Audit of Smart Homes - The wireless protocols ZigBee and Z-Wave

Bachelor Studiengang IT Security

Dominik Fuß, BSc
19.09.2014

Ausgangslage

Der Trend, verschiedene Geräte und Systeme im Haushalt zentral ansteuern zu können, nimmt zu. Die Vorteile sind neben Bequemlichkeit auch wirtschaftlicher Natur. Immer mehr Hersteller bringen eigene Produkte auf den Markt und bedienen sich dafür entweder bestehender Protokolle oder entwickeln proprietäre Lösungen. Manche dieser Technologien haben ihren Ursprung in der Automatisierungstechnik, wo gewisse Bereiche mehr Priorität haben als im Haushalt. Durch die Verbreitung von mobilen Endgeräten, wie Smartphone oder Tablet, wächst das Verlangen der Kundinnen und Kunden, dass das Smart Home System auch über das Internet erreichbar ist. Die Evolution des Internet of Things (IoT) wird den Sachverhalt noch verstärken.

Dadurch, dass die Smart Home Systeme für den/die EndanwenderInnen einfach und stressfrei zu installieren und bedienen sein sollen, tritt die Sicherheit oft in den Hintergrund. Obwohl viele Protokolle im weniger gebräuchlichen Frequenzbereich unter 1 GHz arbeiten, gibt es Mittel und Wege die verkehrenden Pakete zu lesen, zu bearbeiten und eigene Pakete zu versenden. Durch die Anbindung an herkömmliche Netzwerke, oder das Internet, wird es für Angreiferinnen noch unkomplizierter.

Ziel

Diese Arbeit untersucht zwei verbreitete Funk-Technologien für Smart Homes: ZigBee und Z-Wave. Es wird recherchiert und analysiert, welche Sicherheitsmaßnahmen eingesetzt werden, welche Sicherheitslücken und eventuell welche Lösungen existieren. Ebenso wird erfasst wie der Status quo ist, ein Auditing dieser Systeme in Bezug auf die Sicherheit durchzuführen. Die Ergebnisse sollen als Unterstützung für eine neue Auditing Methode herangezogen werden, die für Smart Homes im Allgemeinen gilt.

Ergebnis

Es konnte festgestellt werden, dass weder für ZigBee, noch für Z-Wave, Sicherheits-Auditing Standards existieren. Erste theoretische Ansätze können diesbezüglich der Arbeit entnommen werden. Umfangreiche Sicherheits-Empfehlungen gibt es hauptsächlich für ZigBee, was daran liegt, dass die Spezifikationen von Z-Wave nicht der Öffentlichkeit zugänglich sind und die Hersteller Verschwiegenheitsklauseln einhalten müssen. Es konnten für beide Smart Home Standards passende Mikrokontroller und Software ausgemacht werden, die weitere Untersuchungen ermöglichen.

Ausblick

Da für die beiden untersuchten Smart Home Lösungen keine Sicherheits-Auditing Standards existieren, muss noch weiter geforscht werden, wie es bei den weiteren Smart Home Technologien aussieht.

FH-Betreuer: FH-Prof. Mag. Dr. Simon Tjoa