Digitale Transformation – Evolution, Innovation, Disruption

11:40 - 12:25 Uhr

Security Requirements für Home Automation Systeme (Vortragssprache: Deutsch)

Prof. Dr. Hartmut Pohl
softScheck GmbH

Security Requiremts für Home Automation Systeme - Welche Security Anforderungen von Home Automation Produkte zu erfüllen sind vs. welche Lücken in solchen Systemen häufig zu finden sind

Home Automation oder auch Smart Home ist in aller Munde. Kein Wunder, ermöglicht es doch mehr Komfort, Lebensqualität und kann sogar beim Energie sparen helfen (Smart Metering). Die Anzahl an Smart Home und Internet der Dinge Produkte wächst rasant. Um die Produkte immer weiter zu verbessern und sich gegen die wachsende Anzahl an Konkurrenzprodukten durchzusetzen, müssen die Geräte immer mehr Funktionen bieten. Dies wird oft durch mehr Sensoren sowie mehr Datenaustausch erreicht. Dadurch wächst allerdings auch die Angriffsfläche, die die Geräte bieten. Doch gerade in Punkto Sicherheit sind viele der sonst topmodernen Geräte noch nicht auf der Höhe der Zeit angelangt.

Ein großes Problem, da gerade bei Smart Home Automation die Folgen eines Hacks, aufgrund der Auswirkungen auf das echte Leben, fatal sein können. So kann es vorkommen, dass die IP-Kamera, die eigentlich den Besitzer vor Einbrechern schützen sollte, als Spionage Tool eben dieser missbraucht wird. Ein Ofen, der nach Rezept Temperatur und Heizdauer automatisch einstellt, für mehrere Stunden auf Maximaltemperatur gestellt wird und so die Wohnung abrennt. Intelligente Heizungssteuerungen, die eigentlich dafür sorgen sollen den Energieverbrauch möglichst gering zu halten, auf voller Leistung aktiviert werden wenn der Besitzer gerade im Urlaub ist und diesem so eine hohe Rechnung bescheren.

Erst vor kurzem hat die Malware Mirai Millionen Internet of Things (IoT) Geräte befallen und baute so das größte Botnetz aller Zeiten auf. Das Mirai Botnetz wurde unter anderem benutzt um Dienste wie Spotify, Amazon, Twitter und viele weitere, deren Domainnamensauflösung über den Dienstleister Dyn lief, zum Erliegen zu bringen. Die befallenen IoT Geräte waren über das Internet erreichbar und mit unveränderten Standard-Passwörtern versehen. Viele Anwender wissen gar nicht, dass ihre Geräte unsicher sind und können nichts dagegen tun. Ist es bei einem Betriebssystem Gang und Gebe, dieses regelmäßig zu aktualisieren und damit entdeckte Fehler und Sicherheitslücken zu schließen, so hat dieses Bewusstsein IoT Geräte noch nicht erreicht. Dabei läuft auf vielen Geräten ein vollwertiges Betriebssystem. Tatsächlich wären die meisten Sicherheitsprobleme gelöst, wenn sich Hersteller an einige etablierte Best Practices halten würden.

Standardpasswörter machen zwar das Leben für Service Techniker einfacher, sind allerdings ein großes Sicherheitsproblem. Besser sind durch einen starken Zufallsalgorithmus für jedes Exemplar generierte Erstpasswörter, die auf der Geräteunterseite aufgedruckt werden. Geräte sollten mit Sicherheitspatches versorgt werden können, da sonst einmal bekanntgewordene Sicherheitslücken so lange ausgenutzt werden können, wie das Gerät im Einsatz ist. Bei Smart Home sind dies, im Gegensatz zu beispielsweise Smartphones, mitunter Jahrzehnte.

Des Weiteren sollte das Prinzip der Datensparsamkeit umgesetzt werden. Für die allermeisten Geräte reicht es aus, im lokalen Netzwerk zu kommunizieren. Sie müssen nicht aus dem  Internet erreichbar sein. Sollte dies vom Nutzer erwünscht sein, da er beispielsweise von der Arbeit aus nachschauen will, ob die Heizung noch heizt, sollte dies aktivierbar sein, nicht aber die Standardeinstellung.

Welche Lücken in Home Automation Produkten zu finden sind wird im folgenden Vortrag anhand der WiFi Steckdose TP-Link HS110 gezeigt.

Prof. Dr. Hartmut Pohl, softScheck GmbH

Prof. Dr. Hartmut Pohl ist Geschäftsführender Gesellschafter der IT-Sicherheitsberatung softScheck GmbH, Köln / Sankt Augustin mit dem Fokus:

  • Taktische und strategische Sicherheitsberatung u.a. basierend auf BSI-Grundschutz, ISO 27000-Familie, COBIT, NIST SP 800, ITIL etc.
  • Sichere Software – Secure Software: Security Consulting mit dem ISO 27034 basierten Entwicklungsprozess sicherer Software und dem Security Testing Process zur Identifizierung unerkannter Sicherheitslücken (Zero-Day-Vulnerabilities):
  • Security Requirements Analysis
  • Threat Modeling
  • Static Source Code Analysis
  • Dynamic Analysis (Fuzzing)
  • Penetration Testing
  • softScheck garantiert als Prüfungspartner des TÜV Saarland alle Prüfungsergebnisse mit einem proprietären Zertifikat oder auch einem TÜV-Zertifikat für Software, Firmware, Apps und Systems, Steuerungssysteme, Webseiten, Netze etc.