Smart Home - ja/nein?

[VerenaSt]

Hallo Leute,

ich bin am überlegen mein Haus komplett zu digitalisieren, als ein "Smarthome" daraus zu machen. Nun habe ich aber immense Sicherheitsbedenken, wenn zB jemand sich ins System hackt und so die Haustüre aufsperrt oder Sprachsteuerungssysteme alles mithören. Kann mir jemand von euch einen Rat geben, was ich beachten soll? Bzw. Tipps oder Tricks um sich vor Hackern zu schützen? Oder würdet ihr mir gar davon abraten?

lg Verena

[Gisbert]

Hallo Verena,

Gott hat die Zeit geschaffen, damit nicht alles gleichzeitig geschieht. So würde ich es auch bei einer Hausautomatisierung als Do-it-yourself-Projekt sehen. Falls man alles einkaufen möchte, dann gibt es Kostenschätzungen, die sagen, dass man 10% der Neubaukosten dafür ansetzen sollte. Für mich wäre das nicht akzeptabel.

Es gibt (ohne diese zu kennen) kommerzielle Lösungen in Gewerbeobjekten, die entsprechende Sicherheitsanforderungen erfüllen, wenn man gewillt ist, dafür zu zahlen. Ansonsten ist man auf seine eigenen Fähigkeiten angewiesen, die man sicherheitshalber nicht überschätzen sollte.

Ansonsten kann man ja erst die unbedenklicheren Sachen in Angriff nehmen, bevor man die Steuerung der Haustür ins Netz stellt.

Viele​ Grüße​ Gisbert​

[frank]

ohne internetanbindung bleiben die hacker draussen.
beim einbruch liegt das klassische brecheisen trotz smarter haustüren sicherlich weiterhin weit vorne.

[Christoph Morrison]

Nun habe ich aber immense Sicherheitsbedenken, wenn zB jemand sich ins System hackt und so die Haustüre aufsperrt

Mach dir darum weniger Sorgen. Die Wahrscheinlichkeit, dass jemand mit einem Schraubenzieher bei dir ein Fenster aufhebelt oder dich auf der Straße überfällt und dir deinen Schlüssel abnimmt ist um Magnituden größer als ein Hacker der dein Schloß remote entsperrt oder eine Bande aus Hackern vom Van aus dein Smart Home kapert. Davon ab: Du musst und solltest deine Steuerung nicht ins Netz hängen. Dafür gibt es VPN.

oder Sprachsteuerungssysteme alles mithören.

Ich würde keine anschaffen wenn ich da Sorgen hätte. Eine Alexa z.B. lauscht jederzeit auf ihr eingestelltes Wakeword (z.B. "Alexa") und löst auch schon mal versehentlich aus. Aufzeichnungen werden gespeichert, werden von Amazon ausgewertet und können vom Staat angefordert werden. Sieht bei anderen Systemen vermutlich auch nicht anders aus. Eigenbauten sind so mäh, die Qualität der kommerziellen Lösungen erreicht keines.

Bzw. Tipps oder Tricks um sich vor Hackern zu schützen?

Die Kriminalpolizei macht eigentlich überall Beratung bezüglich Sicherheit, auch in Richtung Alarmanlagen wenn du das brauchst. Smart Home Security ist für normale Menschen kein Thema, außer sie stellen ihre Steuerung ins Netz.

[xenos1984]

Für mich ist Smart Home ein Ansatz, um Dinge im Haushalt einfacher und komfortabler durch Automatisierung zu machen. Generell nutze ich es nicht in sicherheitsrelevanten Bereichen wie z.B. Zugangskontrolle. Das ist also ein mögliches Ende des Spektrums - wie weit man sich in die andere Richtung wagen will, und was man sich davon erhofft, ist immer Abwägungssache.

...wenn zB jemand sich ins System hackt und so die Haustüre aufsperrt

Wie schon von anderen geschrieben, ist das bevorzugte Werkzeug von Einbrechern noch immer der Schraubenzieher statt des Laptops. Außerdem gehen Einbrecher bevorzugt schnell vor. Wenn ein potentieller Einbrecher also nur lange genug an der Tür aufgehalten wird, wird er abziehen, um nicht aufzufallen, vor allem wenn ihn Passanten sehen könnten. (Etwas zynisch gesagt reicht es oft, wenn deine Tür schwerer zu öffnen ist als die des Nachbarn.) Das heißt aber umgekehrt auch, wenn man es nun besonders leicht macht, und sein Smart Home über ein offen zugängliches Web-Interface namens "Mein Haus in der X-Straße 123 in Y-Stadt" steuert, mit einem roten Knopf "Tür", dann ist das suboptimal. Absichern heißt also sowohl mechanisch als auch elektronisch.

Übrigens ist die Gefahr, sich auszusperren, wenn die Tür nur elektronisch entriegelt werden kann, und der Server abstürzt oder das Internet weg ist, oder der Strom, definitiv größer als die eines Einbruchs. Da sollte man ein Backup haben. Wenn die Tür sich durch einen Bug selbst entriegelt, ist das natürlich auch blöd. Auch hier wieder die Frage, wie viel Komfort bringt ein elektronisches Schloss gegenüber einem Schlüssel?

...oder Sprachsteuerungssysteme alles mithören.

Auch da meine Meinung: Wie viel Privatsphäre will man aufgeben für wie viel Komfort? Ich persönlich nutze z.B. keine Cloud-basierte Spracherkennung, die potentiell mithören könnte. Ob man das in Kauf nehmen möchte, um per Sprachbefehl das Licht einzuschalten statt z.B. durch einen Druck auf das Smartphone, ist wieder jedem selbst überlassen.

[technikundwissen]

Bzw. Tipps oder Tricks um sich vor Hackern zu schützen? Oder würdet ihr mir gar davon abraten?

Ich glaube, die Vorstellungen, dass das Smart Home gehackt wird und Fremde dein Leben von außerhalb ,,steuern", liegt noch etwas in der Zukunft. Generell ist zum Hacken im System ja eine Internet Verbindung von Nöten und nicht jede Anlage braucht diese. Natürlich gibt es dort die Störsender und andere Möglichkeiten Systeme ins Wanken zu bringen aber A) sind gute Systeme auch schwer zu knacken und B.) Glaube ich nicht, dass Hacker tatsächlich das Bedürfnis haben ein Smarthome zu hacken. Ich stelle mir den herkömmlichen Einbruch auch bei Smarthomes wahrscheinlicher vor - und davor schützen ja dann die Systeme!

[Wernieman]

Das würde ich nicht so als "Zukunfsproblem" definieren. Definitiv und Nachweislich wurde letztes Jahr in Silikon-Valley Türen geknackt, in dem der "Böse" nur laut "Siri open the Door" gerufen hat .... wobei es mir schon wegen Security bedenklich ist, wie einfach das Nachvollziehen werden konnte (Anfrage bei Apple ...)

ABER .. wenn Du eben kein "Schema-F" System hast, wird der "Böse" es sich mehr als ein mal überlegen.

Denke mal andersherum:
Du willst jetzt in ein Haus einbrechen zum Ausrauben. Wo gehst Du rein? Wo ein bekanntes System mit bekannten Problemen ist? Oder alles Unbekannt??
Und glaube mir, diese Leute kennen die Systeme ....

Prinzipiell schließe ich mich meinen Vorredner an: NIEMALS ungeschützt im Netz!! Am besten überhaupt nicht, aber manchmal eben nötig. Allerdings ... könnte es auch gehackt werden von Ihnen (Deshalb wiederspreche ich der Aussage "Nicht im Netz = Nicht Hackbar). Außerdem liebe ich den Scharm des Schlüssels ... der funktioniert auch, wenn der Strom weg ist (Auf der Straße schlafen ist doof)

Noch als Ergänzung:
In der Sicherheitsbrange wird von 4 Fällen geredet:
1) User darf und kommt rein (O.K.)
2) User darf nicht und kommt nicht rein (O.K.)
3) User darf nicht und kommt rein (Darauf Gucken die Kunden beim kauf)
4) User darf und kommt nicht rein (Darauf Guckt der Hersteller, da nach dem Kauf der Kunde darauf Wert legt)
Wie Du merkst, sind die meistens Systeme so optimiert, das 4. fast nicht Auftritt (1-2 kein Problem). Damit riskiert man immer 3. ....
(Ist übrigens bei allen Konsumer-Sicherheitssystemen so, also z.B. auch bei Apple mit Foto/Fingerabdruck etc.)

[Prof. Dr. Peter Henning]

Erst einmal sind die Bedenken nicht so einfach wegzuwischen, wie mancher behauptet. Es geht nämlich weniger um böse Menschen, die auf der Straße herumlaufen und sich in private WLAN-Netze zu hacken (was übrigens relativ einfach ist). Die Haupt-Sicherheitslücke im SmartHome sind tatsächlich Cloud-Dienste, die mit billig eingekauften chinesischen Geräten und schlampig programmierten Apps einhergehen. Wer beispielsweise denkt, dass ein netzbasierter Dienst wie IFTTT sicher sei, sollte dringend den Arzt aufsuchen...

Zweitens kann natürlich FHEM helfen, das Haus auch gegen klassische Einbrecher abzusichern. Das war für mich einer der Gründe, das Modul 95_Alarm.pm zu schaffen.

LG

pah

[Wernieman]

Stimme Dir voll zu, mit der Ergänzung, das Teure Europäische/Amerikanische Geräte/Dienste nicht unbedingt besser sind .... (Und meistens auch aus den gleichen  Fabriken wie der "Schund" kommen)

[xenos1984]

Es geht nämlich weniger um böse Menschen, die auf der Straße herumlaufen und sich in private WLAN-Netze zu hacken (was übrigens relativ einfach ist). Die Haupt-Sicherheitslücke im SmartHome sind tatsächlich Cloud-Dienste, die mit billig eingekauften chinesischen Geräten und schlampig programmierten Apps einhergehen.

Da du es gerade ansprichst - durch den Thread zum Luftbefeuchter war ich ja auf diesen aufschlussreichen Vortrag aufmerksam geworden:

http://media.ccc.de/v/35c3-9723-smart_home_-_smart_hack

Das ist in der Tat ein Sicherheitsrisiko, wenn man sich Geräte ins Haus holt, die ungefragt "nach Hause telefonieren" oder anderweitig Daten freigeben, ohne dass der Anwender dem zugestimmt hat. Soll heißen, das von mir beschriebene Szenario, dass jemand die Zugangsdaten zu seinem Haus (oder W-LAN) gleich mit Adresse öffentlich zugänglich macht, ist gar nicht so abwegig, und das ohne etwas davon zu merken oder es zu beabsichtigen. Der "schlaue Einbrecher" steht also nicht vor der Wohnung und fragt sich: "Wie knacke ich jetzt dieses Haus?", sondern er scannt im Internet nach solchen Clouds und fragt sich: "Wer hat denn alles seine Tür offen stehen?"

[Zrrronggg!]

Ich mache mit SmartHome alles, ausser Türen schliessen. Ein Angreifer könnte also Kontrolle über mein Licht oder meine Heizung bekommen, oder das Einfahrtstor aufmachen, das mit 80 Zentimeter Zaunhöhe aber eh keine Hindernis darstellt. So richtig riskant ist das eigentlich nicht.
Ausserdem ist der technikfähige Einbrecher etc. eher die Ausnahme. Der normale Einbruch findet mit Hebelwerkzeugen und geworfenen Steinen statt, bestenfalls mit Schlossbesteck.

[Prof. Dr. Peter Henning]

Hmm. "Türen schließen" ist ja nun keine Sicherheitslücke, nur das Öffnen von Türen. Deshalb kann ich über mein Telegram-Keyboard den Sicherheitslevel meines Hauses sehr wohl erhöhen.

Das mache ich übrigens mit dem Modul YAAHM, das vier verschiedene beliebig konfigurierbare Level kennt. Bei mir sind die dann so konfiguriert:

Ungesichert (Haustür ist nur zu, aber nicht verschlossen; alles andere egal)
Gesichert (Alle Perimeter-Türen verschlossen, Fenster regensicher)
Geschützt (Alle Perimeter-Türen verschlossen, Fenster einbruchsicher, Alarmanlage läuft)
Überwacht (Alle Perimeter-Türen verschlossen, Fenster einbruchsicher, Alarmanlage läuft, Anwesenheitssimulation läuft, alle 5 Minuten werden bestimmte Tests ausgeführt)

Ich habe bezüglich meiner Netze auch keine Angst vor dem normal-dummen Verbrecher - darum lache ich mir immer einen Ast, wenn ein HomeMatic-Anwender seine Flurleuchte mit AES-signiertem Protokoll betreibt. Oder den Shelly für die Kaffeemaschine mit Passwort sichert. Allerdings lassen sich durch korrupte Cloud-Dienste Daten abschnappen (und eventuell gewinnbringend verkaufen), die ich eben nicht gerne in fremden Händen sehe.

Für die Absicherung eines Hauses gegen normal-dumme Verbrecher braucht es ein paar  mechanische Maßnahmen, die man allerdings durch FHEM unterstützen kann. Das ist zum Einen Abschreckung, weil Einbruchsversuche durchaus hohen Schaden anrichten können. So etwa kann man bei gesichertem Haus nach detektierten Bewegungen z.B. die Rollläden kurz "wackeln", oder mit Lichteffekten arbeiten. Zum anderen dann eine wirkungsvolle Alarmanlage.

LG

pah

[KölnSolar]

Ich habe bezüglich meiner Netze auch keine Angst vor dem normal-dummen Verbrecher - darum lache ich mir immer einen Ast, wenn ein HomeMatic-Anwender seine Flurleuchte mit AES-signiertem Protokoll betreibt. Oder den Shelly für die Kaffeemaschine mit Passwort sichert. Allerdings lassen sich durch korrupte Cloud-Dienste Daten abschnappen (und eventuell gewinnbringend verkaufen), die ich eben nicht gerne in fremden Händen sehe.

Genau. Treffend und unterhaltsam.
Leider komm ich mir immer wie Don Quijote vor, wenn ich auf die Gefahren der so gerne genutzten devices mit WLAN-Anbindung hinweise. Leider ignorieren auch viele unserer Entwickler die Gefahr und die Anwender folgen mangels besseren Wissens wie die Lemminge. Ist ja zu schön, wenn der Saugi einen Plan der Wohnung erstellt. Und stolz montags den Kollegen präsentieren. Blöd, dass der Chinamann auch den Plan hat. Plus WLAN-Zugangsdaten.
Ich wünsche mir entsprechende Risikohinweise im Wiki und commandref. Bleibt aber sicherlich ein Traum. 
Schönen Sonntag
Markus

[Gisbert]

Hallo pah,

Oder den Shelly für die Kaffeemaschine mit Passwort sichert. Allerdings lassen sich durch korrupte Cloud-Dienste Daten abschnappen (und eventuell gewinnbringend verkaufen), die ich eben nicht gerne in fremden Händen sehe.

Ich betreibe alle ESPs mit Tasmota, ESPEasy oder eigenen Sketchen ohne irgendeine Cloud. Zudem sind die ESPs in einem separaten Subnetz, dem ich den Zugang zum Internet gekappt habe. Den Zugang von außen auf Fhem und die obigen ESPs mache ich per VPN. Siehst du unter diesen Voraussetzungen ein Sicherheitsrisiko beim "normal-dummen" Hacker? Gegen staatliche Spionage sind ja selbst Profis anscheinend nicht sicher.

Viele​ Grüße​ Gisbert​

[Prof. Dr. Peter Henning]

Siehst du unter diesen Voraussetzungen ein Sicherheitsrisiko beim "normal-dummen" Hacker?

Nö. Sieht gut aus.

LG

pah