SEC Consult Studie über Smart Home Sicherheit In Deutschland – Ein erster Silberstreif am Horizont des IoT?

22.04.2016 vulnerability

Intelligente Heimsteuerungen, sogenannte „Smart Homes“, sind stark im Kommen und zählen zu den am schnellsten wachsenden Branchen des zukunftsträchtigen „Internet der Dinge“.

Ein anstrengender Arbeitstag neigt sich dem Ende zu. Sie kommen endlich nach Hause. Schon eine Fingerbewegung am Smartphone reicht aus, um die Alarmanlage zu deaktivieren. Sie betreten Ihr Heim. Die Temperatur ist bereits perfekt, das Licht schaltet sich automatisch beim Betreten des Wohnzimmers ein und Ihre Lieblingsmusik klingt sanft durch den Raum…

Das klingt doch gar nicht schlecht, oder?

Neben zahlreichen Vorteilen und spannenden Neuerungen bringt diese Technologie auch Gefahren mit sich. Smart Home Systeme erzeugen eine direkte Verbindung zwischen der virtuellen Welt und unserem realen Leben. Dadurch haben sowohl ihre Vorteile als auch ihre Gefahren direkten Einfluss auf unser Leben.

Doch woraus besteht eigentlich ein solches Smart Home System?

Im Grunde sind die meisten Smart Home Systeme sehr ähnlich aufgebaut: Auf unterster Ebene befinden sich Sensoren, die Gegebenheiten wie Temperatur, Wind, den Zustand eines Fensters etc. messen, und Aktoren, um diese Gegebenheiten zu beeinflussen bzw. Geräte zu steuern. Diese Sensoren und Aktoren sind meist mit einer lokalen Zentrale verbunden, die die einzelnen Geräte miteinander verknüpft. Darüber hinaus benötigt man auch eine Möglichkeit all dies zu steuern. Das geschieht aktuell am häufigsten über einen Web-Browser oder eine Smartphone-App. Bei zahlreichen Produkten verschiedenster Hersteller verbindet sich die App zudem mit einem Cloud-Dienst, der in weiterer Folge direkt mit der Zentrale zuhause kommuniziert. [1]

Sowohl aus technologischer als auch aus Sicherheitsperspektive lässt sich ein solches System in zwei Ebenen unterteilen: Einerseits die lokale Kommunikation zwischen Zentrale und ihren Aktoren und Sensoren, andererseits die Fernkommunikation zwischen Zentrale, Cloud und Steuerungsclient.

Spricht man von Smart Home Security, so steht meist die lokale Kommunikation im Fokus der Betrachtung. Dies ist auch naheliegend, da dieser Bereich eine Vielzahl an neuen Kommunikationsprotokollen und Technologien bietet. In den vergangenen Jahren konnten einige Forscher bereits nachweisen, dass hier sicherheitstechnisch enormer Aufholbedarf besteht. [2] [3] [4] [5]

Neben der lokalen Kommunikation ist es aber auch außerordentlich wichtig, die Fernkommunikation von Smart Home Systemen näher zu analysieren. Vor allem, da es genau diese ist, über die man auch, wie der Name bereits suggeriert, aus der Ferne mit dem System interagieren kann. In diesem Bereich tummeln sich verschiedenste Arten von Web-Technologien – und mit ihnen kommen auch die guten alten, traditionellen Web-Schwachstellen. So zeigte SEC Consult bereits in Advisories zu Smart Home Produkten, dass es unabhängig von der lokalen Sicherheit eines Smart Home Systems möglich ist, über Schwachstellen in der Fernkommunikationsebene beliebige Geräte in einem intelligenten Haushalt fernzusteuern. [6] [7]

Aus diesem Grund haben die Experten des SEC Consult Vulnerability Labs die Fernkommunikationsebene von Smart Home Produkten weiterer Hersteller unter die Lupe genommen. Hierfür wurden gemeinsam mit dem führenden deutschen Wirtschaftsmagazin WirtschaftsWoche sechs Produkte – fünf aus Deutschland und eines aus der Schweiz – ausgewählt und deren Sicherheit im Rahmen eines limitierten Security Crash-Tests überprüft. Drei dieser Produkte, Gigaset Elements, RWE Smart Home und Qivicon, wurden bereits bei einem früheren Test der WirtschaftsWoche in Kooperation mit AV-Test überprüft [8]. Genau diese Produkte schnitten auch bei den Tests des SEC Consult Vulnerability Labs am besten ab.

Dies legt den Schluss nahe, dass wiederholte Sicherheitsüberprüfungen wesentlich zur Steigerung der Produktsicherheit beitragen!

Ebenso gut schnitt das neue System von eQ-3, Homematic IP, ab. Während das Vorgängersystem Homematic auf lokaler Kommunikationsebene bereits vor einigen Jahren heftige Kritik einstecken musste, präsentiert sich das neue Homematic IP zumindest auf Fernkommunikationsebene solide.

Übersicht der Schwachstellengrafik - SEC Consult — Übersicht der von SEC Consult identifizierten Schwachstellen auf Fernkommunikationsebene. Durch eine schwere Schwachstelle auf einer hohen Ebene können die darunterliegenden Ebenen ebenfalls als kompromittiert angesehen werden.

