Smart home, auch sicher

v.l.n.r.: Alexander Inführ, Manuel Deticek und Daniel Schwarz (nicht im Bild: Robert Pölzelbauer)

IT-Sicherheitslücken bei Smart-Home-Systemen untersucht und behoben

Das eigene Heim vom Smartphone aus fernsteuern – von der Heizung bis zur Photovoltaikanlage, Bewegungsmelder im Haus steuern nicht nur das Licht, sondern auch Musik, Lüftung, Heizung und mehr. Das ist eine Vision des bequemen Smart Homes der Zukunft.

Doch wie jeder Computer und jedes Smartphone können auch die intelligenten Haussysteme IT-Sicherheitslücken aufweisen. Der oberösterreichische Anbieter Loxone hat die Sicherheit des Systems mithilfe der FH St. Pölten verbessert und potenzielle Sicherheitslücken geschlossen.

Alarm ausschalten, Überwachungskamera deaktivieren

Vier Studierende des Departments Informatik und Security der FH St. Pölten haben das System in Kooperation mit der Firma Loxone getestet und dabei mehrere potenzielle Schwachstellen entdeckt: Über verschiedene Wege können sich Dritte zwischenschalten und als „Man-in-the-Middle“ agieren.

„AngreiferInnen können dann Geräte des Smarthome-Systems steuern, also zum Beispiel einen Alarm quittieren oder das System so programmieren, dass immer um Mitternacht die Überwachungskamera deaktiviert wird“, sagt Daniel Schwarz, Student im Master Studiengang Information Security an der FH St. Pölten.

Gemeinsam mit seinen Studienkollegen Manuel Deticek, Alexander Inführ und Robert Pölzelbauer hat er die Sicherheitslücken im System entdeckt. Begleitet wurden die Studierenden dabei von FH-Dozent Thomas Brandstetter und Researcher Christoph Lang-Muhr.

„Unsere Studierenden überprüfen in der Forschungswerkstatt gemeinsam mit unseren wissenschaftlichen Mitarbeiterinnen und Mitarbeitern regelmäßig Sicherheitslücken in IT-relevanten Systemen. Das erhöht den Praxisbezug der Ausbildung und Unternehmen können mithilfe der Expertise der Fachhochschule ihre Systeme verbessern“, erklärt Thomas Brandstetter.

Update der Firmware empfohlen

Die entdeckten Schwachstellen bei der Haussteuerung von Loxone ermöglichen Eingriffe in das Loxone-System z. B. durch das Umleiten der BenutzerInnen auf unauffällige, aber manipulierte Webseiten oder indem die mangelnde Verschlüsselung der Daten bei der Übertragung ausgenutzt wird.

Bisher sind keine Fälle von Angriffen auf das Loxone-System bekannt und mittlerweile hat die Firma Loxone Updates ausgeliefert, bei der die Sicherheitslücken behoben wurden. „Das Update geschieht nicht automatisch. Benutzer und Benutzerinnen sollten es daher schnellstmöglich manuell einspielen oder Ihren Systembetreuer um die Durchführung des Updates bitten.“, sagt Daniel Schwarz.

“Ein Smart Home-System kann die Sicherheit der Bewohnerinnen und Bewohner maßgeblich erhöhen, vorausgesetzt das System selbst ist ausreichend geschützt. Sicherheit ist uns ein hohes Anliegen und wir werden unser System dahingehend immer weiter verbessern. Durch die Zusammenarbeit mit der FH St. Pölten sind wir hier einen wesentlichen Schritt weiter”, sagt Thomas Moser, Geschäftsführer der Firma Loxone.

Mit ihrem Projekt „Smart Home Testing and Awareness Campaign” gewannen die Studenten auch den ersten Platz in der Kategorie IT Security bei der diesjährigen Projektvernissage der FH St. Pölten, bei der studentische Projekte vorgestellt und prämiert werden.

Jetzt teilen: