Feb21

Lösungsmöglichkeiten zum Schutz eines SmartHomes vor Angriffen

Kategorien // Inside

Lösungsmöglichkeiten zum Schutz eines SmartHomes vor Angriffen
Durch Berichte in den Medien wie zuletzt im ARD Magazin PlusMinus gerät die Sicherheit von SmartHomes immer wieder in den Fokus – und wird danach leider oft genauso schnell wieder vergessen. War das SmartHome im privaten Bereich vor 10 Jahren noch überwiegend ein Hobby von Bastlern, Computerbegeisterten oder kurz Nerds, so sind wir mittlerweile im Massenmarkt angekommen. Wer sich für das Plus an Komfort, Energieoptimierung oder Lifestyle entscheidet, das ein SmartHome bringt, kennt sich nicht zwangsläufig mit der dahinterliegenden Technik aus. Das ist auch völlig legitim. Im Folgenden versuche ich einen verständlichen Einblick in die Bedrohungen zu geben, die sich aus der Nutzung von SmartHome Technologie ergeben – und einige Vorschläge, wie man sich dagegen schützen kann.
Grundsätzlich sind zwei Angriffswege zu berücksichtigen:

Angriffe von innen und Angriffe von außen

Bei allen Angriffen ist zu bedenken, dass es sich um vernetzte Systeme handelt, die dafür geschaffen wurden, miteinander zu kommunizieren. Für einen erfolgreichen Schutz sind also die gutartigen von den bösartigen Kommunikationsbeziehungen zu unterscheiden. Oder, wie es schon bei Aschenputtel hieß: Die guten ins Töpfchen, die schlechten ins Kröpfchen. In der Praxis stellt sich aber nun die Frage, was genau soll ins Töpfchen? Also was sind die erlaubten Kommunikationen? Hier hilft der gesunde Menschenverstand. Aus einem externen Netzwerk, meist dem Internet, sollten nur die Zugriffe erlaubt sein, die von einer vertrauenswürdigen Quelle stammen. Alles andere gehört ins Kröpfchen, also den digitalen Mülleimer einer Firewall oder eines Routers. Ähnlich sieht es im internen Netzwerk aus. Hier sollten zunächst nur die Geräte Zugriff auf das Netzwerk haben, die auch wirklich zum lokalen Netz gehören, und kein außenstehender Dritter. Zudem sollten die erlaubten Geräte gegen aktuelle Bedrohungen wie Viren, Ransomware etc. geschützt sein.

Schutz von Angriffen von außen

Eine SmartHome Zentrale ist in ihrer Grundkonfiguration zunächst einmal sicher gegen externe Angriffe. Sicher, solange sie nur im lokalen Netzwerk betrieben und nicht für einen externen Zugriff verfügbar gemacht wird. Der Reiz eines SmartHomes ist es jedoch, auch extern darauf zugreifen zu können. Hierzu gibt es grundsätzlich folgende Lösungsmöglichkeiten:

Eigener VPN Server auf dem Internet Router

Konfiguration eines eigenen „VPN Servers“ auf dem Internet Router, über welchem die SmartHome Zentrale mit dem Internet verbunden wird. Beim VPN handelt es sich um ein „Virtuelles Privates Netzwerk“, das auf der Gegenseite der Kommunikation ein Gegenstück, einen VPN Client voraussetzt. Die Kommunikation wird dabei über ein festgelegtes Kennwort, einen „PreShared Key“ oder über digitale Zertifikate authentisiert. Nur wer das passende Zertifikat hat, bzw. das geheime Kennwort kennt, kann sich von einem Client mit dem VPN Server verbinden. Zusätzlich wird die Kommunikation verschlüsselt, und so durch Mitlesen auf dem Übertragungsweg geschützt. Der Nachteil an diesem Lösungsansatz ist, dass man einen IPv4 Internet Anschluss mit DynDNS Namen oder noch besser fester IP benötigt, sowie nur von Geräten zugreifen kann, auf denen man einen eigenen VPN Client installieren kann. Das Szenario „ich schalte die Heizung zuhause vom Büro PC aus wärmer“ entfällt somit – ist in Zeiten von Smartphones jedoch auch kein KO Kriterium mehr. Für die Einrichtung gibt es online diverse Anleitungen.

Bedenke aber dass Du zumindest grob verstehst, was Du tust - am Ende bist Du für die Sicherheit selbst verantwortlich!

