Ein auf den ersten Blick nicht Web-verwandtes Thema. Doch hat die letzte Black Hat gezeigt, daß die Integration “des Internets” in Kraftfahrzeugen ein sehr interessantes Thema ist. Aber auch die Hausautomation steht dem in nichts nach, wenn man sich ein wenig mit dem Thema beschäftigt.

Prinzipiell ist das Ziel der Hausautomation ersteinmal einen Mehrwert für den Hausbesitzer zu schaffen. Dieser besteht ersteinmal in einem Zugewinn an Komfort. Sicherlich ist es bequemer einen Knopf zu drücken um einen Rolladen zu schliessen, als diesen Vorgang manuell durchzuführen. Die neueste Generation der Haussteuerungen geht aber noch einen Schritt weiter. So reicht es nun nicht mehr, die Komfortfunktionen über im Haus verteilte Steuereinheiten zu bedienen, sondern müssen diese nun auch von ausserhalb, also direkt über das Internet steuerbar sein.

Die Idee mag ja ganz nett sein, aber jedem Nutzer sollte genau an diesem Punkt klar sein, daß Geräte, die über das Internet erreichbar sind auch potentiell angreifbar sind. Man möge zwar argumentieren, daß es für einen “Hacker” ja kaum interessant sein dürfte bei mir zuhause das Licht ein- oder auszuschalten, aber dem möchte ich hier direkt wiedersprechen. Im Gegenteil bieten sich hier einige Bedrohungszenarien, die für einen Angreifer potentiell interessant sein könnten.

Stellt euch mal vor, euere neue Haustechnik läuft Amok. Rolläden schliessen und öffnen, die Heizung dreht im Hochsommer richtig auf, eure Türen öffnen von allein zu den unmöglichsten Uhrzeiten. Übertrieben? Ich denke nicht. Dieses Verhalten würde euch langfristig in den Wahnsinn treiben. Der Angreifer kann sich nun zurücklehnen und warten, bis ihr weichgekocht seit. Dann stellt er seine Forderungen. Freigabe der Haustechnik durch Zahlung eines bestimmten Betrages. Bumm. Erwischt.

Wenn ihr jetzt meint, man könnte das System doch einfach vom Netz trennen oder abschalten, so wird ein cleverer Angreifer dies vorausgesehen haben und entsprechende Sicherungsmaßnahmen ergriffen haben. Ein Ausbau kommt in den meißten Fällen wohl auch kaum infrage, wenn die Komponenten bereits tief in eurer Haustechnik integriert sind.

Was also tun? Einerseits könnte man bewusst auf diese ganzen Spielereien verzichten. Wir haben auch vor kurzem neu gebaut und uns bewusst gegen diesen Schnick-schnack entschieden. Nicht nur das Gefahrenpotentiial war hier ausschlaggebend, sondern auch die Kosten. Steuerungssysteme sind in der Anschaffung immer deutlich teurer als manuelle Komponenten, aber, wchtiger noch, man findet wenig Informationen darüber, wie hoch der Stromverbrauch dieser ganzen elektrischen Helferlein ist. Ausserdem müssen mögliche Ersatzteilkosten bei Defekten ebenso in Betracht gezogen werden, wie Notlaufeigenschaften bei Stromausfall. Was nutzen mir elektrische Rollläden, wenn ich sie nicht ohne weiteres benutzen kann, wenn der Strom weg ist?

Ihr müsst bei derartigen Systemen immer abwägen, ob ihr diese wirklich braucht, oder einfach nur haben wollt, und wenn das der Fall ist, welchen Preis ihr bereit seid zuhlen.
Aber selsbst, wenn ihr bewusst auf derartige Systeme verzichtet, wird man wohl langfristig nicht ganz ohne auskommen. Immer mehr Haushaltsgeräte vom Kühlschrank über die Waschmaschine zum Fernseher sind bereits internetfähig, wbei hier zumindest noch die Option besteht die Geräte ohne Netzzugang zu betreiben. Wer aber nun ein wenig zurückdenkt, der wird sich direkt ins Gedächtnis rufen, daß gerade diese Geräte Teil der Informationskette zur Einführung von IPv6 waren (Internet der Dinge). Dort wurde die Öffentlichkeit informiert, daß der Adressraum bei immer mehr internetfähigen Geräten knapp wird. Überlegt man aber mal logisch, ist diese Argumentation ersteinmal nicht 100% schlüssig, denn wo werden Haushaltsgeräte in der Regel betrieben? Richtig, zuhause. Dort hat man in der Regel einen Internetzugang und ein nachgeschaltetes privates Netz(werk). Ins Internet gibt es exakt eine Leitung, alle Geräte im privaten Netz teilen sich diese und nutzen somit für die Anbindung ins Internet exakt eine IP Adresse. Intern werden private IP Adressen genutzt, die für die Anbindung nach draussen erstmal keine Relevanz haben. Einen Sinn ergibt das erst, wenn man in Betracht zieht, daß künftige Haushaltsgeräte mit fest verbauten Mobilfunkmodulen und damit eigenem Netztzgnng verkauft werden. Dann steigt in der Tat der Bedarf an IP- Adressen an, da jedes Gerät selbst eine Verbindung ins Netz herstellt. Natürlich ist das alles super. Eure Geräte werden dann automatisch mit Softwareupdates versorgt, funktionieren besser und effizienter oder bekommen neue, tolle Funktionen. Toll, oder? Dumm, wenn man bedenkt, was noch möglich ist. Stellt euch mal vor, der Hersteller möchte oder muss seine Gewinne erhöhen. Nun könnte es ja dummerweise passieren, daß ein Update das Energiemanagement eures Gerätes durcheinander bringt, eine teure Reparatur oder eine Neuanschaffung wären die Folgt.

Wenn ihr bis hierhin noch lebt, euch also eure Spülmaschine oder der Staubsauger noch nicht umgebracht oder in den finanziellen Ruin getrieben haben, wollt ihr vielleicht doch mal euer Domizil verlassen. Interessanterweise hört es ja nicht an der Haustür auf. Es kommen ja auch immer mehr Autos nicht ohne Internetzugang aus. In der aktuellen Werbekampagne eines deutschen Herstellers wird z.B. direkt aus dem FahEs kommen ja auch immer mehr Autos nicht ohne Internetzugang aus. In der aktuellen Werbekampagne eines deutschen Herstellers wird z.B. direkt aus dem Fahzeug eine Email versendet. Das mag komfortabel sein, birgt aber meines Erachtens nach ein hohes Gefahrenpotential.

Hierbei geht es mir weniger um Eingriffe von außen. Wie auf der letzten Black Hat eindruckvoll gezeigt sind Fahrzeuge mit CAN Bus potentiell von außen angreifbar, doch sehe ich hier die Ablenkung des Fahrers als größere Gefahr. Wer heute mal in der Stadt ein wenig darauf achtet, der wird feststellen, daß erschreckend viele Fahrzeugführer bereits jetzt mit Mobiltelefonen oder Infotainmentsystemen beschäftigt sind und dementsprechend Ihre Augen NICHT dort haben, wo sie hingehören, nämlich auf der Straße. Solange der Gesetzgeber hier nicht eingreift und verbrindlich vorschreibt, daß alle nicht fahrrelvanten Funktionen während der Fahrt deaktiviert sind, bleibt das Ablenkungs- und damit auch das Gehfahrnpotential hoch.

Spannnend sind die Entwicklungen in jedem Fall und wir können davon ausgehen, daß auch die Hersteller irgendwann auf sichere Applikationen setzen. Ich würde allerdings nur eine Haussteuerung einsetzen, die ich selbst entworfen und geschrieben habe. Dann kenne ich das System wenigstens in- und auswendig ;)