Presse-Informationen
c't

  1. heise group
  2. Presse-Informationen
  3. c't

Das Computermagazin c’t warnt:
Sicherheitsleck beim Smart-Home-System von Loxone öffnet Einbrechern Tür und Tor

Hannover, 31. August 2016 – Die Steuerung aus der Ferne per Handy ist bei vielen Smart Homes Standard. Mit dem Komfort steigt aber auch das Risiko – vor allem, wenn der Hersteller bei der Umsetzung zu sorglos agiert. Wie durch ein Sicherheitsleck Einbrecher auf Knopfdruck in Häuser hätten eindringen können, schildert das Computermagazin c’t in seiner aktuellen Ausgabe 19/16.

Smart-Home-Systeme sollen einfach einzurichten sein. Doch Hersteller müssen sicherstellen, dass die Anlagen wirksam vor Angriffen geschützt sind insbesondere wenn sie für Fern­zugriffe mit dem Internet verbunden werden. Welche fatalen Konsequenzen es haben kann, wenn dieser Drahtseilakt miss­lingt, zeigt sich am Fall von Loxone Electronics: der Hersteller lieferte sein Smart-Home-System mit einem schlecht gesicher­ten Zugang aus und wies durch einen zu simpel gestrickten Webdienst selbst den Weg zu angreifbaren Anlagen.

„Mit einem kleinen Skript ließen sich auf einen Schlag über 110 Anlagen in ganz Europa finden, die die schwachen Zugangs­daten benutzen“, so c’t-Redakteur Nico Jurran. Das eröffnet ein gewaltiges Missbrauchspotenzial: Schließlich werden über die Loxone-Anlagen nicht nur Sensoren und Aktoren aus den Bereichen Beleuchtung, Energie, Heizung und Kühlung, Rolla­den und Audiosystemen gesteuert, sondern auch sicherheits­kritische Komponenten wie Alarmanlagen, IP-Kameras und Zugangssysteme für Türen und Garagentore.

Kriminelle hätten sich hier mit einem Tipp auf ihrem Smartphone selbst Zutritt zum Haus verschaffen können ohne dabei Spuren zu hinterlassen. „Das ist ein Albtraum für Eigentümer und Mieter auch aus versicherungsrechtlicher Sicht“, so Jurran.

Als das Computermagazin c’t die Geschäftsführung von Loxone Electronics über das Sicherheitsleck informierte, richtete diese eine interne Task Force ein, die als Sofortmaßnahme die Nutzung des hauseigenen DDNS-Dienstes für Heimserver mit unsicheren Zugangsdaten sperrte.
Diese Maßnahme trug schon nach kurzer Zeit Früchte, die Zahl der Heimserver mit Standard-Login ging drastisch zurück. Allerdings können Kunden auch weiterhin „admin/admin“ verwenden“, sagt Jurran. „Wer weiß, dass seine Loxone-Anlage noch das Standard-Passwort nutzt, sollte umgehend Sicherheitsvorkehrungen treffen.“

Hinweis für Redaktionen: Gerne stellen wir Ihnen den gesamten Artikel zur Rezension kostenfrei zur Verfügung.

c’t-Redakteur Nico Jurran steht für Interviews zu diesem Thema gern zur Verfügung.

Copyright 2024 Heise Gruppe GmbH & Co. KG