Hausautomation Sicherheitsrisiko?
- Ersteller turbo
- Erstellt am
Offline sind auch andere Systeme sicher(er). Es ist halt wie überall mit der Sicherheit. Angenehme einfache Benutzung beisst sich oft mit der Sicherheit, nicht nur im IT-Sektor, sondern auch wenn man das Thema Terrorismus anschaut.
Jedenfalls sind hinter den meisten Hackangriffen entweder Geheimdienste oder Kriminelle mit finanziellen Absichten. Da mache ich mir mehr Sorgen, dass jemand an mein Bankkonto ran will oder meine Daten verschlüsselt und mich anschliessend erpresst, als dass jemand mein Smart Home hackt. Zudem ist mein Haus weder ein Atomkraftwerk, noch ein Stausee...
Da ich gerade die Worte Terrorismus und Atomkraftwerk geschrieben habe, ist die Gefahr wohl grösser, dass ich jetzt auf irgendeine Liste, irgendeines Dienstes gerate, als das jemand meine Lampen steuern will. Schlussendlich soll mein Smart Home ja mein Leben im Haus vereinfachen und nicht wegen Paranoia verkomplizieren. Sonst können wir gleich auch alle das Smart Phone entsorgen, denn dort sehe ich die viel grösseren Sicherheitsprobleme...
Jedenfalls sind hinter den meisten Hackangriffen entweder Geheimdienste oder Kriminelle mit finanziellen Absichten. Da mache ich mir mehr Sorgen, dass jemand an mein Bankkonto ran will oder meine Daten verschlüsselt und mich anschliessend erpresst, als dass jemand mein Smart Home hackt. Zudem ist mein Haus weder ein Atomkraftwerk, noch ein Stausee...
Da ich gerade die Worte Terrorismus und Atomkraftwerk geschrieben habe, ist die Gefahr wohl grösser, dass ich jetzt auf irgendeine Liste, irgendeines Dienstes gerate, als das jemand meine Lampen steuern will. Schlussendlich soll mein Smart Home ja mein Leben im Haus vereinfachen und nicht wegen Paranoia verkomplizieren. Sonst können wir gleich auch alle das Smart Phone entsorgen, denn dort sehe ich die viel grösseren Sicherheitsprobleme...
Da mittlerweile mehr Geld mit Computerkriminalität als mit Drogenhandel generiert wird ist diese Gefahr sicher nicht wegzudiskutieren.
Lg Turbo
Sent from my SM-T360 using Haus-Forum.ch mobile app
Lg Turbo
Sent from my SM-T360 using Haus-Forum.ch mobile app
Wegzudiskutieren nicht, aber einzuordnen. Es gibt viele Gefahren im Leben und da es wohl mehr Tote im Strassenverkehr gibt, als Smart Homes gehackt werden, fahre ich trotzdem noch Auto.
So wie ich im Strassenverkehr möglichst sicher unterwegs sein will, kann ich das mit einem Smart Home auch, sprich sichere Passwörter, verschlüsselte Kommunikation und Security Patches installieren. Trotzdem, ein gewisses Restrisiko bleibt, aber deren Konsequenzen sind meistens nicht so tödlich... Ich bleibe dabei, meine Angst vor dem Smart Home Hacker ist ziemlich zuunterst auf meiner Sorgenliste...
So wie ich im Strassenverkehr möglichst sicher unterwegs sein will, kann ich das mit einem Smart Home auch, sprich sichere Passwörter, verschlüsselte Kommunikation und Security Patches installieren. Trotzdem, ein gewisses Restrisiko bleibt, aber deren Konsequenzen sind meistens nicht so tödlich... Ich bleibe dabei, meine Angst vor dem Smart Home Hacker ist ziemlich zuunterst auf meiner Sorgenliste...
Wenn ich so nach Smart Home Hacking in Google suche, gibt es vor allem zwei Fälle:
1) Die Smart Homes waren ohne Passwortschutz oder mit Standardpasswort zugänglich, in gewissen Fällen sogar noch von Google indexiert, z.B.
2) Es waren mediale Aktionen à la Galileo (Pro7), in denen Profihacker bezahlt wurden, ein System zu hacken
Ersteres ist ziemlich einfach zu lösen, wenn man nur etwas von IT und Sicherheit versteht, zweites gilt, sobald man online ist, aber in Realität eher unwahrscheinlich, denn wer zahlt schon viel Geld, damit er meine Lampen steuern kann....
1) Die Smart Homes waren ohne Passwortschutz oder mit Standardpasswort zugänglich, in gewissen Fällen sogar noch von Google indexiert, z.B.
2) Es waren mediale Aktionen à la Galileo (Pro7), in denen Profihacker bezahlt wurden, ein System zu hacken
Ersteres ist ziemlich einfach zu lösen, wenn man nur etwas von IT und Sicherheit versteht, zweites gilt, sobald man online ist, aber in Realität eher unwahrscheinlich, denn wer zahlt schon viel Geld, damit er meine Lampen steuern kann....
Zuletzt bearbeitet von einem Moderator:
Ach, habe den einen weiteren Fall noch vergessen...
3) Smart Home per Cloud... ein Hacker muss nur einmal hacken und kann danach Tausende Häuser steuern... Einer der Gründe, wieso ich allen Smart Home Produkten aus dem Weg gehe, die ihre proprietäre Lösung nur via Cloud anbieten...
3) Smart Home per Cloud... ein Hacker muss nur einmal hacken und kann danach Tausende Häuser steuern... Einer der Gründe, wieso ich allen Smart Home Produkten aus dem Weg gehe, die ihre proprietäre Lösung nur via Cloud anbieten...
Je mehr Smart Home Systeme es gibt, desto attraktiver wird es sie zu hacken. Aktuell ist es sicher noch nicht interessant. Aber diese Firmen haben oftmals wenig bis keine Ahnung von Sicherheit im Computerbereich.... und somit ist die Katastrophe garantiert.
Ja, viele haben sicher keine Ahnung von der Sicherheit. Ein Grund, wieso ich Produkten mit "Cloudpflicht" fernbleibe. Lieber meine eigene Sicherheit...
Wahrscheinlich wird die Sicherheit von Smart Homes in Zukunft auch an Bedeutung zunehmen. Es ist nicht lange her, als noch viele ein unverschlüsseltes WLAN hatten...
Siehst Du eine konkrete Katastrophe? Einbruch? Blackout, weil alle Lampen einer Stadt angehen?
Die meisten SmatHome Systeme basieren heute neben den lokalen Komponenten auf einem Teil in der Cloud für die Fernüberwachung und steuerung. Sobald so ein System extern über Internet oder WLAN ansprechbar ist, bestehen Gefahren. Das Licht ein und ausschalten ist da sicher nicht das grosse Risiko. Aber Türen entriegeln oder Storen hochfahren schon. Und seit bei Autos diese Funkschlüssel überall da sind werden ja auch diese gehackt, zum Teil wegen einer Beute im wert von wenigen 1000.-
Würde sagen, über Internet sind die Gefahren viel grösser, als bei einem lokalen verschlüsselten WLAN. Da muss der Hacker zuerst noch das WLAN Passwort haben und für jedes Objekt lokal vor Ort sein. Es ist für Kriminelle viel interessanter, wenn sie von ihrem Heimatland daheim in der ganzen Welt durch Hacken Geld verdienen (z.B. Bankkontos erleichtern, Dateien verschlüsseln und erpressen)
Storen hochfahren bringt ja nur einen kleinen Vorteil. Türen entriegeln schon, aber meine Türen müssen manuell entriegelt werden. Nicht nur der Sicherheit wegen, sondern auch wegen dem Faktor Frau.... Gerade gestern meinte mein Frau wieder, wie froh sie über die manuellen Schlösser ist, da sich eine Nachbarin von uns morgens aus dem Haus ausgeschlossen hatte und sich den ganzen Tag lang mit ihrem Kleinkind bei Nachbarn aufhalten musste, bis Abends ihr Mann heim kam (ich fragte mich nur, ob bei denen der Faktor Sicherheit verhinderte, dass ihr Mann von entfernt die Tür für sie hätte öffnen können?). Auch hier gilt dann wohl wieder die Regel des Schwächeren. Wenn ein Hacker Smart Homes hacken wird, wird er in dem Haus einbrechen, in dem er es einfach entriegeln kann...
Zuletzt bearbeitet von einem Moderator:
Noch nicht. Aber wer hätte vor 2 Jahren das Szenario "Meine Harddisk wurde von Ransomware verschlüsselt und ich muss Lösegeld bezahlen" vorausgesehen? Ich nicht. Bei Sicherheit ist es wichtig die Szenarien etwas weitsichtiger zu definieren. Was könnte in 5 Jahren möglich sein (wenn deine Hausautomation auch nicht mehr auf dem neusten Stand ist)? Vielleicht eine Attacke via Bluetooth. PowerLan?, Irgendwelche frequenzen aufs Stromnetz hauen?
Ich sehe neben den offensichtlichen Punkten wie:
* Türe entriegeln
* Storen Hoch
* Alarm aus
auch nervige Punkte:
* Storen hoch und runter und hoch
* Akkustischer Alarm immer mal wieder ertönen lassen
* Haus in Festbeleuchtung verwandeln
* Kühlschränke die Spammail verschicken (kein Witz http://www.bbc.com/news/technology-25780908)
und Dinge die die Infrastruktur zerstören oder direkten Finanziellen Schaden anrichten würden:
* Bei Minustemperaturen Solarkollektoren laufen lassen und warten bis die Leitungen gefrierern/platzen
* Heizung zerstören (irgendein Ventil zu, Druckaufbauen...)
* Tiefkühler aus
Der Blackout den du ansprichst (alle Lampen in einer Stadt gleichzeitig an) ist sicher auch spannend... wer möchte schon nicht mal einer Stadt das Licht löschen?
Wichtig ist auch zu sehen, dass es nicht unbedingt einen Grund dafür braucht (was ist schon zu holen bei mir). "Because we can" ist bereits Begründung genug. Es werden Server gekapert und gelöscht. Weil es geht. Es werden E-Mail Konten gehackt und das Passwort geändert. Weil es geht. Und viele dieser Ansätze eignen sich für Erpressung. Gib mir 5 Bitcoins damit deine Heizung wieder tut.
Klar... einige User hier werden das Backup einspielen können (und dann schnell alle Lücken schliessen). Aber die meisten User sind zu unerfahren für sowas. Besonders wenn sich Hausautomation weiter verbreitet.
Das ist was ich mir in 4 Minuten ausdenken konnte. Ein gewillter Hacker wird noch ganz andere Ideen haben.
Da müsste man auch noch die Smart TVs aufnehmen... die sind ja meistens auch mit dem Internet verbunden und so wie ich schon hörte, auch nicht immer sicher
Hier ist halt wichtig, dass die Hersteller ihre Schnittstellen gut absichern, dass von der Automatisierung her keine zerstörerischen Kommandos abgesetzt werden können. Jedem Heizungshersteller sollte klar sein, dass der Ruf dahin wäre, wenn in den Schlagzeilen auf einmal stehen würde:"Tausende Haushalte frieren wegen zerstörten Heizungen.." Aber ob ihnen das klar ist???? Ich denke, wie immer wird dort zuerst etwas passieren müssen
Auf der anderen Seite warte ich eigentlich schon lange darauf, dass Filmszenarien mal in Realität eintreffen (z.B. Ampeln einer Stadt werden alle auf grün gestellt usw...). Bis jetzt ist mir aber nichts bekannt. Erstaunlich auch, dass immer noch Leute ein offenes WLAN haben. Auch erstaunlich, wie lange sich eigentlich unsichere Kreditkarten halten. Gefühlt, hätte es dort schon lange eine Katastrophe geben müssen.
und Cyberkrieg, z.B. Cyberterror von der IS
Wir werden sehen. Meine Sorgen für mein Smart Home halten sich trotzdem in Grenzen, aber klar ignoriere ich die Sicherheit nicht und würde z.B. keinen Tiefkühler wollen, der sich automatisiert abstellen kann, da ich keinen Use Case dafür sehe
Dort gibt es regelmässig Katastrophen. Aber die sind über die Gebühren bereits abgedeckt (und von dir und mir bezahlt bzw. auf den Händler abgeschoben). Mit Bargeldlosem Bezahlen wird es dann noch witziger.
Hab heute mit meinem Arbeitskollegen (Sicherheitsexperte mit "der Lizenz zum Hacken", sprich versucht im Auftrag des Kunden diese Firma zu hacken) über das Thema Smart Home und Sicherheit geredet. Grob zusammengefasst:
Zukunft:
Erst die Masse wird Smart Homes interessanter machen. Wie jetzt schon mit Bots gehandelt wird, wird dies später mit gehackten Smart Homes der Fall sein. So wie man aktuell Firmen mit DoD Attacken erpressen wird, könnte es später mit Smart Homes der Fall sein (z.B. eben einen Blackout produzieren)
Wie immer ist einiges Risiko grösser, wenn das eigene Smart Home eben in der Cloud ist und der Hacker so tausende Smart Homes mit dem gleichen Interface auf einmal hacken und verkaufen kann.
Ein Hacker wird sich kaum Zeit nehmen, mein individuelles Smart Home (teils selber programmierte Komponenten) zu hacken...
Schlussendlich muss man das Risiko und Ausmass anschauen.
