Warum smarte Technik nicht automatisch vertrauenswürdig ist

Helferlein, die intelligente Glühbirne des Comic-Antihelden Daniel Düsentrieb, saß auf seiner Schulter und hatte keinerlei Verbindung in die Cloud. Eine risikolose Beziehung. Heute vernetzt sich Lichttechnik online, schickt Datenpakete um die Welt und bietet Cyberkriminellen Raum für Attacken. Normen und Sicherheitsstandards für Dinge im Internet suchen Gebäudeplaner und Lenker digitaler Transformation nahezu vergeblich. Smart Buildings brauchen, um sich dem entgegenzustemmen, Security-by-Design-Konzepte, Privacy by Default und einen Dreiklang an Sicherheitsmaßnahmen – ein Kommentar des Security-Experten Pierre Gronau.

(Bild: Lukas Liebhold, Gronau IT Cloud Computing GmbH)

Bis 2020 wird es weltweit über 20 Milliarden Geräte geben, die mit dem Internet verbunden sind.¹ Ein beträchtlicher Teil dieser technischen Komponenten existiert als Teil gebäudeinterner Sicherheitssysteme, z.B. in Form von Überwachungskameras, ferngesteuerten Heizungs- oder Lichtanlagen. Während der Markt für Smart-Building-Technik boomt, befindet sich das dazugehörende branchenspezifische Feld der IoT-Sicherheit noch in den Kinderschuhen. Konkret bedeutet dies, dass Gebäude und ihre smarten Infrastrukturen bis dato nicht dafür geplant und ausgelegt sind, Teil eines vernetzten IoT-Universums zu sein. Der asynchrone Stand der Technik von intelligenten Geräten und ihren oft rudimentären Sicherheitsfunktionen öffnet Hackern Tür und Tor. Bei Attacken auf IT-Systeme via Brandmeldeanlage oder Videokamera erlangen Angreifer Fernzugriff auf sensible Daten sowie Manipulationsfreiraum. Hacker nehmen erfahrungsgemäß stets den leichtesten Weg und dieser führt auch über smarte Geräte an das schadenbringende Ziel. Bezieht man bei diesen Gedankenspielen Gebäude mit kritischen Infrastrukturen, also Krankenhäuser, Kraftwerke oder Flughäfen, mit ein, zeigt sich die Brisanz umso deutlicher.

Wissen ist Mangelware

Das Dilemma liegt darin begründet, dass die meisten Hersteller von Smart-Home-bzw. Smart-Building-Technik Sicherheitsaspekte nicht von Anfang an einbeziehen. Sie verwenden gering geschützte, cloudbasierte Basis-Plattformen zur technischen Umsetzung und Steuerung ihrer Produkte. Wer diese Strukturen analysiert, stößt auf eklatante Sicherheitsmängel, die schon konzeptionell begründet sind und weite Angriffsflächen für Hacker bieten. Auch der Chaos Communication Congress 2018 beschäftigte sich in mehreren Vorträgen mit den Sicherheitslücken von internetfähigen Dingen und bot Lösungsvorschläge an.² In begleitenden Tests deckten Kongressteilnehmer auf, dass Glühbirnen und Steckdosen verschiedener Hersteller das gleiche Wi-Fi-Modul und die gleiche Basis-App verwenden. Diese stark verbreitete Basis-Plattform folgt selbst einfachsten Sicherheitsregeln nicht und weist gravierende systematische Mängel auf, die Anwender unnötig gefährden. Herstellerspezifische Expertisen zu IoT- und IT-Sicherheit, die an Gebäudeplaner und Sicherheitspersonal weitergetragen werden können, fehlen. Die Leichtigkeit des Kaufs und der Installation solcher leuchtenden oder heizenden Sicherheitsrisiken bietet Cyberkriminellen fruchtbaren Boden. Erschwerend kommt hinzu, dass Hersteller die Mündigkeit sicherheitssensibler Anwender aushebeln, indem sie Passwörter zur Steuerung der smarten Geräte in die firmeneigene Software festschreiben. Eine Änderung hin zu einem sicheren Passwort sieht der Anbieter nicht vor und entsprechende Anwendungen zum Deaktivieren der Voreinstellung fehlen.

Gronau setzt bei der Forderung an, dass internetfähige Dinge für ihre Anwender klare Datensicherheits-Kategorien benötigen. Dazu gehört auch ein einsehbares Mindesthaltbarkeitsdatum für die Pflege der auf dem Device laufenden Software. (Bild: Gronau IT Cloud Computing GmbH)

Sicherheits-MHD für die Glühlampe

Softwarehersteller müssen klarstellen, wie lange sie für ein bestimmtes Produkt Support und Updates anbieten. Und wenn Endkunden eine Waschmaschine kaufen, klärt eine simple Ampeldarstellung darüber auf, wie viel Strom das Gerät verbraucht. TÜV, GS und DIN-Normen: Ein europäischer Konsument hat so einige Leitplanken, die ihm Kaufentscheidungen erleichtern „Doch bei Geräten, mit denen man ‚das halbe Internet lahmlegen‘ kann, werden den Käufern wichtige Differenzierungskriterien vorenthalten“, so Mirko Vogt vom Chaos Computer Club.³ Mit dieser Aussage, die sich ursprünglich auf Sicherheitsrichtlinien von Routern bezieht, bringt es der IT-Experte auf den Punkt. Es gibt aktuell keine Sicherheitsstandards und Normen für Smart-Home- und Smart- Building-Module. Um Anwender von vernetzten Geräten in Gebäuden aufzuklären, müssen sich Anbieter auf ein leicht einsehbares, klar kommuniziertes Datum festlegen, bis zu dem die Software für die Geräte mit Sicherheits-Updates versorgt werden. Darüber hinaus sollte dem Nutzer freigestellt werden, ob er alternativ eine freie Open-Source-Software einspielen möchte. Dies garantiert ihm eine Autarkie von nicht steuerbarer Firmware und die Wahl eines eigenen Sicherheitslevels.

Drei Maßnahmen für mehr Sicherheit

Pierre Gronau gibt als Sicherheitsberater (der auch Mitglied des Chaos Computer Clubs, der Teletrust und der Cloud Security Alliance ist) konkrete Sicherheitstipps zur Reduzierung von Sicherheitslücken vernetzter Devices. (Bild: Gronau IT Cloud Computing GmbH)

Von Herstellerseite müssen gängige Standards zur Prüfung von Gerätesicherheit um Tests zur IT- und Datensicherheit ergänzt werden. Die Definition und Festlegung solcher Standards liegt jedoch weltweit in weiter Ferne. So stehen heute Planer und Anwender in der Pflicht: Die dringlichste Aufgabe von Ausführenden der Gebäudetechnik besteht darin, ein grundlegendes Level von Cyber Security herzustellen. Dabei muss die Verantwortung für die IT-Sicherheit von intelligenter vernetzter Gebäudetechnik in der Hand von IT-Security-Experten liegen. Grundvoraussetzung für IT-Sicherheit ist die Netz-Segmentierung über virtuelle Netze, sogenannte VLANs. Bei dieser Methode existieren mehrere autarke Netze innerhalb eines übergreifenden physischen Netzes. Im Anwendungsfall Smart Building umfasst z.B. das VLAN-Segment ‚Computer‘ alle Komponenten, wie Arbeitsrechner, Server und Tablets. Das zweite Segment, ‚Überwachung‘, fasst die Devices, wie Kameras der Videoüberwachung, das dritte, ‚Video‘, den Fernseher mit seinen Videostreaming-Diensten und zu guter Letzt das vierte, ‚Klima‘, die Heizungssteuerung. Wird nun das zweite Segment von einem Hacker angegriffen, hat dieser zwar Zugriff auf das Überwachungssystem, kann aber keine sensiblen Daten aus den anderen IT-Strukturen entwenden. Durch diese Segmentierung erreichen Entscheider partielle Sicherheit und grenzen Schäden ein. Parallel zur Segmentierung empfiehlt sich die Übertragung des Zero-Trust-Modelles auf Smart-Building-Konzepte. Grundsatz dieses Sicherheitskonzeptes ist das umfassende und grundsätzliche Misstrauen gegenüber allen Diensten, Anwendern und Geräten – sowohl außerhalb als auch innerhalb des eigenen Systems. Anwender dieses Modells prüfen jeglichen Datentransfer und jede Anmeldung. Sie stellen eine streng festgelegte Authentifizierung aller Nutzer und Dienste über Identity Management in den Fokus. Der IT-Sicherheitsmarkt stellt hierfür spezielle IAM-Systeme (Identity and Access Management) bereit. Ziel des Zero-Trust-Ansatzes ist es, Risiken für Firmennetze und smarte Geräte zu minimieren und neben externen Bedrohungen auch interne Gefahrenpotenziale auszuschließen. Baustein drei für ein tragfähiges IT-Sicherheitskonzept im Gebäude ist funktionierendes Patch Management. Hierfür analysieren IT-Verantwortliche, welche Softwarekomponenten der vernetzten Geräte Sicherheitsupdates benötigen, optimiert werden können und wo Schwachstellen behoben werden können. Systemadministratoren, die für intelligente Elektrotechnik Verantwortung übernehmen, müssen Sorge tragen, dass sie alle smarten Bestandteile permanent auch über eine gesicherte Remoteverbindung erreichen, Schwachstellen erkennen und schadhafte Anwendungen deaktivieren können.

Smart-Building-Planung by Design

Wir können festhalten, dass die Herausforderung darin besteht, die Sicherheitslecks von Millionen internetfähiger Dinge zu schließen, um Angriffsszenarien zu reduzieren. Eine Herausforderung, die Gebäudeplaner, Elektroinstallateure und IT-Experten gemeinsam annehmen müssen – und dies in einem sehr frühen Stadium. Schon während der Planungsphase eines Gebäudes gilt es abzuschätzen, wie viel IT, wie viel Cloud-Zwang und Vernetzung im Smart-Device-Konzept steckt und wo damit verbundene Risiken lauern. Diese Bestandsaufnahme und Risikoabschätzung müssen Planende und Entscheider in digitalen Transformationsprozessen mitdenken und priorisieren, da jedes Gebäude ein individuelles Risikoprofil und ein anderes Level an kritischen Infrastrukturen hat, dem ein individuelles Sicherheitskonzept gegenüberstehen muss.

1 de.statista.com/statistik/daten/studie/537093/umfrage/anzahl-der-vernetzten-geraete-im-internet-der-dinge-iot-weltweit/

2 media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

3 www.heise.de/newsticker/meldung/IT-Sicherheit-CCC-kritisiert-BSI-Routerrichtlinie-scharf-4226397.html

Bild: Steinel GmbH

Bewegungserfassung mit Lichtsteuerungsmodul

Der Präsenzmelder IR Quattro HD DALI Duo von Steinel kombiniert Bewegungserfassung mit einem integrierten Lichtsteuerungsmodul.

Bild: Assmann Electronic GmbH

Kompakte Wandgehäuse schnell montiert

Ob im Privatbereich oder im Büro mit beengten Platzverhältnissen – die kompakten Wandgehäuse der neuen SOHO Pro Serie von Digitus sollen bei der platzsparenden Erweiterung des Netzwerkes helfen.

Bild: Icotek GmbH & Co. KG

Icotek gründet neue Niederlassung in Spanien

Icotek hat zum 1. April eine neue Niederlassung in Spanien eröffnet.

Bild: Fränkische Rohrwerke Gebr. Kirchner GmbH & Co. KG

Effiziente Lüftungsgeräte für kleine Wohnungen

Fränkische erweitert seine Profi-Air-Produktfamilie um ein neues Lüftungsgerät für kleinere Wohnungen mit Luftmengen bis 130m3/h: Profi-Air 130 Flat besticht durch Kompaktheit und Flexibilität bei der Montage, Konfiguration und im Betrieb.

Bild: E.ON Energie Deutschland GmbH

Drei Viertel aller Deutschen wünschen sich per App Einblick

Verbraucherinnen und Verbraucher in Deutschland messen der Energiewende und einem sparsamen Umgang mit Energie mehrheitlich große Bedeutung bei – zu diesem Ergebnis kommt eine repräsentative E.ON Umfrage, durchgeführt von Statista.

Bild: Häfele SE & Co KG

Häfele präsentiert seine Licht-Division auf Light + Building

Häfele präsentierte auf der Light + Building 2024 in Frankfurt erstmals seine neue Division Häfele Lighting.

Bild: Phoenix Contact Deutschland GmbH

Gebäudeautomation mit Ethernet-Protokoll

Um zukünftig die gesetzlichen Vorgaben für die energetische Effizienz von gewerblich genutzten Gebäuden zu erfüllen, muss die Gebäudetechnik zwingend automatisiert werden. Damit dies möglichst wirtschaftlich erfolgt, bedarf es einer Ethernet-basierten Vernetzung aller relevanten Komponenten. Mit REG-Switches lässt sich eine durchgängige Lösung in den Installationsverteilern der Gebäudetechnik im Sicherungsschrank realisieren.

Bild: Anga Com

Anga Com 2024: Aussteller des Vorjahres überschritten

Die Anga Com, Kongressmesse für Breitband, Fernsehen & Online vom 14. bis 16. Mai 2024 in Köln, hat sowohl bei der Zahl der Aussteller als auch bei der vermieteten Nettofläche die Marke des Vorjahres überschritten: 480 Unternehmen aus 35 Ländern werden sich auf 25.000m² Brutto-Ausstellungsfläche präsentieren.

Bild: Wago GmbH & Co. KG