Das Thema ist bei weitem nicht neu und wird auch immer mal wieder diskutiert. Sei es in einschlägigen Computerzeitschriften oder den diversen Foren. Trotzdem haben bislang noch nicht alle betroffenen Benutzer reagiert, sodass ich dieses Thema hiermit auch noch mal in den Vordergrund stellen möchte.
Es geht um die so genannte Port-Weiterleitung (Port-Forwarding) sowie die automatische Benutzer-Anmeldung, die wohl immer noch auf zahlreichen Routern mit HomeMatic Anbindung konfiguriert ist, um diese von außen (einfach) erreichen und steuern zu können.
Rolläden hoch- und runterrfahren, Licht ein- und ausschalten oder die Heizung hochdrehen – das alles lässt sich mit Smarthome-Systemen via App oder Web-Interface bewerkstelligen. Im Februar entdeckte das CERT-Bund, dass das bei über 6000 Homemmatic-Systemen auch Fremde übers Internet können und begann damit, über die Internet-Provider der jeweiligen IP-Adressen Betroffene über das Problem zu unterrichten. Ein halbes Jahr später stehen immer noch fast die Hälfte dieser Smarthomes sperrangelweit offen.
...so der Passus in der Sicherheitsmeldung auf heise online.
Ein halbes Jahr nach dem Start unserer Benachrichtigungen zu direkt aus dem Internet erreichbaren HomeMatic SmartHome-Systemen hat erst die Hälfte der Nutzer reagiert. Auf den meisten Systemen ist noch immer eine automatische Anmeldung aktiviert.
...so der CERT-Bunt weiter.
Man muss dazu sagen, dass das kein direktes Homematic-Problem ist. Vielmehr haben dessen Nutzer beziehungsweise die Techniker, die es eingerichtet haben, offenbar eine Port-Weiterleitung auf dem Router eingerichtet. Bei der Mehrzahl der System ist dann sogar noch eine automatische Anmeldung oder eine alte Firmware mit bekannten, kritischen Sicherheitslücken aktiv.
Das bedeutet, dass schon der Aufruf einer passenden URL genügt, um die virtuelle Schaltzentrale zu übernehmen. Solche URLs lassen sich über passende Suchmaschinen einfach ermitteln. Im Schnellversuch entdeckte heise Security auf Anhieb mehrere derartiger Systeme. Wer also ein Homematic-System betreibt, sollte dieses lieber vom Internet abschotten. Wenn man einen Zugang von außen benötigt, sollte dieser über ein Virtual Private Network (VPN) erfolgen.
Seit einigen Firmware-Versionen für die CCU2/3 wird vor diesem Port-Forwarding audrücklich gewarnt. Wer diesen Hinweis dennoch ignoriert, handelt grob fahrlässig und darf sich nicht wundern, wenn er nicht alleiniger Herr über sein Smarthome ist...