Seine Einschätzung zu meinem Smart Home:
Risiko aktuell: seeeeehr klein, wenn mein Server gehackt wird, wird dieser sehr wahrscheinlich zuerst für viele andere Fälle missbraucht
Ausmass für mich: extrem klein, da keine automatisierte Türanlage
Fazit nach wie vor: Keine Cloud bezüglich Smart Home für mich... Ist immer noch auf Platz 99 meiner Sorgenliste *g*
- Hackbar ist vieles auf viele erdenkbare Weisen (online = unsicher)
- Fokus der Hacker aktuell:
- Botnetze aufbauen und diese verkaufen
- Illegale Ware auf deinem Server hosten
- Spam Server
- DoD Attacken fahren (e.g. Digitec und SBB)
- Spionage mit diesen Bots wie im Fall der RUAG
- Ransomware
- und und und
Zukunft:
Erst die Masse wird Smart Homes interessanter machen. Wie jetzt schon mit Bots gehandelt wird, wird dies später mit gehackten Smart Homes der Fall sein. So wie man aktuell Firmen mit DoD Attacken erpressen wird, könnte es später mit Smart Homes der Fall sein (z.B. eben einen Blackout produzieren)
Wie immer ist einiges Risiko grösser, wenn das eigene Smart Home eben in der Cloud ist und der Hacker so tausende Smart Homes mit dem gleichen Interface auf einmal hacken und verkaufen kann.
Ein Hacker wird sich kaum Zeit nehmen, mein individuelles Smart Home (teils selber programmierte Komponenten) zu hacken...
Schlussendlich muss man das Risiko und Ausmass anschauen.
Seine Einschätzung zu meinem Smart Home:
Risiko aktuell: seeeeehr klein, wenn mein Server gehackt wird, wird dieser sehr wahrscheinlich zuerst für viele andere Fälle missbraucht
Ausmass für mich: extrem klein, da keine automatisierte Türanlage
Fazit nach wie vor: Keine Cloud bezüglich Smart Home für mich... Ist immer noch auf Platz 99 meiner Sorgenliste *g*
Noch ein Nachtrag zur Masse. Solange die Smart Homes so viele verschiedene Protokolle und Schnittstellen haben, wird es schon sehr aufwändig, z.B. alle Lampen gleichzeit einzuschalten. Da ist es doch recht viel einfacher eine DoD Attacke zu fahren...
Wenn, dann könnte ich mir z.B. eher folgendes Szenario vorstellen:
Wenn, dann könnte ich mir z.B. eher folgendes Szenario vorstellen:
- Hacker hackt Osram
- Osram Lightify Kunden können ihre Lampen ja über eine App per Cloud steuern
- Hacker erpresst Osram
- Osram zahlt oder halt nicht -> Lampen der OSRAM Kunden spielen verrückt -> Ruf von Osram futsch...
Zuletzt bearbeitet von einem Moderator:
Sicher übel, diese Sache, aber erledigt? Meine PCs und der Router sind gepatched (siehe auch http://www.zdnet.com/article/here-is-every-patch-for-krack-wi-fi-attack-available-right-now/) und sensible Daten laufen eh über HTTPS. Eines zeigt dieser Hack aber schon. Man muss das Intranet als immer unsicherer anschauen und deshalb auch hier möglichst sichere Verbindungen/Passwörter verwenden (und hoffen, dass SSL nicht übermorgen gehackt wird).
Zudem bleibe ich dabei. Auch bei diesem Hack... ich sorge mich mehr darum, dass meine normale IT (Online Banking, Dokumente, Fotos, etc) hier das grössere Risiko sein wird, also meine Storen und Lichter aus und ein zu schalten...
Nachtrag:
In erster Linie kann ja mal gesnifft werden. Auch wenn, gemäss Artikel das "Injecten" theoretisch möglich ist, wird es wohl auch nicht sooo einfach sein, schnell mal die Haussteuerung zu übernehmen. Nach meinem Verständnis wird der Hacker auch nicht das WLAN Passwort sniffen können...
Zuletzt bearbeitet von einem Moderator:
Nein, sehr einfach ist es nicht aber ... aktuell ist grad auch noch ein Fehler in RSA TPMs (KRACK) bekannt geworden. Damit lässt sich der private Key via public key berechnen.
Das ist nur das, was bekannt ist. Da gibt es noch viel mehr. Und auch wenn da einige Leute Ihre Devices patchen, so wird es noch genügend fehlerhaften Geräte geben.
Eine Sicherheitslücke alleine ist oft nicht so schlimm. Aber es ist die Kombination von verschiedenen Lücken, welche zuerst Harmlos aussehen, welche dann zu Problemen führen kann.
