Home UnternehmenProdukte
& Lösungen
Kompetenzen
& Services
erneuerbare
Energien
News
& Aktuelles
Impressum
& Kontakt
 
  

SmartHome als Terrorwaffe

Nachrichten
Aktuelles
Presse
Vorträge, Seminare
& Workshops
Bildschirmauflösungen, Browser, Statistik & Co.
Datenschutz
Suche










zukünftig kostenpflichtiger Artikel

SmartHome als Terrorwaffe

07.12.15  14:00 | Artikel: 963322 | News-Artikel (Red)

SmartHome als Terrorwaffe

Für Konsumenten ist es ein Komfortgewinn, für Netzbetreiber ein Schritt zum Demand-Side-Management und für den Bevölkerungsschutz ein echter Albtraum.

Die Rede ist vom Vernetzen “Zu Hause”, bei dem viele kleine Steuergeräte damit beschäftigt sind, immer mehr Haushaltsgeräte zu kontrollieren. Doch die Kontrolle haben diese Geräte nur so lange, wie sie diese nicht von einem Angreifer gezielt ausgehebelt werden.

Der Wechselrichter, dessen “Eigenverbrauchsoptimierung” von einem Stromrebellen gekapert wurde, der Stromspeicher, der dann zu laden anfängt, wenn es weder der Besitzer noch der Netzbetreiber brauchen kann. Wer zukünftig das Stromnetz eines Landes zum Kollaps bringen will, der bricht nicht in eine Leitwarte ein – auch nicht in ein Kraftwerk. Er sitzt irgendwo auf der Erde und kontrolliert über ein sogenanntes Bot-Netz viele private Haushalte.

Zukunftsmusik? In dem Augenblick, in dem das teure Elektronikspielzeug eine IP-Adresse im Heimnetzwerk bekommen hat, ist die Gefahr vorhanden. Also für nahezu alle Geräte in Schaltschränken und SmartHomes ab dem Jahre 2005…

Eingenschutz: Datenschutz

Sie haben diese coole APP auf Ihrem Smartphone installiert, welche nicht einmal außergewöhnliche Rechte von Ihnen verlangte. Was Sie nicht wissen, im Hintergrund hört diese APP auf spezielle UDP Broadcast Meldungen an IP 239.12.255.254, welche bei Empfang ausgewertet und an den APP-Entwickler gesendet werden. Vielleicht weiß sogar der APP-Entwickler selbst nichts davon, denn die meisten APPs verwenden sogenannte Standardbibliotheken, welche natürlich genau die wenigen Programmzeilen Code enthalten können, die notwendig sind um UDP Pakete auf dem Smartphone abzufangen.

Wenn dies geschieht, dann hat ein Fremder, ohne dass Sie davon etwas mitbekommen, Zugriff auf ihren Stromverbrauch (in Echtzeit). Man kann recht einfach herausfinden, wann jemand im Haus ist oder wann es sich lohnt einen Bruch zu wagen.

Mittels UDP Broadcast übermittelt zum Beispiel der SMA EnergyMeter seine Messungen an den SMA HomeManager, der wiederum die Daten nimmt und in das Sunny-Portal überträgt. Im Logbuch der Anlage findet man die Erfolgsmeldung, wenn die Pakete richtig verarbeitet wurden “Dynamische Wirkleistungsbegrenzung beginnt.”. Der SMA Home Manager hat keine Möglichkeit herauszufinden, ob tatsächlich ein Energy Meter die Daten gesendet hat. So könnte auch unsere APP selbst einige Pakete senden, nachdem auf der Seite “/settings_network.php” des Stromzählers die Einstellungen ohne Passwortschutz so verdreht wurden, dass dieser keine Daten mehr sendet.

Von Überwachung zur Fernsteuerrung

Die Daten eines Stromzählers auszulesen, oder sich als ein Stromzähler auszugeben, kann zunächst als ein lustiges Spielchen klingen. Ernst wird die Situation, wenn eine Entscheidung von dieser Messung abgeleitet wird. Datalogger oder auch EnergyMeter werden heute ganz gerne zur Steuerung der Wirkleistungsbegrenzung eingesetzt. Sieht man im Sunny-Portal die Meldung “Dynamische Wirkleistungsbegrenzung endet. Abregelung dauerte 620 Minuten”, dann bedeutet dies nichts anderes, als dass ein EnergyMeter zu geringen Eigenverbrauch gemessen hatte, so dass über HomeManager und Portal der Wechselrichter gedrosselt wurde.

Die Smappee ist ein anderer Stromzähler, welcher immer weitere Teile der Heimautomatisierung übernehmen soll. An das Gerät können Funksteckdosen angeschlossen werden, welche dann über eine APP des Herstellers aktiviert werden können. Im Heimnetzwerk findet man das Gerät recht schnell und hat über den Webbrowser einen Zugriff auf die Gerätekonfiguration. Das Passwort lässt sich nicht ändern und ist für alle Geräte gleich. Mit diesem Wissen ausgestattet, meldet sich ein Schädling zunächst beim Gerät an und führt im Anschluss einen POST Request auf “/gateway/apipublic/commandControlPublic” aus. So werden nun die Steckdosen geschaltet, wenn der Schädling es will – und nicht wenn der Besitzer dies wünscht.

Verteidigung der Hersteller

Die Verantwortung für den Betrieb des Heimnetzes hat der Kunde. Auf diese Art lässt sich die rechtliche Seite der Fernsteuerrung recht leicht in den Verantwortungsbereich des Nutzers schieben. Alle Geräte, die blog.stromhaltig in den vergangenen Monaten getestet hat, sehen den Schutz darin, dass sie hinter einem “Router” betrieben werden. Ein Router oder DSL-Modem besitzt eine Firewall, welche den direkten Zugriff auf die Geräte aus dem Internet verhindert. Dieser Schutz ist ausreichend, wenn die schädlichen Aktionen vom Internet aufgerufen würden.

In der heutigen Realität befinden sich neben dem PC auch Tablett und Smartphone im heimischen Netzwerk. War es relativ schwierig eine Software für den Rechner im Volk zu verbreiten, dann ist es deutlich einfacher eine große Install-Base über die App-Stores hinzubekommen. Die Verwendung von Standardbibliotheken hat sich auch hier durchgesetzt, wobei die Entwicklungsbudgets meist eine genaue Prüfung verhindern. Über das Zielpublikum ist den Entwicklern bereits einiges bekannt, welche Themen in der Zielgruppe auch als APP erfolgreich sind liegen auf der Hand.

Terrorwaffe
Ein SmartHome haben bislang nur einige Technik-Junkees. Die Verbreitung einer intelligenten Heimsteuerrung dürfte allerdings in den kommenden Jahren zunehmen. Vergessen darf man nicht, dass die bislang genannten Hersteller für einen Massenmarkt produzieren. Das einzelne Gerät soll an dieser Stelle auch nicht als Gefahr gewertet werden, sondern der gezielte Angriff über viele dieser Geräte. Würde lediglich ein Hersteller den Schutz verharmlosen, dann müsste die Gefahr als gering eingeschätzt werden.

Bot-Netze und sogenannte “Vicsocks” zeigen jedoch in einem ganz anderen Zusammenhang, wie verletzlich die heimische IT-Landschaft ist.

Fazit
Das SmartHome birgt genügend Schwachstellen, die sowohl den Betreiber einer solchen Anlage in Gefahr bringen, als auch die gesamte Stromversorgung. Im Beitrag Schwachstellen der dezentralen Betriebsführung wurde bereits auf die systemischen Herausforderungen hingewiesen, die kombiniert mit den Punkten dieses Beitrages den Grundstock für eine genauere Risikoanalyse liefern.


Weitere Beträge zu diesem Thema folgen.




Autor: Thorsten Zoerner

blog.stromhaltig.de

Thorsten Zoerner betreibt den Blog stromhaltig.de. Einen Großteil seiner Fachartikel veröffentlichen wir regelmäßig auch hier auf unserer Seite. Thorsten Zoerner ist Gründungsmitglied der Energieblogger.



0 Kommentar(e) zum Artikel.
Kommentar schreiben


Themenbereiche:

Datenschutz | Hacking | Netze | SmartHome

Schlagworte:

SmartHome (9) | Terrorwaffe (4) | Hacking (15) | Kontrolle (14) | Stromverbrauch (50) | Heimsteuerrung (9)




Seite per Mail versenden

Kurz-Link zu dieser Seite: http://psrd.de/@963322







© by Proteus Solutions GbR 2017


Alle hier veröffentlichten Texte, Dokumente und Bilder sind urheberrechtlich geschützt.
Bitte beachten Sie dazu auch die weiteren Informationen unter dem Menüpunkt Mediadaten.
Informationen zum Datenschutz finden Sie in unserem Impressum.



Proteus Solutions GbR , Allmandsteige 11, 78564 Reichenbach
Tel: (0 74 29) 876 91 - 70 oder 0800-50506055, Fax (0 74 29) 876 91 - 77
Spam@proteus-solutions.de

80.147.220.63 - (04.05.2016 14:30:00)


 

verwandte Themen
25.7.16 | Artikel: 970065
Wenn der Toaster seinen Strom selbst bestellt ...

Auf den Tag genau vor zwei Monaten war blog.stromhaltig auf einer Veranstaltung zum Thema Strommarkt und dessen Digitalisierung. Einer der Diskussionspunkte, die ein Besucher aufbrachte, war «Was ist eigentlich, wenn der Toaster seinen Strom selbst bestellt?».

1.10.16 | Artikel: 970088
Mittelbayerische Zeitung: Kommentar zu automatisiertem Fahren

Es ist eine verführerische Vision: Vollautomatische Autos chauffieren uns sicher ans Ziel, während wir Passagiere uns anderen Dingen zuwenden.

PVStatistik Deutschland:
installierte Anlagenleistung online abfragen.
18.7.16 | Artikel: 970063
Wer will ein Wasserwerk fernsteuern? Jeder kann!

Zwei Sicherheitsleute der Webseite Internetwache.org untersuchten Milliarden Internet-Adressen und haben dabei allein 80 ungeschützte Anlagen des gleichen Herstellers ausfindig gemacht.

29.9.16 | Artikel: 970086
GrünStromJetons digitalisieren die Energiewende

Dass der persönliche Ökostromtarif am tatsächlichen Strommix aus der Steckdose nichts ändert, hat sich herumgesprochen. Dieser Umstand sorgt bei vielen umweltbewussten Verbrauchern für Ernüchterung.

Diagramme & Infografiken
aus dem Bereich erneuerbare Energien
25.1.17 | Artikel: 980002
bne zum Stromsteuergesetz: «Richtige Entscheidung»

Zum Verzicht auf die Ausdehnung der Stromsteuer auf Solaranlagen im Stromsteuergesetz, erklärt Robert Busch, Geschäftsführer des Bundesverbandes Neue Energiewirtschaft (bne):…

26.9.16 | Artikel: 970083
Tennet: «Strompreis Erhöhung von 80%»

Die Kollegen des Mediums «Die Zeit» haben eine beachtliche Meldung in Umlauf gebracht: «Stromanbieter Tennet erhöht Preise um 80 Prozent». Da bekommt man gleich Mut zum Lesen .

Artikel verpasst?
Nutzen Sie unsere Volltextsuche!
7.2.17 | Artikel: 980004
Bundesbürger wünschen sich innovative Strom-Angebote

Tarife, bei denen Strom weniger kostet, wenn der Wind weht oder die Sonne scheint, intelligente Geräte, die sich dann einschalten, wenn Strom günstig ist und bessere Informationen über den eigenen Energieverbrauch - eine Mehrheit der Bundesbürger interessiert sich für innovative Stromangebote, die durch die Digitalisierung der Energienetze möglich werden. …

15.7.16 | Artikel: 970062
Fell: Deutsche Bank steigt aus der Kohle aus

Seit einiger Zeit findet ein starkes Divestment großer Banken aus der Kohle statt. Getrieben von Verlusten und dem Druck von Umweltorganisationen verlassen immer mehr Unternehmen das umweltschädliche Geschäft.