Nutzung eines Security Service Providers (z.B. cloudmatic.de)

Eine gute Alterative stellt der Einsatz eines Security Service Providers dar. Ähnlich einem Internet Service Provider, der für Dich den Internet Zugang bereitstellt, kümmert sich der Security Service Provider um die Sicherheit Ihrer Systeme. Dies kann nur für den Fernzugriff genutzt werden, Du kannst jedoch auch dein komplettes Netzwerk als Dienstleistung absichern lassen. Der wohl bekannteste Anbieter im HomeMatic Umfeld ist die Firma EASY SmartHome GmbH, mit ihrem Produkten CloudMatic connect und CloudMatic complete. Bei der dort angebotenen Lösung, wird ein VPN Tunnel zwischen Ihrer SmartHome Zentrale als VPN Client und einem VPN Server beim Provider aufgebaut. Die Authentisierung untereinander erfolgt hierbei dem Stand der Technik entsprechend mit digitalen Zertifikaten. Die Kommunikation zwischen SmartHome Zentrale und VPN Server beim Service Provider erfolgt verschlüsselt und ist so gegen Mitlesen durch Dritte geschützt. Um nun auf die eigene SmartHome Zentrale zugreifen zu können, versieht CloudMatic jede Zentrale mit einer eindeutigen ID und macht sie so für externe Zugriffe verfügbar. Dein SmartHome wird z.B. unter der URL "https://1024.meine-homematic.de" erreichbar. Anfragen werden allerdings erst nach Eingabe eines vom Benutzer festgelegten Benutzernamens und Kennworts an die passende Zentrale weitergeleitet. Durch diese vorgeschaltete Authentisierung kann nur der auf die Zentrale zugreifen, der Benutzername und Kennwort kennt. Für die zweite Jahreshälfte ist eine Erweiterung dieser Sicherheit um eine „zwei Faktor Authentisierung“ angekündigt, sprich eine Kombination aus einem Kennwort und einem generierten Sicherheitscode, z.B. unter Nutzung des Google Authenticators. Für Firmenkunden gibt es zudem die Möglichkeit, sich mit einem VPN Client auf „seine“ Anlagen zu verbinden.
Details zur Lösung findest Du unter:

http://www.cloudmatic.de

Portforwarding – und warum man es vermeiden sollte

Eine dritte Möglichkeit stellt die Nutzung des sogenannten PortForwardings dar. Ports kann man vergleichen mit Hausnummern in einer Straße. Für einen externen Zugriff muss man übertragen zunächst wissen, in welcher Straße Du dich befindest. Sprich welche IP Adresse oder welchen DynDNS / DNS Namen Du hast. Der Port leitet dann zum auf dem System verwendeten Dienst weiter. Deinen Router kannst Du dir nun wie eine riesige Shopping – Mall vorstellen, die sich über diverse Hausnummern erstreckt, und hinter der sich dann einzelne Geschäfte (=Dienste) verbergen. Diese laufen dann nicht auf dem Router selber, sondern auf einem dahinterliegenden Gerät, wie z.B. der SmartHome Zentrale. Das Problem hierbei ist, dass die meisten Router keinen digitalen Türsteher beschäftigen, sprich keine Authentisierung vornehmen sondern jede Anfrage hineinlassen. Dies führt in der Praxis dazu, dass viele Nutzer die Bedienoberfläche ihrer Zentrale (TCP Ports 80 und 443) sowie die für die Bedienung per APP notwendigen Ports (TCP Ports 2000-2002 und 8181) freigeben. Dadurch steht die Haussteuerung nun logisch nicht mehr im lokalen Netzwerk, sondern ist für jeden direkt aus dem Internet erreichbar. Das ist fast so, als ob man das Bedienfeld für eine Alarmanlage nicht im Haus sondern neben der Haustür anbringen würde, und dann noch einen Zettel mit dem Geheimcode daneben hängt. Warum der Zettel? Weil über die Remote Scripting API (Port 8181) Befehle auf Systemebene der CCU als dortiger Administrator (root) ausgeführt werden können, und es zudem eine Schwachstelle in der Benutzerauthentisierung der Weboberfläche der HomeMatic CCU gibt.
Wer seine SmartHome Zentrale wie oben beschrieben direkt in das Internet stellt, handelt grob fahrlässig.

Eigene Firewall oder Reverse Proxy Server

Für wen die Nutzung von VPN aufgrund der Notwendigkeit eines VPN Clients nicht infrage kommt, und wer die Dienste eines professionellen Security Providers nicht in Anspruch nehmen möchte der kann sich, entsprechendes Fachwissen vorausgesetzt, selber eine sichere Lösung einrichten. Hier bietet sich z.B. der Betrieb einer kleinen Firewall wie z.B. pfsense oder Sophos an, welche zwischen Internet Router und SmartHome Zentrale geschaltet wird. Alternativ kann eine „Reverse Proxy Lösung“ auf Basis von Apache oder NGINX genutzt werden, z.B. betrieben auf einem RaspberryPi.

Ein Beispiel hierfür findet sich unter: http://www.lxccu.com/manuals:apache-reverse-proxy-manual

Schutz vor Angriffen von innen

Die Angriffe von innen sind die meiner Einschätzung nach langfristig größere Bedrohung. Ist man als Nutzer für Angriffe aus dem Internet sensibilisiert, so fühlt man sich in den eigenen vier Wänden doch meistens sicher. So sind auch die Heimnetze oft aufgebaut. Alle Geräte hängen in einem Netzwerk, ein Verbindungsaufbau von innen nach außen wird ungehindert zugelassen. Das kann man so machen – ist dann aber … verbesserungswürdig. Da ein umfassendes Sicherheitskonzept nur schwer in einen Blog Artikel zu pressen ist, möchte ich im Folgenden einige Anregungen zur Gestaltung des heimischen Netzwerks geben. Darüber hinaus ist eine kostenpflichtige Dienstleistung bei den verlinkten SmartHome Systemhäusern oder Spezialisten wie der EASY SmartHome GmbH anzuraten, wenn entsprechende Werte zu sichern sind oder technische Unsicherheit besteht.

Schutz des LAN und WLAN Netzwerkes

Viele IT Systeme kommunizieren heute per WLAN. Hier ist die ausschließliche Nutzung von WPA2 zu empfehlen, achte also darauf ein komplexes Kennwort zu verwenden. Die auf Routern oft voreingestellten Zahlen-Kombinationen sind funktionell, jedoch aufgrund der geringen Anzahl von unterschiedlichen Zeichen nicht zu empfehlen.

Dritten sollte kein Zugriff auf das WLAN Netzwerk gewährt werden. Das gilt auch für die Freunde der Kinder, die zu Besuch kommen. Aktuelle Router können ein Gast WLAN anbieten – nutze dies!

Ein WLAN Router ist für den Preis eines HomeMatic Aktors zu bekommen. Investiere in ein aktuelles Modell und richte ein eigenes WLAN Netz nur für Deine IoT Geräte ein.

Folge den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik, sie sind verständlich geschrieben und praxisnah:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/EinrichtungWLAN-LAN/WLAN/Sicherheitstipps/sicherheitstipps_node.html

Schutz der verwendeten IT Systeme

Ein mögliches Angriffsszenario, das immer konkreter wird, ist Schadsoftware, die im lokalen Netz gezielt nach IoT Systemen sucht und diese infiziert. Die Motivationen können die Erpressung von Geld beim Besitzer (Ransomware) sein, oder aber auch die Nutzung der Rechenleistung und Internetbandbreite der Systeme als „Zombies“ in einem Bot Netz. Es geht wieder um Geld, diesmal aber um die Erpressung bei jemand anderem. Beide Szenarien sind wenig erstrebenswert. Schutz erfolgt durch den sicheren Betrieb der eigenen IT Systeme. Nicht auf Internetseiten mit fragwürdigen Inhalten surfen, nicht blind irgendwelche Software aus dem Internet laden, keine unbekannte Dateianhänge aus E-Mails öffnen, den Rechner und das Smartphone mit aktueller Virenschutzsoftware versehen.

Konfiguration von IoT Geräten

Unter IoT Geräte fallen Webcams genauso wie Rasenmähroboter oder die SmartHome Zentrale. Für alle Systeme ist kritisch zu hinterfragen, mit wem sie kommunizieren und wie darauf zugegriffen werden muss. In den Einstellungen der aktuellen Internet Router kann eine Filterung der Verbindungen in das Internet eingestellt werden. Dies sollte so restriktiv wie möglich eingestellt werden. Webcams versuchen oft, Ports per UPNP in der Firewall freizuschalten. UPNP ist ein Mechanismus, der es im lokalen Netzwerk befindlichen Geräten erlaubt, selbständig Weiterleitungen auf dem Internetrouter einzurichten und sich als Gerät so aus dem Internet erreichbar zu machen. Dies mag für einen einfachen Fernzugriff toll sein, sicherheitstechnisch ist es ein Albtraum. Diese Funktion sollte möglichst abgeschaltet werden. Ein Zugriff auf Webcams erfolgt besser per VPN oder per Fernzugriff über einen sicheren Tunnel wie CloudMatic connect.

Neben der Netzwerkkonfiguration ist die sichere Einrichtung Deines IoT Gerätes wichtig. Verwende Benutzeranmeldungen, wo sie einschaltbar sind. Lege Benutzer mit komplexen Kennworten an. Greife gesichert auf Deine Systeme zu, per HTTPS statt per http und per SSH statt per Telnet – sofern die Systeme es zulassen.

Wie sollte ich jetzt vorgehen?

