Smart-Home-Sicherheit: Sicherheit und Schwachstellen

Dies ist eine Zusammenfassung eines Artikels aus einer fünfteiligen Serie über die Technologien, die das IoT ermöglichen. Der vollständige Artikel kann unter wevolver.com eingesehen werden.

Angreifbarkeit von Smart Homes

Es wird erwartet, dass die Zahl der Smart Homes weltweit bis zum nächsten Jahr auf 478,2 Millionen ansteigen wird (1). Einer der größten Reize der Smart-Home-Technologie ist die Verwendung von mit dem Internet verbundenen Geräten zur Fernsicherung der eigenen Wohnung. Obwohl Smart-Home-Sicherheitsgeräte den Schutz von Häusern vor Einbruch, Beschädigung oder Unfällen erleichtern, bergen sie auch das Risiko, die Sicherheit personenbezogener Daten zu verringern.

Ein Forschungsprojekt aus dem Jahr 2021 hat gezeigt, dass typische Smart Homes für eine große Anzahl von Datenangriffen anfällig sind. (2) Zu den gemeldeten Angriffen auf Smart Homes gehörten die Fernsteuerung von intelligenter Beleuchtung und Smart-TVs (3), das Entriegeln von IoT-fähigen Türen und das ferngesteuerte Einschalten und Streamen von Videos intelligenter Kameras. (4) In einem Fall bemerkten Eigentümer in Milwaukee erst, dass ihr Haus angegriffen worden war, als sie aufwachten, weil der Thermostat auf über 30 Grad Celsius eingestellt worden war (5).

Zwei große Schwachstellen in vernetzten Häusern machen sie anfällig für diese Angriffe: anfällige lokale Netzwerke und unzureichend geschützte IoT-Geräte.

Anfällige lokale Netzwerke

Wi-Fi kann aufgrund von Standard- oder schwachen SSIDs oder Passwörtern und anfälligen Verschlüsselungsprotokollen angreifbar sein. Mit den voreingestellten Anmeldeinformationen kann der Eindringling mühelos auf den Router zugreifen. Starke Wi-Fi-Passwörter zwingen Hacker dazu, nach schwierigeren Einfallstoren zu suchen, um in das Netzwerk einzudringen.

Sniffing und das Knacken von Verschlüsselungen sind die häufigsten Methoden, mit denen Hacker in das Netz eindringen. Beim Sniffing kapern Hacker jedes zwischen einem Gerät und einem Router übertragene Datenpaket, übertragen es auf ihr Gerät und entschlüsseln es mit roher Gewalt. In der Regel dauert es nur wenige Minuten.

Die meisten Wi-Fi-Router verwenden die Sicherheitsprotokolle WEP (Wired Equivalent Privacy), WPA (Wi-Fi Protected Access) oder WPA2. WEP ist eine RC4-Stromverschlüsselung. Die Schwachstelle von WEP ist die geringe Größe des Initialisierungsvektors (24-Bit-IV), die dazu führt, dass er wiederverwendet wird. Diese Wiederholung macht sie angreifbar.

Sicherere Optionen sind WPA und WPA2, aber Forscher haben auch hier eine schwerwiegende Schwachstelle entdeckt: KRACK, kurz für Key Reinstallation Attack im WPA. Ein Man-in-the-Middle-Angriff kann dies ausnutzen, um sensible Daten zu stehlen, die über die WPA-verschlüsselte Wi-Fi-Verbindung gesendet werden. Der Angreifer könnte den Datenverkehr abhören und an Passwörter, Bankdaten und Kreditkarteninformationen gelangen.

Unzureichend geschützte IoT-Geräte

Forscher testeten insgesamt 16 gängige Smart-Home-Geräte verschiedener Marken und fanden 54 Schwachstellen, durch die Nutzer Angriffen von Hackern ausgesetzt sind. Das Potenzial der Angriffe reicht von der Deaktivierung von Sicherheitssystemen bis zum Diebstahl personenbezogener Daten. (6) Schätzungsweise 80 % der IoT-Geräte sind für eine breite Palette von Angriffen anfällig. (7)

Smart-Home-Geräte sind anfällig für Angriffe, da es sich um Spezialgeräte handelt. Die IoT-Anbieter bieten nicht die erforderlichen speziellen Sicherheitslösungen an. Außerdem laufen auf Smart-Home-Geräten oft kleine Betriebssysteme wie INTEGRITY, Contiki, FreeRTOS und VxWorks, deren Sicherheitslösungen nicht so robust sind wie die von Windows- oder Linux-basierten Systemen. Die meisten handelsüblichen Geräte können nach ihrer Inbetriebnahme nicht aufgerüstet werden, um die Sicherheitsfunktionen gegen die sich entwickelnden Cyberangriffe zu aktualisieren.

Häufige Angriffe auf Smart-Home-Geräte

Angriffe auf Smart-Home-Geräte werden je nach Gerät und Kommunikationsprotokoll auf unterschiedliche Weise durchgeführt. Zu den gängigen Angriffsmethoden gehören:

• Datenabgriff und Identitätsdiebstahl

• Geräte-Hijacking und Spoofing

• Distributed-Denial-of-Service-Angriffe (DDoS)

• Phlashing

Absicherung von Smart-Home-Geräten nach dem Kauf

Zwar verfügen einige Geräte über integrierte Sicherheitsfunktionen, doch damit Smart-Home-Geräte gegen Angriffe gewappnet sind, müssen ihre Besitzer einige grundlegende Schutzmaßnahmen einhalten.

• Starke Passwörter verwenden

• Gast-Netzwerke einrichten

• Zwei-Faktor-Authentifizierung verwenden

• Firmware aktualisieren

• Cloud vermeiden, lokalen Speicher verwenden

• Höchste Verschlüsselungsstufe verwenden

• Firewalls verwenden

Die Rolle der IoT-Geräteentwickler:

Die Verantwortung für die Sicherheit von IoT-Geräten liegt in erster Linie bei den IoT-Geräteentwicklern. Sie müssen die notwendigen Maßnahmen ergreifen, um die Geräte sicher zu machen. Einige mögliche Maßnahmen könnten sein:

• Integration programmierbarer Hardware-Root-of-Trust (HRoT) in die IoT-Geräte. Eine HRoT ist die Grundlage für den sicheren Betrieb von elektronischen Geräten, insbesondere mit System-on-Chips (SoCs). Sie enthält die für kryptografische Funktionen verwendeten Schlüssel und ermöglicht einen sicheren Bootvorgang. Programmierbare HRoT können kontinuierlich aktualisiert werden, um einer ständig wachsenden Zahl von Bedrohungen zu begegnen. Sie führen völlig neue kryptografische Algorithmen aus und sichern Anwendungen, um gegen neue Angriffe gewappnet zu seinn.

• Einbindung von Edge Computing: Die Verarbeitung der Daten, die von den Geräten gesammelt werden, sollte in den Knoten in der Nähe der Datenquellen erfolgen. Die Daten werden nicht über die anfälligen Netze zu den entfernten Servern übertragen, so dass das Risiko eines Eindringens geringer ist.

• Integration von Over-The-Air-Update-Fähigkeiten: Die Geräte sollten mit effizienten Over-The-Air-(OTA)-Update-Funktionen ausgestattet werden. Viele Verbraucher nutzen ihre Geräte an entfernten Standorten und aktualisieren sie daher unregelmäßig. Die Entwickler müssen eine robuste OTA-Update-Strategie integrieren, die effizient und regelmäßig ausgeführt werden kann.

Fazit

Geräte, die mit dem Internet verbunden sind, sind von Natur aus anfällig für Angriffe. Da die Funktionalität von Smart-Home-Geräten zunimmt und diese in immer mehr Haushalten installiert werden, ist es von entscheidender Bedeutung, die Risiken für den Schutz personenbezogener Daten zu kennen und zu wissen, wie sie gemindert werden können. Außerdem müssen IoT-Entwickler die Verantwortung dafür übernehmen, dass die Sicherheit in den Smart Homes der Zukunft ein zentrales Merkmal ist und nicht nur ein Zusatzfunktion.

Den vollständigen Artikel finden Sie auf wevolver.com.

Referenzen

1. [Online]. Verfügbar unter: https://www.statista.com/forecasts/887613/number-of-smart-homes-in-the-smart-home-market-in-the-world.

2. Laughlin A., which.co.uk. [Online]; 2021. Verfügbar unter: https://www.which.co.uk/news/2021/07/how-the-smart-home-could-be-at-risk-from-hackers/.

3. Whitney L., pcmag.com. [Online]; 2020. Verfügbar unter: https://www.pcmag.com/how-to/how-to-stop-smart-tvs-from-snooping-on-you.

4. Vigdor N., New York Times. [Online]; 2019. Verfügbar unter: https://www.nytimes.com/2019/12/15/us/Hacked-ring-home-security-cameras.html.

5. Sears A., FOX6 NEWS. [Online]; 2019. Verfügbar unter: https://www.fox6now.com/news/felt-so-violated-milwaukee-couple-warns-hackers-are-outsmarting-smart-homes.

6. Broom D., weforum.org. [Online]; 2021. Verfügbar unter: https://www.weforum.org/agenda/2021/11/how-to-secure-smart-home-devices/.

7. Press R., rambus.com. [Online]; 2020. Verfügbar unter: https://www.rambus.com/iot/smart-home/.