Klick sicher: Smarte Alarmanlagen sind unsicher!

Alarmanlage

In einer der letzten Ausgaben der Computerzeitschrift c’t haben die Experten sechs Alarmanlagen getestet, die per App und Internet gesteuert werden können. Fünf der sechs getesteten Produkte waren verwundbar. Für Danny Loos von der FKP Eupen wird nicht genug auf Sicherheit geachtet.

Alarmanlagen sind derzeit gefragt wie nie, denn sie geben ein Gefühl von Sicherheit. Die Kunden möchten diese dann auch bequem von unterwegs oder vom Büro aus steuern beziehungsweise kontrollieren. Die meisten Käufer schenken der Sicherheit der Alarmanlagen jedoch wenig Aufmerksamkeit, auch wenn sie mit dem Internet verbunden werden können.

Wir haben uns bei dem Test der Zeitschrift „c’t“ nicht auf die Produkte, sondern auf den Aspekt „Sicherheit“ konzentriert. Hier gibt es einiges zu berichten. Bei älteren Modellen war es zum Beispiel üblich, den Webzugang mit einem Standardpasswort zu sichern. Weil viele Laien diesen nicht änderten, war dies ein einfaches Einfallstor für Hacker.

Diese Vorgehensweise gehört bei den meisten Herstellern zum Glück der Vergangenheit an. Aber es tut sich noch eine weitere Lücke auf: die sogenannte Replay-Attacke.

Replay-Attacke

Das ist ein Angriff auf das Übertragungssignal der Fernbedienung. In der Praxis positioniert sich der Kriminelle in Reichweite der betätigten Fernbedienung und kappt den Entschärfungsbefehl der Anlage. Dazu ist lediglich ein Laptop, ein zusätzliches Funkinterface und entsprechende Software nötig. Den mitgeschnittenen Befehl nutzt er anschließend, um die Alarmanlage unscharf zu schalten.

Dagegen hilft ein sogenannter „Rolling Code“ oder eine Bluetooth-Fernbedienung. Beim Einsatz eines Rolling Codes sind Sender und Empfänger in der Lage, die gleiche zufällig errechnete Zahl in die Kommunikation zu integrieren. Nur anhand dieser Zahl wird ein Befehl angenommen oder nicht. Bei jedem Senden und Empfangen von Daten wird die Zahl neu generiert. Wer einen Befehl mittels Replay-Attacke abfängt, kann damit das Gerät nicht ein weiteres Mal entschärfen, da eine neue Zahl erwartet wird.

Tipps

  • Achten Sie beim Kauf einer smarten Alarmanlage unbedingt auch auf die Sicherheit. Geben Sie dazu den Hersteller und das Modell mit dem Begriff „Sicherheitslücke“ im Internet ein.
  • Die Fernbedienung sollte den „Rolling Code“ unterstützen oder das Signal via Bluetooth übertragen.
  • Falls das Budget es erlaubt, sollte das Kit auch mit einem GSM Modul ausgestattet sein, sodass die Alarmanlage bei einem Internetausfall noch in der Lage ist SMS Nachrichten zu versenden.
  • Besitzer von bestehenden Alarmanlagen sollten auf der Herstellerseite nach Sicherheitsupdates Ausschau halten. Diese sind wichtig, um eventuelle Sicherheitslücken zu schließen.

Links: 

Sechs-vernetzte-Alarmanlagen-im-Test

Infos: Danny Loos, RCCU Föderale Kriminalpolizei Eupen, Foto: BRF

  • iconfacebook-1
  • instagram
  • linkedin2
Podcast
-