© Liashko/Shutterstock.com
Risiken und Gefahrenpotenziale in der Heimautomation

Internet of (In)Security?


Wenn sich Teile der Hausinstallation über das Internet steuern lassen, sollten sie keine Schwachstellen enthalten. Denn früher oder später werden Kriminelle ausprobieren, ob sie diese für ihre Zwecke missbrauchen können. Und noch viel früher dürften die ersten Scherzbolde beginnen, über unsichere Steuerungen Schabernack zu treiben.

Besonders wichtig ist natürlich – wie eigentlich immer – die Authentifizierung. Nur befugte Benutzer dürfen Zugriff auf die Geräte haben. Nehmen wir mal an, die Heizung ließe sich über das Internet steuern. Dann darf natürlich niemand außer den dazu befugten Benutzern auf die Steuerung zugreifen können. Im Allgemeinen werden das der Eigentümer oder von ihm dazu befugte Mitbewohner sein, unter Umständen auch mit der Wartung beauftragte Techniker des Herstellers oder Heizungsbauers. Man sollte also annehmen, dass die Hersteller so einer Steuerung besonderen Wert auf eine sichere Authentifizierung legen, oder?

Heizung mit Hintertür

Leider ist das nicht unbedingt der Fall. Ein passendes negatives Beispiel liefert der Heizungshersteller Vaillant. In dessen stromerzeugenden Heizungen vom Typ ecoPOWER 1.0 wurde im Februar 2013 eine kritische Schwachstelle im mit dem Internet verbundenen Systemregler entdeckt [1]. Die Internetverbindung dient der Konfiguration der Blockheizkraftwerke über eine Weboberfläche oder eine iPad-App. Die Schwachstelle erlaubt es einem Angreifer, sich über zwei Angriffsvektoren Zugriff auf die Steuerung zu verschaffen. Durch den Aufruf eines bestimmten URLs sowie über einen nicht näher beschriebenen zweiten Vektor können aus dem Speicher des Systemreglers

  • das aktuelle Kundenpasswort und die zuvor vom Kunden verwendeten Passwörter

  • das Kundendienstpasswort

  • das Entwicklerpasswort

  • der Name des Heizungsbesitzers

  • der Standort der Anlage

abgefragt werden. Der Angreifer kann sich danach als Besitzer der Heizung, Vaillant-Kundendienst oder Entwickler bei der Heizung anmelden und mit entsprechenden Rechten auf die Konfiguration zugreifen und diese nach Belieben ändern. Mit unter Umständen gefährlichen Folgen für Heizung und Gebäude [2]. So könnte die Heizung komplett ausgeschaltet und die Frostschutzfunktion lahm gelegt werden, was bei entsprechenden Temperaturen im Winter schnell zu Frostschäden führen würde. Eine Erhöhung der Vorlauftemperatur könnte beim Einsatz von Fußbodenheizungen zu Schäden am Gebäude führen. Und durch die Manipulation von Geräteparametern könnte die Heizung selbst beschädigt oder auch zer...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang