Symbiose von digitaler und physischer Sicherheit

Close the door – they’re coming through the window: Die Probleme moderner Sicherheitssysteme hat die US-Band Stargazers schon 1955 vorweggenommen. Sobald eine Schwachstelle gestopft ist, tut sich eine andere auf und das Problem wird immer komplexer. Das gilt für einfache Heimautomatisierungsanlagen genauso wie für modernste Rechenzentren. Nur wenn die digitale Sicherheit gewährleistet ist, lässt sich die physische Sicherheit gewährleisten – und umgekehrt. Ein klarer Fall von Symbiose.

Programme zum Knacken von Passwörtern sind mittlerweile so ausgereift, dass ein wirklich sicheres Passwort aus mindestens 55 Zeichen bestehen und Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten muss. Es darf keine Begriffe enthalten, die sich in Wörterbüchern finden lassen.

Der Stargazers-Song von 1955 ist nicht nur im übertragenen Sinne aktuell, sondern auch ganz konkret: Wer sich gegen Onlineangriffe schützen will, muss seine Fenster und Türen gut verschließen.

Physische und digitale Sicherheit sind zwei Seiten einer Medaille. Heute wird die physische Sicherheit immer häufiger digital geschützt und die beiden Seiten werden einander immer ähnlicher.

Sichere Heim-automatisierung

Bei der physischen Sicherheit in Rechenzentren und der digitalen Sicherheit von Heimautomatisierungstechnik zeichnet sich der gleiche Trend ab: Beide sind aufeinander angewiesen.

Das SpiderLabs testet die physischen und digitalen Schutzmaßnahmen von Sicherheitssystemen. Auf den Hackerkonferenzen Def Con und Black Hat erregten die Mitarbeiter des SpiderLabs einiges Aufsehen, als sie berichteten, wie einfach sie in vernetzte Heimautomatisierungsanlagen eindringen konnten.

Daniel Crowley arbeitet für SpiderLabs, eine Abteilung des US-Sicherheitsunternehmens Trustwave. Das SpiderLabs testet die physischen und digitalen Schutzmaßnahmen von Sicherheitssystemen. Crowley und seine Kollegen erregten 2013 auf den Hackerkonferenzen Def Con und Black Hat einiges Aufsehen, als sie berichteten, wie einfach sie in vernetzte Heimautomatisierungsanlagen eindringen konnten.

 „Die von uns untersuchten Systeme waren extrem anfällig. In einem Fall hätte sich praktisch jeder Angreifer aus dem Internet die vollständige Kontrolle verschaffen können. Das System verlangte weder Benutzernamen noch Passwort.“

Schlimm genug, wenn jemand am anderen Ende der Welt die heimische Musikanlage aufdrehen oder die Spülung betätigen kann, während der Betroffene auf der Toilette sitzt (genau das haben die Hacker nämlich getan), aber wenn auch die Türschlösser und Überwachungskameras vernetzt und angreifbar sind, gibt es ein echtes Sicherheitsproblem. Ein Fall ist bekannt, in dem ein Hacker über ein vernetztes Babyphone einem zwei Jahre alten Baby Angst machte und die Eltern beleidigte, als diese besorgt ins Kinderzimmer kamen.

Ginge es nach Crowley, müssten Heimautomatisierungsanlagen getrennt von Heimnetzwerken betrieben werden. Sie müssten durch ein Passwort geschützt sein, um auch bei einem erfolgreichen Netzwerkhack immun zu bleiben: „Die Sicherheit aller Anlagenkomponenten muss selbst dann gewährleistet sein, wenn das Netzwerk kompromittiert wurde.“

„Viele verhalten sich sorglos“

Paul Williams von Control4 behauptet, dass das Heimautomatisierungssystem seiner Firma diese Anforderung erfüllt: „Es setzt auf dem Heimnetzwerk auf und bringt seine eigenen Sicherheitsfunktionen mit.“

Im Mai 2013 warnte er in seinem Blog vor den Sicherheitsrisiken in Netzwerken. Mit seinen Hinweisen will er dafür sorgen, dass die Mitarbeiter seiner Firma umsichtig bei der Einrichtung von Netzwerken vorgehen, auch wenn die Heimautomatisierungstechnik gut gegen Angriffe aus dem Netzwerk abgeschottet ist, denn beide Systeme würden oft zusammen installiert.

Bestimmte Routerfunktionen wie die Port-Weiterleitung sollte daher nur aktivieren, wer sich damit auskennt, und andere Funktionen, wie das Senden der SSID, sollten nach Möglichkeit abgeschaltet werden. Sein wichtigster Tipp: Keine Passwörter verwenden, die einfach zu erraten sind.

„Die meisten verhalten sich ziemlich sorglos“, sagt Williams. „Wenn ich zu Hause meinen Computer aufklappe, sehe ich 12 oder 13 WLANs und ein Drittel davon ist völlig ungeschützt.“

Er schrieb sein Blog als Reaktion auf Medienberichte über Shodan, eine Art Suchmaschine für Geräte. Während Google die Websites im Internet durchsucht, sucht Shodan im Internet nach Kameras, Türschlössern, Thermostaten – und sogar nach Kipplastern. Einem Hacker gelang es, mit einem einfach zu erratenen Passwort in das Steuersystem von Muldenkippern einzudringen.

Im diesem CNN-Bericht erklärt Williams die Funktionsweise von Shodan. Mit Shodan finden Kriminelle schlecht geschützte Netzwerke und vernetzte Geräte.

Für Williams ist wichtig, dass die Systeme von Control4 „die gleichen Sicherheitsstandards wie im Bankwesen“ erfüllen. Die Gerätekommunikation werde mit einem 256-Bit-SSL-Verfahren geschützt: „Es ist nicht möglich, den Netzwerkverkehr mitzuschneiden.“

Für Crowley ist Sicherheit immer auch ein Kompromiss: Bei seinem Gespräch mit dem Future Lab habe er keine schusssichere Weste getragen.

 „Sicherheit muss immer im Kontext gesehen werden“, sagt Crowley. Allerdings müssten es die Hersteller von Heimautomatisierungsanlagen den Anwendern einfacher machen, die Anlagen ausreichend sicher zu betreiben.

„Wer Massenprodukte entwickelt, muss den geringen Kenntnisstand vieler Anwender berücksichtigen.“

Sicherheit für Server und Rechenzentren

Eine Firma wie die 1&1 Internet AG, die zur United Internet Gruppe gehört, einem der größten Internetprovider in Europa, beschäftigt zahlreiche Mitarbeiter und verlässt sich auf dezentrale Systeme. Michael d’Aguiar, leitender PR-Manager, erklärt die Schutzmaßnahmen des Providers:

„Es gibt keine Fernüberwachung und der Zugang zur Haustechnik, die u.a. die Heizung steuert, ist nur aus dem Gebäude heraus möglich.“ Die 190 Kameras, die das zentrale Rechenzentrum in Karlsruhe schützen, bilden ein geschlossenes System. Von außen ist es nicht erreichbar.

Die Sicherheitstür lässt immer nur eine Person in das Rechenzentrum. Die Person muss ihre Zugangskarte in das Lesegerät stecken, einen Code eingeben, die Gesichtserkennung bestehen und sich sogar wiegen lassen. Nur wenige Mitarbeiter haben eine Zugangsberechtigung: „Selbst der Vorstandsvorsitzende kommt ohne Sondergenehmigung nicht hier rein“, sagt d’Aguiar. Der Grund dafür ist einfach: Je weniger Zugangsmöglichkeiten es gibt, desto sicherer kann das System sein.

Pull quote:

 „Ein Hacker könnte den Netzwerkverkehr mitschneiden und manipulieren. Das lässt sich mit einem Zeitstempel oder einem Einmalpasswort verhindern.“

Crowley findet, dass sich Anwender gut überlegen sollten, ob sie ihre Türschlösser wirklich vernetzen wollen: „Selbst bei guter Verschlüsselung und sicherem Passwort könnte ein Hacker den Netzwerkverkehr mitschneiden und manipulieren. Das lässt sich mit einem Zeitstempel oder einem Einmalpasswort verhindern. Aber vernetzte Türschlösser sind eine potenzielle Gefahrenquelle und die allermeisten Anwender brauchen keine Vernetzung.“

Crowley weiß aber auch, dass solche digitalen Sicherheitsfunktionen immer stärker nachgefragt werden. Zum Glück gibt es sicherheitsbewusste Anbieter, deren Heimautomatisierungstechnik mittlerweile relativ sicher ist.

Von Michael Lawton

---

Paul Williams ist Vice President of Lighting & Comfort Products bei Control4, einem Anbieter von Heimautomatisierungssystemen für private und gewerbliche Zwecke. Vor seiner Tätigkeit bei Control4 war er Senior Vice President Operations bei Phobos und nach der Übernahme des Unternehmens im Jahr 2000 durch SonicWall war er Vice President Utah Operations bei SonicWall. Vorher war Williams 14 Jahre lang bei der Harman Music Group in unterschiedlichen Leitungsfunktionen tätig, u.a. als Director of Operations. Williams ist ein erfahrener Experte und kann auf eine über 25-jährige Erfahrung im operativen Management in Technikunternehmen zurückblicken.