Haus horcht Bewohner aus

×

Der Feind in meinem Haus. Haus-Automationssysteme sorgen für Behaglichkeit in den eigenen vier Wänden. Wegen gravierender Versäumnisse bei der IT-Sicherheit gibt die moderne Haustechnik aber auch viel über die Bewohner preis. Mit fatalen Folgen.

Die moderne Gebäudeautomation gehört zu den Errungenschaften der digitalen Datenverarbeitung. Wenn Hausautomations-Systeme, Licht, Heizung, Rollläden oder Türschlösser steuern, kann sich der Bewohner entspannt zurücklehnen. Beruhigt schlafen kann er allerdings nicht. Denn die moderne Haustechnik gewährt nämlich Dritten umfangreiche Einblicke in die Privatsphäre der Bewohner. Selbst verschlüsselte Anlagen geben durch ihren Datenaustausch Informationen preis, die etwa Einbrecher nutzen könnten. Das haben IT-Sicherheitsexperte Christoph Sorge und sein Forscherteam herausgefunden.

„Viele der Systeme gewähren keine ausreichende Sicherung gegen ungewollte Zugriffe Dritter und stellen eine Bedrohung für die Privatsphäre der Hausbewohner dar“, sagt der Inhaber der juris-Stiftungsprofessur für Rechtsinformatik der Saar. Mit seinem Team hat er erforscht, wie angreifbar die Systeme sind. Dabei haben sie die Rolle eines böswilligen Angreifers übernommen. Das Ergebnis ist erschütternd. „Wir haben die Systeme zweier Freiwilliger über einen längeren Zeitraum mit Hilfe eines einfachen, etwa zigarettenschachtelgroßen Mini-PCs belauscht und so ermittelt, wie viele Informationen ein herkömmliches, drahtloses Haus-Automationssystem über seine Besitzer verrät“, erklärt Sorge. Dabei hatten die Forscher keine zusätzlichen Informationen über die Bewohner. Das Ergebnis: „Systeme ohne Verschlüsselung liefern jedem, der es darauf anlegt, große Mengen an Daten, und das ohne Vorkenntnisse über die Anlage oder die so ausgespähten Opfer“, sagt er.

Fatale Versäumnisse bei der Datensicherheit

„Aus diesen Daten lassen sich Kommandos und Statusinformationen des Systems auslesen, die viel über das Verhalten und die Gewohnheiten der Bewohner aussagen. Wir konnten Arbeitszeiten ebenso extrahieren wie die Lüftungs- und Heizgewohnheiten“, erklärt der Rechtsinformatiker. Hierdurch war es möglich, regelrechte Profile der Hausbewohner zu erstellen. Sogar wenn die Systeme eine Verschlüsselung enthalten, können sie Dritten Informationen liefern: „Die Ergebnisse deuten darauf hin, dass selbst bei verschlüsselter Kommunikation allein aufgrund der Anzahl der ausgetauschten Nachrichten noch Informationen über Anwesenheitszeiten gewonnen werden könnten“, sagt Sorge. Sowohl gegen die Funktion des Systems selbst, als auch gegen die Privatsphäre der Hausbewohner können sich mögliche Angriffe richten. „Ein böswilliger Angreifer kann mit Hilfe solcher Informationen auch Einbrüche planen“, sagt Sorge.

„Um die drahtlosen Haus-Automationssysteme sicher zu machen, besteht noch ein großer Handlungsbedarf. Entsprechend weiterentwickelte Verschlüsselungs- und Verschleierungstechnologien können hier einen wichtigen Beitrag zum Schutz der Privatsphäre leisten“, erklärt Sorge. Und an solchen arbeitet er mit seiner Gruppe derzeit gemeinsam mit der Universität Paderborn im Rahmen eines vom Bundeswirtschaftsministerium geförderten Projekts.