicherung der Außenkommunikation ergreifen. Hier gibt es Standards, Best Practices und auch klar definierte Sicherheitsverfahren. Doch auch bei deren Nutzung hapert es noch. Das zeigt sich schon an der Schnittstelle zum Internet: dem Router. Die Standard-Passwörter der Geräte werden nämlich in der Praxis oft nicht geändert. Dadurch ergibt sich schon die erste Sicherheitslücke. Weitere wichtige Punkte im Hinblick auf die Sicherung des Heimnetzes sind strikte Firewall-Einstellungen: Es muss klar festgelegt werden, wer worauf Zugriff erhält. Alle Datenübertragungen müssen zudem lückenlos verschlüsselt erfolgen - und zwar sowohl intern als auch extern.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Smart-Home-Sicherheit: Bei Bedarf Expertenwissen nutzen
Aber der Verbraucher hat durchaus noch weitreichendere Möglichkeiten, die IoT-Entwicklung in Richtung mehr Sicherheit zu beeinflussen. So sollte er bereits bei der Auswahl von Lösungs- und Serviceanbietern ein hohes Maß an kritischem Sachverstand an den Tag legen. Da die Heimsysteme letztlich über die externe Cloud gesteuert werden, geht es nicht nur um die technische Kompetenz des Cloud-Providers, sondern auch um das Thema Vertrauen.
Legt der Konsument künftig ein stärkeres Augenmerk auf den Bereich Sicherheit, wird das in letzter Konsequenz auch Auswirkungen auf die Lösungs- und Serviceanbieter haben. Auch sie werden dann dem Themenkomplex Sicherheit eine größere Bedeutung einräumen als in der Vergangenheit. Endverbraucher können somit auch einen Veränderungsprozess auf Anbieterseite initiieren.
Auch wenn der Anwender einige grundlegende Sicherheitsrichtlinien beachtet und seinen Dienstleister kritisch auswählt, eines darf nicht außer Acht gelassen werden: die Sicherung der heimischen Infrastruktur weist gerade auch im Hinblick auf die Anbindung einer heterogenen Gerätevielfalt eine hohe Komplexität auf. Das heißt, es kann durchaus sinnvoll sein, auf Expertenwissen zuzugreifen. Bevor ein Heimanwender also den Weg der umfassenden Vernetzung geht, sollte er sich durchaus die Frage stellen, ob es nicht ratsam ist, sich die Unterstützung eines externen Dienstleisters zu sichern. Dieser muss natürlich über entsprechende Erfahrungswerte bei der Realisierung umfangreicher Heimautomatisierungsprojekte verfügen. (fm)
Lesen Sie zum Thema auch:
IoT - Rettungsanker Regulation?