Tests: Vernetzte Haussicherheit unsicher?

Die Besitzer internetfähiger Alarm- und Überwachungsanlagen für Privathaushalte sind womöglich nicht die einzigen, die damit ihre Häuser beobachten - das legt eine Studie nahe, die HP jetzt veröffentlicht hat. Danach weisen alle untersuchten Geräte beträchtliche Schwachstellen bei Passwortsicherheit, Verschlüsselung und Authentifizierung auf.

Handytarife© kite rin / Fotolia.com
14.02.2015, 20:31 Uhr

Überwachungs-Systeme für zuhause, wie Videokameras, Bewegungsmelder und Alarmanlagen werden immer beliebter durch eine leichtere Bedienbarkeit und den wachsenden Markt des Internets der Dinge (Internet of Things, IoT). Für das Jahr 2015 prognostiziert Gartner den Einsatz von 4,9 Milliarden vernetzten Geräten. Bis zum Jahr 2020 wird sich die Zahl auf 25 Milliarden erhöhen. Eine HP-Studie belegt, dass die Entwicklung der Sicherheitsaspekte nicht mit dem hohen IoT-Wachstum mithalten kann.
Sicherheitssystem wird zum Sicherheitsrisiko
Hersteller bringen vermehrt vernetzte Haus-Sicherheitssysteme mit Fernüberwachungs-Funktionen auf den Markt. Durch die Netzwerk-Verbindung und den Fernzugriff entstehen allerdings neue Sicherheitsrisiken. Diese gibt es bei älteren Geräten ohne Internetverbindung nicht.
  Vernetztes Haus: 1 Million Smart Homes bis 2020
HP hat zehn Produkte aus dem Bereich Haussicherheit und Alarmanlagen einschließlich der entsprechenden Cloud- und Mobile-Anwendungskomponenten getestet. Das Ergebnis ist, dass keines der Systeme ein sicheres Passwort verlangt oder eine Zwei-Faktor-Authentifizierung erfordert.
Laut Studie zählen die folgenden Aspekte zu den häufigsten Sicherheitsproblemen, die sich einfach beheben lassen:

  • Unzureichende Autorisierung: Keines der Systeme mit Cloud-basierten Web-Schnittstellen und mobilen Schnittstellen verlangte ein langes oder komplexes Passwort. Die meisten erforderten lediglich ein alphanumerisches Passwort mit einer Länge von sechs Zeichen. Bei keinem System wurde der Account nach einer bestimmten Anzahl von fehlgeschlagenen Log-in-Versuchen automatisch gesperrt.
  • Unsichere Internet-Schnittstellen: Alle Cloud-basierten Schnittstellen im Test hatten Sicherheitslücken. Sie bieten Hackern eine Angriffsfläche durch drei typische Fehler - mehrere Benutzerkonten, schwache Passworteinstellungen und einen fehlenden Log-out. Fünf von zehn der getesteten Systeme wiesen vergleichbare Probleme bei ihren mobilen Anwendungen auf.
  • Ungenügender Datenschutz: Alle getesteten Systeme sammeln persönlichen Daten wie Name, Adresse, Geburtsdatum, Telefonnummer und sogar Kreditkartennummern. Zusätzlich zeichnen viele Heimsicherheitsanlagen Videodaten auf, die über mobile Applikationen oder die Cloud zugänglich sind. Die privaten Accounts sind für Cyber-Kriminelle leicht zugänglich.
  • Mangelnde Verschlüsselung beim Transport der Daten: Während in den Systemen bereits eine SSL- oder TLS-Verschlüsselung vorhanden ist, verbleiben Sicherlücken beim Transport der Daten über die Cloud. Dies ermöglicht Cyber-Kriminellen beispielsweise Angriffe wie sogenannte "POODLE Attacks".

Die Hersteller von vernetzten Haussicherheits-Systemen fordert HP auf, dringend benötigte Sicherheitsmaßnahmen zu entwickeln und Sicherheitslösungen zur Verfügung zu stellen. Zeitgleich liege es aber auch in der Verantwortung der Verbraucher, ein Überwachungssystem auszusuchen, das die höchstmögliche Sicherheit biete und dieses richtig zu installieren. Dazu zählt die Implementierung eines sicheren Heimnetzwerks, bevor intelligente IT-Geräte hinzugefügt werden. Auch die Einführung komplexer Passwörter, die Möglichkeit der Konto-Sperrung sowie die Zwei-Faktor-Authentifizierung seien Maßnahmen, die den Verbraucher und seine Daten im Umgang mit dem Internet der Dinge und beim Anwenden IoT-Produkten schützen.
Zur Methode
Innerhalb der Studie wurden die zehn am häufigsten verwendeten digitalen Produkte für Heimsicherheitsanlagen auf ihre Schwachstellen getestet. Hierbei wurden manuelle Tests mit automatisch durchgeführten Tests kombiniert.
(Bild: VDE)