Schwachstellen wurden hingegen im deutsch-schweizerischen Produkt Digitalstrom während des Testzeitraums in Q4/2015 identifiziert [9]. Dieses ist von Cross-Site Scripting und Cross-Site Request Forgery – sehr häufigen, traditionellen Web-Schwachstellen [10] – betroffen. Diese Schwachstellen erlauben es einem Angreifer, beliebige Geräte eines Haushaltes fernzusteuern und im schlimmsten Fall sogar die komplette Anlage zu übernehmen. Hierbei ist anzumerken, dass sich diese Schwachstellen im sogenannten „digitalSTROM-Konfigurator“, einer lokal und optional auch aus der Ferne erreichbaren Steuerungsoberfläche, befinden. Die weiteren Cloudangebote von Digitalstrom wurden im Zuge dieses limitierten Security Crash-Tests nicht untersucht. Einen weiteren Kritikpunkt liefert der deutsche Hersteller Devolo, dessen Smartphone-App Benutzername und Passwort seines Besitzers im Klartext auf dem Telefon speichert [11]. Bei Diebstahl oder Verlust kann ein Angreifer unter Umständen die Anmeldedaten des Benutzers stehlen und das Smart Home System vollständig mit allen Rechten des Besitzers übernehmen.

Obwohl die lokale Kommunikationsebene bei keinem der sechs Produkte technisch verifiziert wurde, da sie nicht im Fokus dieser Tests stand, muss dennoch bei den Produkten von Digitalstrom und Devolo etwas angemerkt werden, das den Experten während der gesamten Testphase negativ aufgefallen ist:

Das Digitalstrom-eigene lokale Kommunikationsprotokoll ist laut Herstellerangaben vollständig ungeschützt [12]. Da es sich um ein kabelgebundenes Protokoll handelt, ist die Sicherheit rein vom physischen Zugriffsschutz abhängig. Einem Angreifer wäre es somit potenziell möglich, Schaden über das ungeschützte Datenkommunikationsprotokoll anzurichten.

Devolo hingegen setzt neben dem Powerline-Protokoll dLan auch den Funkstandard Z-Wave zur kabellosen Kommunikation mit Sensoren und Aktoren ein. Bei Betrachtung des verbauten Z-Wave Chips des Raumthermostats fiel jedoch auf, dass es sich hierbei um ein veraltetes Modell der Serie 300 (ZW0301) handelt, das über keinerlei Sicherheitsmechanismen verfügt [13]. Die Funkkommunikation zwischen der Zentrale und dem Thermostat ist somit vor Angriffen vollkommen ungeschützt.

Geht ein Angreifer einen Schritt tiefer in der Analyse von Smart Home Geräten, gelangt man an den Punkt, an dem die Firmware der Geräte analysiert werden muss. Als Firmware wird das Bindeglied zwischen Hard- und Software eines Gerätes bezeichnet. Durch bestimmte Techniken in der Hardwarearchitektur ist es möglich, den Zugriff auf die Firmware zu erschweren, um eine Analyse schwieriger und aufwändiger zu gestalten. Im Zuge des durchgeführten Security Crash-Tests wurde auch diese Ebene stichprobenartig überprüft, wobei deutliche Qualitätsunterschiede zwischen den Herstellern erkennbar waren. So ist es bei RWE für einen Angreifer ein Leichtes, die Firmware zu extrahieren und darin nach Schwachstellen zu suchen. Wohingegen die meisten anderen Hersteller dem Angreifer schon deutlich mehr Steine in den Weg legen. Die Extraktion ist aber immer noch mit überschaubarem Aufwand möglich. Lediglich das Testgerät von eQ-3, Homematic IP, erschwert einem Angreifer die Analyse durch diverse Hardware-Schutzmechanismen deutlich.

Gelangt ein Angreifer in den Besitz der Firmware, so kann er diese auf mögliche Schwachstellen untersuchen. Im Zuge einer Kurzüberprüfung zeigte sich, dass bei Gigaset, RWE und Devolo veraltete Software auf den Geräten zum Einsatz kommt, für die teilweise öffentlich bekannte Schwachstellen existieren. Zwar sind diese unter aktuellen Umständen nicht ohne Weiteres von einem Angreifer ausnutzbar, jedoch reicht beispielsweise im Fall von Devolo bereits eine bestimmte Änderung der Firmware-Konfiguration aus und das Gerät könnte potentiell vollständig durch einen Angreifer kompromittiert werden. Das grundlegende Problem hierbei liegt in der unzureichenden Sicherheitsüberprüfung zugekaufter hardwarenaher Softwarekomponenten durch die Hersteller. Die Basis der Firmware wird in den meisten Fällen von Drittanbietern zugekauft, deren Sicherheit wird jedoch nicht ausreichend sichergestellt.

Zusammenfassend lässt sich festhalten, dass der Großteil der aktuell überprüften Hersteller bereits aufgrund von früheren, systematischen Sicherheitstests die Qualität in Bezug auf sichere Software erhöht hat. Sind die Sicherheitstests jedoch nicht ausreichend oder fehlen gänzlich, tauchen klassische und bereits seit Jahren bekannte Schwachstellen auch in kritischen Smart Home Produkten auf.

Unterschiede bei den jeweiligen Sicherheitslevels diverser Smart Home Produkte sind für Endverbraucher somit aber nur durch professionelle Sicherheitstests erkennbar. Die Frage bleibt jedoch offen, warum Hersteller nicht ausreichend in Sicherheitstests investieren, bevor die Produkte auf den Markt kommen. Auch der deutsche Innenminister Thomas de Maizière denkt über Produkthaftung und Schadensersatzansprüche gegen die digitale Sorglosigkeit der Hersteller nach [14].

Traditionelle (Web-)Schwachstellen in Smart Home Systemen gehören also noch längst nicht der Vergangenheit an, sondern sind nach wie vor eine reale Gefährdung für das intelligente Zuhause.