Diesen Gastbeitrag aus dem Digital Society Report schreibt Felix Walker:

Ganz so smart, wie sie sein sollten, sind die Smart Homes wohl noch nicht. Jedenfalls macht es das schnell wachsende Internet der Dinge möglich, dass in einem Smart Home jede Menge von Geräten mit wichtiger Infrastruktur vernetzt sind und deshalb durchs Internet, zum Beispiel vom Smartphone aus, gesteuert werden können. Das Problem ist nur, dass diese Steuerung in fremde Hände fallen könnte.

Es fängt schon bei der Haustür an: Sogenannte schlaue Türschlösser oder Smart Locks sollen zu mehr Komfort und zu mehr Sicherheit führen. So weit sind wir aber leider noch nicht; scheinbar ist man mit einem ganz gewöhnlichen Sicherheitsschloss noch um einiges sicherer, als mit dem digitalen Gegenstück, wie die Computerwoche zu berichten weiss:

Ben Ramsey und Anthony Rose von Merculite Security haben 16 Smartlocks verschiedener Hersteller unter die Lupe genommen, darunter Produkte von Ceomate, Elecycle, iBlulock, Mesh Motion, Okidokey, Plantraco, Quicklock und Vians. Von 16 Schlössern konnten die beiden Experten zwölf Exemplare knacken beziehungsweise hacken. In einigen Fällen war dazu nicht einmal besonderer Aufwand nötig. Die gravierendste Entdeckung der Spezialisten: Vier Smartlocks tauschten Passwörter ohne Verschlüsselung mit der korrespondierenden Smartphone-App aus. Hier von einem “No-Go” zu sprechen, wäre fast schon eine Untertreibung. Jedenfalls konnten die beiden Security-Fachmänner so die Smartlock-Passwörter ganz einfach mit einem Open-Source-Bluetooth-Sniffer abgreifen.

“Zahle fünf Bitcoins, oder …”

Schlösser sind natürlich wichtig, bei weitem aber nicht der einzige Angriffspunkt, den Smart Homes bieten. Ein unerlaubter Zugriff auf Ihren smarten Thermostaten ist durchaus möglich und könnte dazu führen, dass sie im Winter in der guten Stube frösteln. Zwei Sicherheitsforscher einer britischen Firma haben das Szenario an der Hackerkonferenz DEF CON in Las Vegas noch etwas mehr ausgemalt:

Zahle fünf Bitcoins, sonst bleibt deine Heizung kalt, deine Garage verschlossen und deine Jalousien werden den ganzen Tag rauf- und wieder runterfahren. Das passiert, wenn jemand auf die Idee kommt, zwei aktuelle technische Entwicklungen zu kombinieren: Vernetzte Haushaltsgeräte und Ransomware. […] Kurz vor Beginn der DEF CON fanden [die beiden Forscher] eine Schwachstelle in einem bestimmten Thermostat. Die konnten sie ausnutzen, um beliebige Malware auf dem Gerät zum Laufen zu bringen. Zum Beispiel eine, die den Besitzer auffordert, Bitcoins an eine bestimmte Adresse zu übertragen. Bis das geschehen ist, belassen die Angreifer die Haustemperatur besonders hoch oder besonders niedrig…

Ausführen statt überprüfen

Doch wo lag die Schwachstelle des Thermostaten? Handelt es sich um einen Einzelfall? Scheinbar nicht, wie auf areamobile.de nachzulesen ist:

Die entsprechende Forderung “einen Bitcoin zahlen, um die Kontrolle zurückzuerlangen” tauchte während der Demo auf dem großen LCD des Thermostats auf. Wie das Heizungsgerät gehackt wurde und von welchem Hersteller er stammt, teilten die beiden Sicherheitsforscher nicht mit. Sie wollen dem Unternehmen die Möglichkeit geben, das Problem zu beheben. Bislang blieb dafür angeblich keine Zeit, da Tierney und Munro die Lücke erst kurz vor dem Beginn der Defcon entdeckt hätten. Sie verrieten jedoch, worauf der Hack beruht: Das Gerät überprüft nicht, welche Dateien auf den internen Speicher oder die einsteckbare SD-Karte gespielt werden, und führt diese einfach aus. Der Angriff auf den mit Linux betriebenen Thermostaten zeigt, welche Gefahren im Internet der Dinge lauern. Bereits vor zwei Jahren bewies der Sicherheitsexperte David Jacoby, wie leicht sich Alltagsgeräte wie Netzwerkfestplatten, smarte Fernseher oder DSL-Router hacken lassen.


Felix Walker ist Journalist, Autor und Übersetzer. In seiner Arbeit, zu der auch der Digital Society Report gehört, befasst er sich vorwiegend mit der Digitalisierung unserer Gesellschaft. Er lebt in Novia Scotia, Kanada.