zurück zur Übersicht

Spaß mit Alarmanlagen: Sesam öffne dich!

Sicherheitstüren einbauen, aber den Schlüssel stecken lassen: vernetzte Alarmanlagen lassen sich bequem online steuern – oftmals leider auch für Einbrecher.Ein Kernkonzept im Zeitalter des „Internets der Dinge“ ist, Geräte einfach über das Internet fernzusteuern. Zu diesen Geräten zählt natürlich auch Haustechnik – Stichwort: Smart Home. Ein relativ neuer Trend ist es, dass auch Alarmanlagen über Web-Schnittstellen aus dem Internet ferngesteuert werden. Mit wenig Aufwand ist es sogar möglich bestehende Alarmanlagen nachzurüsten. Sie können dann bequem per SMS oder Internet kontrolliert werden. Dabei liegen Alarmanlagen meistens nicht im Fokus der IT-Security. Das bedeutet: sie können, sobald sie über eine Netzwerkschnittstelle erreichbar sind, von Angreifern gehackt werden. In den vergangenen Wochen wurden in aktuellen Systemen einige schwerwiegende Sicherheitslücken entdeckt. Diese erlauben Angreifern sich auf den Systemen anzumelden und die Kontrolle der Alarmanlage zu übernehmen.

Standardpasswörter machen es Hackern einfach

Laut der aktuellen Ausgabe der Computerzeitschrift c’t werden betroffene Anlagen mit Standard-Zugangsdaten ausgeliefert. Dabei verwenden die Hersteller für den User „admin“ ein Standard-Passwort wie „admin1234“ oder für den User „1234“ das Passwort „1234“. Das Benutzen von werksseitig vorgegebenen Standard-Passworten ist immer dann problematisch, wenn der Benutzer im Zuge der Inbetriebnahme einer Alarmanlage nicht gezwungen wird das Passwort zu ändern.  Aus Bequemlichkeit und Unwissenheit verändern viele Anwender das Passwort nicht – möglicherweise auch, um es nicht zu vergessen. Dabei gäbe es zumindest die Möglichkeit einer Vorwarnung. Ein Hinweis im Handbuch eines betroffenen Gerätes, das erklärt, wie die Alarmanlage über das Internet verfügbar gemacht werden kann, würde möglicherwiese schon helfen. Rein technisch wäre es ebenfalls kein Problem bei der Ersteinrichtung einen baldigen Passwortwechsel zumindest zu empfehlen.

Ist eine  Alarmanlage mit Standard-Passwort frei im Internet verfügbar, so ist es für einen Angreifer kein Problem, diese aufzuspüren und Zugriff darauf zu erhalten. Vor allem mit Hilfe von Internet Scannern, können ungesicherte Alarmanlagen im Netz schnell gefunden werden. Für eine solche Suche, reicht laut c’t zum Beispiel der einfache Suchbegriff „Climax“.

Hereinspaziert!

Sobald sich ein Angreifer Zugang zu einer Alarmanlage verschafft hat, sind für ihn alle Funktionen verfügbar, die auch der Besitzer hat. Zum Beispiel wird es für einen Angreifer möglich, die Alarmanlage scharf oder unscharf zu schalten. Ist auch noch der Standort der Anlage über das Web-Interface einsehbar, was gängiger Praxis entspricht, kann der Angreifer problemlos zum Einbrecher vor Ort werden und sich unbefugten Zugang verschaffen – ohne Gefahr zu laufen, Alarm auszulösen.

Bereits vor Erscheinen des Artikels in der Zeitschrift c’t wurden die Hersteller darüber in Kenntnis gesetzt. Die Hersteller wollen notwendige Firmware-Updates und Hinweise für die Handbücher nachreichen. Bereits bei der Einrichtung der Anlage soll nun sichergestellt werden, dass das Standard-Passwort vom Besitzer der Anlage neu gesetzt wird.

Nicht nur Alarmanlagen

Um sich vor unbekannten Zugriffen auf Alarmanlagen über das Standard-Passwort zu schützen, wird dringend empfohlen, die Systeme zu aktualisieren und das Passwort zu ändern. Ein Tipp, den man nicht nur Besitzern von Alarmanlagen geben kann, sondern der generell bei jedem System beherzigt werden sollte, das aus dem Internet verfügbar sein soll. Darüber hinaus empfiehlt es sich den Zugriff auf solche Administrationsschnittstellen durch weitere Maßnahmen wie die Verwendung von VPNs abzusichern.

Schreibe einen Kommentar