125 Martin Jensen. Foto: obs/Peter Jensen GmbH/Angerer, Krafft
Smarte Haustechnik mit wenig Aufwand absichern.

Einbrecher in der digitalen Welt

Strom kommt aus der Steckdose und behaglich warm wird es dank der Rohre, die aus der Wand in unsere Heizkörper führen. Stand am anderen Ende dieser Leitungen bis vor wenigen Jahren robuste Anlagentechnik hinter sicheren Türen, werden mittlerweile Heizungen, Blockheizkraftwerke und teilweise sogar Industrieanlagen viel zu oft sorglos mit dem Internet verbunden. Dabei lässt sich smarte Haustechnik mit wenig Aufwand absichern. Wir zeigen, wie es geht.

(24. September 2013) Viren und Trojaner sind auf Desktoprechnern seit jeher ein großes Problem. Mit der zunehmenden Computerisierung sind miniaturisierte Rechner, sogenannte „Embedded Systems“, mittlerweile aber auch in ganz gewöhnliche Haustechnik vorgedrungen. Dies hat für die Hersteller handfeste Vorteile: Die massenhaft produzierten Minicomputer sind weitaus kostengünstiger, als die aufwändige Entwicklung von eigener Hardware für Spezialanwendungen wie Heizungssteuerungen oder Smart-Home-Zentralen.

754 2110 Louis-F. Stahl

Louis-F. Stahl | Chefredakteur des Branchenportals BHKW-Infothek.de und Vorsitzender der Betreibervereinigung BHKW-Forum e. V.

Und selbst für die notwendige Software bieten Regelungstechnikhersteller fertige Lösungen an, mit denen sich die gewünschten Funktionen im Handumdrehen zusammenklicken lassen. Ganz nebenbei sind die Minicomputer auch aus Marketingsicht für Haustechnikhersteller attraktiv, da eine Internetanbindung oder eine eigene iPad App ohne großen Aufwand realisiert werden können.

1226 Touchscreen

Moderne Heizungen haben Touchscreen, einen LAN-Anschluss und lassen sich mit dem Smartphone über das Internet steuern.

Sicherheitsupdates sind oft Mangelware

Ebenso wie Desktoprechner läuft im Zuge dieser Entwicklung aber auch einfache Haustechnik Gefahr, aufgrund von Sicherheitslücken leichte Beute für Hacker oder böse Nachbarn zu werden. Erschwerend kommt hinzu, dass wichtige Sicherheitsupdates im Gegensatz zu gängiger Bürosoftware oft nicht zeitnah angeboten werden – und selbst wenn dies der Fall ist, in vielen Fällen nicht installiert werden. Oder würden Sie auf die Idee kommen, monatlich zu prüfen, ob es für Ihre Heizung ein Sicherheitsupdate gibt?

Erste Sicherheitslücken

Diese Frage mussten sich vor wenigen Wochen jedoch die Besitzer einer ecoPower Heizung von Vaillant stellen, denen der Heiztechnikhersteller in einem Brief schrieb, dass sie sofort den Netzwerkstecker der internetfähigen Heizung ziehen müssen. Nachdem ein Besitzer einer solchen Heizung ungewöhnlichen Datenverkehr bei seiner Heizung bemerkte, stellte sich schnell heraus, dass der Steuerungscomputer der Heizung ungefragt sämtliche Passwörter im Klartext verriet, einschließlich des Kennwortes der Vaillant-Entwicklungsabteilung. Darüber hinaus waren alle Heizungen dieses Typs über einen öffentlichen Adressdienst des Herstellers für jedermann leicht aufzufinden. Nachdem Vaillant seine Kunden hektisch aufforderte, die Heizungen vom Internet zu trennen, sollen in diesen Tagen die Kundendienstautos ausschwärmen, um die Software der Heizungen zu aktualisieren und zusätzlich VPN-Boxen (siehe Infobox) zur Absicherung der Heizungscomputer zu installieren.

1226 Steuerungstechnik

Dank Firewall und VPN-Box kann auch über das Internet sicher mit sensibler Steuerungstechnik kommuniziert werden.

Kritische Infrastruktur leicht verwundbar

Wie sich bei einer Analyse der Sicherheitslücke durch die Computerzeitschrift c’t herausstellte, waren aber nicht nur die Vaillant-Heizungen betroffen, sondern eine ganze Produktfamilie des Steuerungsherstellers Saia-Burgess. Nach Unternehmensangaben sollen 200.000 dieser Steuerungen im Einsatz sein.

Dementsprechend brauchten die Computerexperten nicht lange zu suchen, bis sich die virtuellen Leitwarten von Fernwärmekraftwerken, Brauereien, Rechenzentren, der Schließanlage eines großen Fußballstadions und sogar eines Gefängnisses auf ihren Bildschirmen aufbaute.

Hektische Betriebsamkeit

Durch diese Funde alarmiert, schaltete sich zwar umgehend das Bundesamt für Sicherheit in der Informationstechnik ein und forderte sofortige Abhilfe für die „kritische Sicherheitslücke“ vom Hersteller der Steuerungen. Doch es dauerte fast ein halbes Jahr, bis ein Sicherheitsupdate veröffentlicht wurde – und das muss jetzt von den Anwendern installiert werden. Bei den betroffenen Vaillant-Heizungen wird dies der Kundendienst übernehmen. In zahlreichen anderen Anwendungsfällen scheint das Update aber nicht anzukommen. So berichtete die c’t erst kürzlich über den Glockenturm der Propsteikirche St. Stephanus in Beckum, bei dem auch Unberechtigte für großes Geläut sorgen könnten.

1226 Smarthome

Nicht nur Heizungen können leicht zum Spielball von Hackern werden: Dieses Smarthome erlaubte jedermann heimliche Einblicke in das Leben seiner Bewohner.

Blick in die Zukunft

Unabhängig von diesen aktuellen Vorfällen muss bei dem Einsatz von internetfähiger Steuerungstechnik bedacht werden, dass selbst wenn diese über eine – nach heutigem Stand der Technik – sichere Passwortabsicherung verfügt, sich über den Einsatzzeitraum von nicht selten 10 oder 20 Jahren auch die Angriffstechniken weiterentwickeln und neue Sicherheitslücken aufgedeckt werden können. Dementsprechend sollten Steuerungssysteme nur dann mit dem Internet verbunden werden, wenn dies einen das Risiko rechtfertigenden Nutzen bringt. Mag dies bei der Heizung eines nicht ständig bewohnten Ferienhauses sinnvoll sein, um sich im Falle einer Störung informieren zu lassen oder das Haus vor der Anreise wohlig warm zu heizen, ist eine Anbindung der Heizung in ständig bewohnten Objekten oft verzichtbar. Sofern eine Anbindung tatsächlich erforderlich ist, sollte man sich zudem nicht auf die eingebauten Schutzfunktionen der Steuerungen verlassen, sondern mit einfachen Mitteln (siehe Infobox) einen unbefugten Zugriff auf die Steuerung verhindern.

Digitaler Einbruchschutz in vier einfachen Schritten

Die grundlegende Absicherung von internetfähiger Haustechnik ist kein Hexenwerk. Egal ob Webcam, Lichtszenensteuerung oder Heizung: Die Beachtung folgender Hinweise ist in den allermeisten Fällen ausreichend, um ungebetene Gäste effektiv abzuwehren.

  1. Passwörter nutzen Unabhängig vom Einsatzzweck ist es ratsam, vorhandene Passwortschutzfunktionen bei allen Geräten auch zu nutzen. Unbedingt sollten zudem ab Werk eingestellte Standardpasswörter geändert werden, auch wenn diese bereits sicher erscheinen. Dies gilt insbesondere auch für WLAN-Router, da es für zahlreiche Modelle Tools und Listen zum Errechnen der ab Werk eingestellten Passwörter gibt. Ein gutes Passwort sollte zudem aus mindestens acht Ziffern, Buchstaben und Sonderzeichen bestehen, damit es nicht durch ein automatisiertes Durchprobieren (Brute-Force) umgangen werden kann.
  2. Firewalls nicht beschädigen Mit der in DSL-Routern bereits vorhandenen Firewall werden die Geräte im lokalen Netzwerk vor unberechtigten Zugriffen und Angriffen aus dem Internet geschützt. Diese Schutzfunktion sollten sie nicht abschalten, auch wenn Sie von unterwegs auf die Geräte daheim zugreifen wollen. Für den einfachen Zugriff aus der Ferne empfehlen einige Anbieter zwar eine sogenannte „Portweiterleitung“. Diese bohrt jedoch nur ein Loch in die Firewall und zerstört damit die Schutzfunktion. Portweiterleitungen sollten Sie daher keinesfalls nutzen, denn mit VPN-Tunneln gibt es eine sichere Alternative.
  3. Für den Fernzugriff VPN-Tunnel nutzen Die Abkürzung VPN steht für ein „Virtuelles privates Netzwerk“.  Diese Technik erlaubt den Zugriff auf das Heimnetzwerk und seine Geräte über eine verschlüsselte Verbindung aus der Ferne über das Internet. Bei modernen DSL-Routern, wie beispielsweise den Fritz!Boxen von AVM, ist die Einrichtung eines VPN-Zugangs fast so einfach wie die Einrichtung einer unsicheren Portweiterleitung. Es ist aber auch möglich, separate VPN-Boxen direkt vor der Haustechnik – oder dessen eigenem Netz – zu installieren, wodurch die Haustechnik zudem vor unbefugten Zugriffen aus dem eigenen Heimnetzwerk geschützt wird.
  4. Netze auftrennen Viele moderne Router bieten darüber hinaus die Möglichkeit, mehrere Heimnetze getrennt voneinander aufzuspannen. So ist es möglich, die smarte Haustechnik zusammen mit dem Büro-PC über Kabel mit dem Router zu verbinden und die Familien- sowie Gästelaptops davon getrennt über ein abgeschottetes WLAN anzubinden. Die diesbezüglichen Möglichkeiten variieren je nach dem eigenen Netzwerkaufbau sowie dem verwendeten Routermodell und sind in dessen Dokumentation unter den Begriffen „VLAN“, „Gastnetze“ oder auch „Netzwerktrennung“ zu finden. Virenverseuchte Rechner im Heimnetz sowie Gäste können durch diese Trennung nicht unberechtigt auf die Haustechnik zugreifen.

letzte Änderung: 20.06.2023