HP prangert Sicherheitslücken in vernetzten Systemen zur Haussicherheit an

Spezialisten der HP-Security-Sparte Fortify haben zehn weit verbreitete internetfähige Alarm- und Überwachungsanlagen für Privathaushalte unter die Lupe genommen. In allen untersuchten Systemen zur Haussicherheit wurden dabei beträchtliche Schwachstellen bei Passwortsicherheit, Verschlüsselung und Authentifizierung festgestellt. Nach Ansicht der HP-Experten werden die getesteten Sicherheitssysteme dadurch alle selbst zum Sicherheitsrisiko.

Keines der von HP getesteten Systeme mit Cloud-basierender Web-Schnittstelle und mobilen Schnittstellen verlangt ein langes oder komplexes Passwort. Die meisten geben sich mit einem alphanumerischen Passwort mit einer Länge von sechs Zeichen zufrieden. Zudem wurde bei keinem System der Account nach einer bestimmten Anzahl von fehlgeschlagenen Log-in-Versuchen automatisch gesperrt.

Auch alle Cloud-basierenden Schnittstellen im Test wiesen Sicherheitslücken auf. Sie bieten Hackern durch drei typische Fehler – mehrere Benutzerkonten, schwache Passworteinstellungen und einen fehlenden Log-out – gleich mehrere Angriffsflächen. Bei fünf der getesteten zehn Systeme wurden bei den mobilen Anwendungen vergleichbare Probleme festgestellt.

Alle getesteten Systeme sammeln persönlichen Daten wie Name, Adresse, Geburtsdatum, Telefonnummer und sogar Kreditkartennummern. Zusätzlich zeichnen viele Heimsicherheitsanlagen Videodaten auf, die über mobile Applikationen oder die Cloud zugänglich sind. Die privaten Accounts sind nach Aussage von HP für Kriminelle allerdings “leicht zugänglich”. Zudem war in den Systemen zwar bereits eine SSL- oder TLS-Verschlüsselung vorhanden, HP weist aber auf Sicherlücken beim Transport der Daten über die Cloud hin.

HP sieht nun aber nicht nur die Hersteller von vernetzten Haussicherheits-Systemen in der Pflicht Sicherheitsmaßnahmen zu entwickeln und Sicherheitslösungen zur Verfügung zu stellen. Das Unternehmen appelliert auch an die Verbraucher, bei der Wahl eines Überwachungssystems auf Sicherheitsaspekte zu achten und dieses dann vor allem auch richtig zu installieren. Grundlage dafür sei ein sicheres Heimnetzwerk. Auch die Verwendung komplexer Passwörter – ohne vom System dazu gezwungen zu werden – legt HP ihnen ans Herz. Hersteller sollen ihre System um die Möglichkeit der Kontosperrung sowie die Zwei-Faktor-Authentifizierung aufrüsten.

Bereits im Juli hatte HP auf Grundlage von Untersuchungen darauf hingewiesen, dass rund 70 Prozent der im Internet der Dinge eingesetzten Geräte unsicher seien. Auch hier waren schwache Passwörter, fehlende Verschlüsselung, schlampig implementierte Protokolle oder altbekannte Programmierfehler die häufigsten Kritikpunkte. Außerdem äußerte HP bereits damals bei 80 Prozent der Produkte Bedenken wegen des Datenschutzes, der nur unzureichend gewährleistet sei.

Ganz ähnliche Bedenken wie HP hat erst diese Woche auch die EU-Sicherheitsagentur ENISA vorgebracht. Auf Grundlage einer umfangreichen Studie warnt die EU-Einrichtung ebenfalls in erster Linie vor Problemen mit dem Datenschutz und dem Datensammeln durch Geräte im Smart Home. Aus ihre Sicht erhöhen zudem sogenannte integrierte Medien, dazu zählt die ENISA Smart TVs, Streaming-Sticks, Settop-Boxen und Spielkonsolen, erhöhten das Sicherheitsrisiko hinsichtlich der Privatsphäre und des Datenschutzes erheblich, da es sich vielfach um undurchsichtige Systeme handele, die etwa Sehgewohnheiten mitloggen und anschließend an den Hersteller übermitteln.

Ein weiteres Problem ist laut ENISA-Studie, dass in Smart Homes eine Vielzahl an unterschiedlichen Geräten mit entsprechend unterschiedlichen Protokollen und Technologien Einzug halten, die zu herkömmlichen Sicherheitssystemen nicht kompatibel sind. Darüber hinaus hätten viele Smart-Home-Geräte noch nicht die Rechen- beziehungsweise Energieleistung, um Verschlüsselungsalgorithmen oder eine Endpunktauthentifizierung zu unterstützen. Ähnlich wie HP empfiehlt auch die ENISA die Konzeption des Smart Homes als vollständiges System und andererseits die präzise Überwachung der Sicherheit bei Cloud-basierenden Smart-Home-Geräten.

 Loading ...