Du musst jetzt nicht den Stecker ziehen, wenn Du mit Schrecken festgestellt haben solltest, dass Du nicht schon alle Sicherheitsmaßnahmen umgesetzt hast. Gehen Schritt für Schritt vor
  • Deaktiviere umgehend evtl. Portfreigaben und nutze einen sicheren Fernzugriff
  • Sichere Dein WLAN Netz, WPA2 und komplexes Kennwort
  • Verwende Logins und komplexe Kennwörter, greife mit sicheren Protokollen zu
  • Ziehe ggf. einen Experten hinzu, wenn Du ein komplexeres Netzwerk oder erhöhten Schutzbedarf hast
Es gibt sicherlich noch weitere Aspekte, die zur Sicherheit des SmartHomes beitragen können. Hier ist jeder herzlich eingeladen, in den Kommentaren Anregungen zu hinterlassen.
Gastbeitrag von Boris Bertelsons, Geschäftsführender Gesellschafter der EASY SmartHome GmbH

Certified Ethical Hacker, Certified Information Systems Security Professional (CISSP), 3 x Cisco Certified Internetwork Expert (Routing & Switching, Security, Datacenter)

Kommentare (6)

  • Gerald Klunker

    Gerald Klunker

    21 Februar 2017 um 11:34
    Hallo,

    auch ich rate jedem Nutzer davon ab ein Portforwarding auf die CCU zu machen. Tatsächlich grob fahrlässig! Auch traue ich dem Login der WebUI nicht wirklich.

    Im Artikel wird aber eine konkrete Schwachstelle der webUI angesprochen. Gibt es dazu weitere Infos? Vielleicht einen Link, wo die Schwachstelle beschrieben ist?

    Grüße

    antworten

  • Beurer

    Beurer

    21 Februar 2017 um 15:42
    Gratuliere zu dieser hervorragenden Ausarbeitung.
    Johann Beurer

    antworten

  • M. van Cleve

    M. van Cleve

    22 Februar 2017 um 13:20
    Hallo,
    der Artikel ist gut und richtig. Nur vermisse ich bei diesen Lösungen immer die Lösungen für DS-Lite Anschlüsse. Ich habe keine IPV4 Adresse, die aus dem Web erreichbar ist. Auch möchte ich nicht nur die CCU bedienen, sondern auch die Dreambox und andere Geräte.
    1. Welche sicheren Lösungen gibt es hier für verschiedene Geräte?

    2. Wie sieht das aus mit OpenHab und / oder ioBroker Lösungen?

    Danke schon mal für die Ideen.

    Grüße

    antworten

    • bbertelsons

      bbertelsons

      22 Februar 2017 um 13:25
      Hey M. van Cleve, Cloudmatic funktioniert auch mit DS-Lite und reinen IPv6 Anschlüssen, da die SmartHome Zentrale den Tunnel aufbaut. Du benötigst keine offizielle IPv4 Adresse auf Deinem Router. Wir haben sogar Kunden, die die Lösung via Satellit nutzen. Neben CCU und Raspberrymatic werden auch Linux Distributionen wie z.B. auf einem RaspberryPi laufend unterstützt. Du bist somit nicht an eine CCU gebunden, sondern könntest auch auf einen Pi mit ioBroker zugreifen. LG, Boris

      antworten

      • M. van Cleve

        M. van Cleve

        23 Februar 2017 um 07:52
        Hey. Funktioniert das dann auch für meiner Dreambox und Kameras? Wenn ich schon Geld ausgebe, was für funktionierende Lösungen auch OK ist, soll auch "SmartHome" mit allen Geräten funktionieren. Ich möchte es vermeiden, für jedes Gerät eine einzelplatz Lösung zu implementieren, die bezahlt werden muss.
        Danke

        antworten

Einen eigenen Kommentar verfassen

Du musst auf dieser Seite angemeldet sein, um einen Kommentar für diesen Artikel verfassen zu können.

Kommentare // Blog

Stephan

Stephan

19. November, 2017 |

Hallo zusammen,
ich habe heute das Update installiert. Kurz zuvor hatte ich eine IPKomponente (HmIP-PS) installiert. Diese war nach dem...

Martin Wessel

Martin Wessel

06. November, 2017 |

Ich habe mir soeben einen 6er-Taster bei Haus-Bus.de bestellt.
Hat schon jemand Erfahrungen mit den Geräten?
Klappt die Einbindung...

Kommentare // TecBase

Ralph Punga-Kronbergs

Ralph Punga-Kronbergs

10. April, 2017 |

Kurze Frage: In welchem Wertebereich (Min/Max) befindet sich der Wert der Variable _RANDOM_ nach Generierung?

Gonzalo Jacob

Gonzalo Jacob

31. Dezember, 2016 |

Hallo, Admin !
vielleicht können Sie mir helfen, Ich habe keine Ahnung, wie ich einen Anwesenheitsimulator zum Ein- und Ausschalten...