Intelligente Gebäude auf Abwegen - Datensicherheit in der Gebäudetechnik

Beim Öffnen interagiert das Telefon wahlweise über die Funktechnik Bluetooth direkt mit Goji oder per WiFi (in Deutschland häufig „WLan“ genannt, Anm. d. Autors) über den Router im Wohnzimmer. Und: Wer „auf Malle“ feststellt, dass er die Tür beim Verlassen der Wohnung nicht verschlossen hat, kann das direkt vom Ballermann aus korrigieren. Verspricht wenigstens die Werbung. Außerdem kann Dritten – auch für einen befristeten Zeitraum! – die Zugangsberechtigung eingeräumt werden.
Das Geschäft mit der vernetzten Intelligenz läuft offenbar gut: Die britische Elektronik-Kette Maplin legte in diesem Bereich im vergangenen Weihnachtsgeschäft um 50% zu: Die Leute wollen die Heizung, das Licht, die Waschmaschine und sogar Vorhänge mithilfe ihres „intelligenten“ Telefons steuern – berichtet Yahoo. Maplin betreibt in Großbritannien und Irland 200 Elektronik-Supermärkte.
Und in Zukunft solls noch rosiger werden – so ist der neue Microsoft Chef Satya Nadella überzeugt: „Ich glaube, im nächs­ten Jahrzehnt wird IT-Technik sogar noch weit mehr allgegenwärtig, Intelligenz wird zu einem Element der Umgebung.“
Der Trend unterstützt auch die Energiewende: Künftig wollen wir unseren Strom nicht mehr aus Atom- oder Kohlekraftwerken beziehen, sondern „nachhaltig“ aus Erneuerbaren Energien wie Wind und Sonne. Diese Energien sind aber nicht so stetig verfügbar, wie wir uns das wünschen. Deshalb brauchen wir ein „Internet der Energie“. Dort soll gemessen, gerechnet und geregelt werden – etwa wer zu einer bestimmten Uhrzeit wieviel Strom verbraucht, wieviel Regenerative Energie zur Verfügung steht, wieviel Strom derzeit aus den noch zu bauenden Stromspeichern bezogen werden kann oder wieviel konventioneller Strom zugeschossen werden muss. Und wo besonders häufig Nachfragespitzen auftreten.
Der Verbraucher soll durch die Aussicht auf einen reduzierten Energieverbrauch für den Wandel begeistert werden: Künftig sollen die Stromgeräte eben dann laufen, wenn der Strom besonders günstig verfügbar ist. Dazu muß die Kommunikation aber auch in umgekehrter Richtung funktionieren: So will der Versorger EnBW seinen Kunden künftig 24 Stunden im Voraus mitteilen, wie viel die Kilowattstunde im Verlauf des kommenden Tages kosten wird. Die laufende Waschmaschine würde dann während eines Sturms nur geringe Kosten verursachen. Und wenn die Gefrierschränke Kälte speichern könnten, würde dieser Vorgang in der Mittagshitze den Geldbeutel schonen.

Kommunizierende Technik
Im November 2013 kommt die Unternehmensberatung Ernst & Young in einer Studie zu dem Ergebnis, dass die Kunden durchs vernetzte Heim kein Geld sparen würden. Ein viertel Jahr später behauptet die US-Marktforschungsfirma Navigant Research – nach Durchführung einer neuen Studie im Auftrag von Telefónica Digital –, dass die Verbraucher sparen würden, indem sie durch bessere Kontrolle ihr Verhalten ändern würden. Der Energieversorger RWE jedenfalls sieht die Bäume nicht in den Himmel wachsen: „Die Stromeinsparungen sind bei den intelligenten Systemen zwar im Einzelfall gering, in der Summe kommen jedoch einige Kilowattstunden zusammen.“ Mal sehen, auf wieviele Verbraucher sich diese eingesparten Kilowattstunden verteilen.
Interessanter als der Kostenaspekt könnten die Funktionen sein: Die Heizung und das Licht „wissen“, ob ein Raum gerade genutzt wird, und entsprechend passen sich Temperatur und Helligkeit „automatisch“ an. Der Wecker klingelt morgens eine halbe Stunde früher, wenn auf dem Weg zur Arbeit Stau zu erwarten ist. Soweit die rosigen Aussichten.
Der „EnergieeffizienzBus“ („EEBus“) der Firma Kellendonk aus Köln könnte den Energie-Saldo aus selbst erzeugter, ins Netz eingespeister Energie und der vom Ener­gieversorger bezogenen Energie liefern. Dazu müssten nicht nur Toaster, Lampen und Waschmaschinen (Stromverbraucher), sondern eben auch die PV-Anlage auf dem Dach und ein neuer Stromspeicher – etwa vom künftigen eAuto – an den „EEBus“geklemmt werden. Bis zu 60000 Knoten will der Hersteller auf diese Weise miteinander kommunizieren lassen. Technisch können die Geräte auf unterschiedlichen Wegen miteinander verknüpft werden. Der „EEBus“ kommuniziert wahlweise per Stromkabel (Powerline) oder Funk. Dieser Idee machen jetzt aber die Anbieter der Handy-Programme und deren Anwender einen Strich durch die Rechnung, indem sie die Geräte nicht nur innerhalb des Gebäudes mit dem Stromzähler (oder dem vorgeschalteten „EEBus“) verknüpfen, sondern auch noch mit dem Handy.

Sicherheit an erster Stelle?
Nun behauptet Goji, die Sicherheit seiner Kunden stünde an erster Stelle. Deshalb komme eine „256 BitVerschlüsselung“  zum Einsatz. Das hört sich mal gut an – der Teufel steckt aber im Detail: Diese Information ist solang nicht viel wert, solang man nicht weiß, welcher Verschlüsselungsalgorithmus benutzt wird und ob dieser Algorithmus dann auch noch sauber implementiert wurde.
Wer sein Telefon verliert, soll  beim Hersteller anrufen und seinen bisherigen Schlüssel „entwerten“. Das sei „leicht, schnell und sicher“. Zumindest Letzeres ist fraglich: Wie will denn der Hersteller „sicher“ sein, ob es sich bei dem Anrufer tatsächlich um den Berechtigten handelt? Wie sind die virtuellen Nachschlüssel in der Datenbank des Herstellers abgelegt und – hoffentlich einzeln(!) verschlüsselt? Wie kommen die von dort aus sicher(!) auf das neue Telefon des Bewohners?
Die Fragen sind auch wegen der erwähnten Übertragungsstandards „Bluetooth“ und „WLan“ relevant: Potenzielle Käufer sollten bei so allgemeinen Aussagen nervös werden – wenn sich der Hersteller tatsächlich um die Sicherheit seiner Kunden Gedanken machen würde, würde   er darauf hinweisen, dass er die höchstmögliche Sicherheitsvariante dieser Übertragungsverfahren ausgewählt hat – im Fall von WLan wäre das „WPA2“. Und dem Kunden sollten Sicherheitsmaßnahmen erklärt werden: Wieso er sich einen „WPA2“-Netzwerkschlüssel zulegen sollte und wieso der am besten mit der maximal möglichen Länge von 63 „zufälligen“ Zeichen einschließlich Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen daherkommen sollte. So kann das Risiko von Wörterbuchangriffen klein gehalten werden. Wenn der Hinweis auf „WPA2“ fehlt, muß damit gerechnet werden, dass „WEP“ zum Einsatz kommt – ein Algorithmus, der so löchrig ist wie ein Schweizer Käse.
Und ein sicherheitsbewusstes Unternehmen würde seine Kunden sicher auch darauf hinweisen, dass aktuell Tausende Router der US-Hersteller Cisco, Netgear und Linksys über eine mysteriöse Hintertür verfügen sollen und sich somit fürs „intelligente“ Gebäude disqualifiziert haben – insbesondere auch vor dem Hintergrund der Behauptung eines früheren Direktors des US-Geheimdienstes NSA, die USA hätten „über 50000“ Software-Implantate in ITGeräten untergebracht. Darüberhinaus sollen Zugangsdaten von Zehntausenden Asus-Routern im Netz veröffentlicht worden sein.
Eigentlich ist das Thema „mobile Schadsoftware“ ein alter Hut. Bereits vor zehn Jahren machte ein Handywurm namens Cabir auf sich aufmerksam: Das Besondere an dem Schädling war, dass er sich per Bluetooth verbreitet hat. Sobald er sich auf einem Telefon mit dem damals bekannten Betriebssystem Symbian eingenistet hatte, hielt er nach weiteren Telefonen in der näheren Umgebung Ausschau, um sie ebenfalls zu infizieren. Schäden hat er angeblich keine angerichtet. Die Experten des Sicherheitsspezialisten Kaspersky meinen jedenfalls, Cabir sei „ein Weckruf für die Industrie“ gewesen; seither hätten sich aber auch die Bluetooth-Bedrohungen entwickelt und könnten ernsthafte Gefahren darstellen. So wird berichtet, dass Bluetooth-Geräte veranlasst werden können, elektronische Visitenkarten zu verschicken, ohne dass der Benutzer das wollte, dass sie als Wanzen missbraucht werden könnten oder gar die Kontrolle über sich selbst weitgehend an den Angreifer abgeben könnten.
Die Erkenntnis von Kaspersky: „Die einzige Möglichkeit, um Angreifer vollständig daran zu hindern, die Schwächen von Blue­tooth auszunutzen, besteht darin, Blue­tooth auszuschalten, wenn Du es nicht brauchst.“ Dabei unterstreichen die Virenjäger: „Es genügt dabei nicht, die „unsichtbar“ Funktion zu nutzen, sondern Bluetooth muß vollständig abgeschaltet sein“. Es gäbe nämlich „böse Apps“ die das Bluetooth-Gerät wieder „sichtbar“ machen könnten.
Auch dem US-Geheimdienst NSA ist Bluetooth nicht geheuer – in einem Merkblatt empfahl der Dienst vor zwei Jahren seinen iPhone-nutzenden Mitarbeitern unter der Überschrift: „Bluetooth ausschalten wenn es nicht gebraucht wird“: „Nutzen Sie Bluetooth nur, wenn es notwenig ist. Wenn es nicht gebraucht wird, schalten Sie es aus, um zu vermeiden, dass andere Ihr iOS-Gerät finden und versuchen, sich damit zu verbinden.“

Ich weiß, ob Du gestern geduscht hast
Technisch ist es möglich, die reale Welt komplett virtuell abzubilden. Wer den Wunsch hat, das zu tun, sollte sich zunächst überlegen, ob die Fähigkeiten der Beteiligten ausreichen, um das Maß an Sicherheit zu bieten, das den eigenen Erwartungen gerecht wird. Und „beteiligt“ sind diejenigen, die Hard- und Software entwickeln, implementieren oder letztlich zu Produkten und Dienstleistungen kombinieren. Mal abgesehen davon, dass der Anwender auch die eigenen Fähigkeiten kritisch hinterfragen sollte. Ansonsten bestünde die Gefahr, dass ein beliebig großer Kreis von Interessenten einen beliebig detaillierten Einblick in den Lebensstandard und -gewohnheiten der Bewohner erhält: Jedes der „intelligenten“ Geräte muss über den WLan-Router angemeldet oder mit den übrigen Bluetooth-Spielsachen verknüpft sein. Und jedes Mal, wenn das Spielzeug in Betrieb ist, sondert es Daten ab.
Das Handelsblatt berichtet unter dem Titel „Ich weiß, ob Du gestern geduscht hast“: „Neue Stromzähler messen nicht nur, wann wir etwa beim Erhitzen von Duschwasser Strom verbrauchen, sondern teilen den Strom auch zu. Der Haken: Energieversorger können künftig Protokoll über unseren Tagesablauf führen.“ Was für die einen ein Eingriff in die Privatsphäre ist, begeistert Wissenschaftler vom National Center for Biotechnology Information (NCBI) in den USA: „Neben der Erkennung der Aktivitäten, enthalten die gesammelten Informationen großes Potenzial für weitere Anwendungen – etwa für die Analyse des Lebensstils, der Sicherheit und der Überwachung. Deshalb stellt das Erkennen des alltäglichen Nutzerverhaltens und die Vorhersage künftiger Aktivitäten auf Basis bisheriger Verhaltensweisen einen wichtigen Schritt in Richtung einer Umgebung dar, die personalisierte Dienste zur Verfügung stellt.“
Die „ICT KTN“ – eine britische Lobby-Organisation zur Vertretung von Industrieinteressen hat auf 53 Seiten personalisierte Dienste zusammengetragen. Nach deren Vorstellungen sind solche in den Bereichen „Gesundheit“, „Intelligente Städte“, „Transport“ und „Energie“ möglich. Als Beispiel führt der Bericht die Stadt Bristol auf: Diese verfolge „aggressive“ CO2 und Nachhaltigkeitsziele und setze deshalb auf „Innovationen“ beim „intelligenten“ Stromzählen. Zu solchen Innovationen zählen nach Meinung der Autoren offenbar auch sicherheitstechnisch fragwürdige Mobilfunkstandards: „Bluetoothfähige Telefone können Daten liefern, die die Reisezeiten und die Umweltbelastung reduzieren und dabei helfen, die CO2 Ziele zu erreichen.“

Überforderte Anwender?
Ansonsten werden die Autoren der ICT KTN nicht müde, zu betonen, dass die Daten dem Nutzer und niemand sonst gehören: „Die Bürger sollten die Kontrolle über ihre Daten haben und dann Dienstleistungsverträge abschließen, die ihren Bedürfnissen Rechnung tragen und nicht denen der Anbieter, egal ob es um Energie, Transport oder Gesundheit geht.“ Wie der Nutzer aber mündig Verträge abschließen soll, wenn er die betriebswirtschaftlichen, technischen und rechtlichen Hintergründe nicht kennt, die mit der Preisgabe seiner Daten verbunden sein können, erwähnt der Bericht nicht.
Was so passieren kann, wenn man vor lauter Innovation den Blick für die Realität verliert, demonstrierte die Forbes Journalistin Kashmir Hill im vergangenen Sommer: Sie hatte mithilfe einer „sehr einfachen Google Suche“ eine ganze Liste „intelligenter Wohnungen aufgespürt. Deren Eigner hätten „etwas ziemlich Dummes“ getan, indem sie ein System der Firma Insteon verwendet hätten, um damit ihre Wohnung elektronisch zu steuern.
Nach ein paar Mausklicks konnte sie einem „Wildfremden durchs ganze Haus spuken“: „Ich kann alle Geräte in Ihrem Haus sehen und ich denke, ich kann sie auch steuern“, hat sie ihrem noch schlaftrunkenen Gesprächspartner am Telefon gesagt, nachdem sie ihn aus dem Bett geklingelt hatte. Sie hätte dann ein wenig am Lichtschalter herumgefuhrwerkt, anschließend aber der Versuchung widerstanden, den Fernseher anzumachen. Genauso hätte sie ihren Opfern den Energieverbrauch „alptraumartig“ in die Höhe treiben können. Und es sei möglich, die Garage per Fernsteuerung zu öffnen, um dann den Eignern einen physikalischen Besuch abzustatten.
Insteon ermöglicht es seinen Kunden, ihre Beleuchtung, Whirlpools, Heißlüfter, Fernseher, Wasserpumpen, Garagentore, Kameras und weitere Geräte aus der Ferne zu steuern. Das Problem: Der Hersteller habe bei einem mittlerweile eingestellten Produkt darauf verzichtet, die Nutzer bei der Installation zu zwingen, Benutzername und das Standard-Passwort zu ändern. Und die seien „dämlich“ genug gewesen, die Daten nicht von sich aus zu ändern. So hätte Hill nur auf die Links klicken müssen, um die Eigenheime in Geisterhäuser zu verwandeln. Das Schlimme dabei ist: Insteon ist – nach eigener Einschätzung – „der Gold-Standard der Netztechnik fürs vernetzte Eigenheim. Es ist eine zweifach vernetzte Fernsteuerungs-Technik zum Steuern und Messen.“ Was macht dann erst die weniger gute Konkurrenz?
Nicht nur die Eigenheimbesitzer sind überfordert – auch die gewerblichen Anwender machen sich nicht klar, dass die Leistungsfähigkeit der Informationstechnik auch zur Bedrohung werden kann, wenn sie unter die Kontrolle von Unberechtigten kommt: Vor einem Jahr hat Google die Software zur Steuerung der Klimaanlage und der Wasserversorgung in „Wharf 7 office“, seinem Hauptquartier in Australien, vom Internet abgehängt. Zuvor wiesen Billy Rios und Terry McCorkle vom US-Sicherheitsunternehmen Cylance den Suchriesen darauf hin, dass sich jeder Internetnutzer nicht nur die Anmeldedaten der Benutzer des Systems unter den Nagel hätte reißen können, sondern auch noch die Steuerung der Gebäudetechnik vollständig in seine Gewalt bekommen könnte.
Die Cylance Mitarbeiter hatten jedoch Hemmungen, einen Knopf „After HoursButton“ zu nutzen, neben dem noch dazu ein Hammer abgebildet war: „Wir wissen nicht, was der macht und wir hatten Angst, es auszuprobieren.“ Sie beließen es dabei, den Gebäudegrundriss als Trophäe mitzunehmen und – neben ein paar weiteren Bildern ihrer virtuellen Reise – zu veröffentlichen.

Löchrige Systeme
Der Grund für die physische Angreifbarkeit lag in der Verwendung einer Gebäudemanagementsoftware namens „Niagara“ des Konzerns Tridium. Google verwendete diese Software, obwohl die US-Bundespolizei (FBI) bereits 2012 eine „CyberWarnung“ dazu veröffentlicht hatte. Darüber hinaus wurde auf einer Sicherheitskonferenz im Februar 2013 demonstriert, wie die Lücke ausgenutzt werden kann. Tridium weist darauf hin, dass es noch im April einen Ratgeber dazu aktualisiert hat. Offenbar hat Google seine löchrigen Systeme nicht mit diesen Flicken gestopft. Das könnte auch damit zusammenhängen, dass Google eine externe Firma mit der Implementierung des Systems beauftragt haben soll. Oliver Sucker, EDV-Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung, weist allerdings auch darauf hin: „Leider enthält das Advisory des ICSCERT bis heute nicht einmal die genau betroffenen Versionen. Den Anwendern wird damit die Diagnose unnötig erschwert.“
In Deutschland ließen sich mithilfe der speziellen Suchmaschine „ShodanHQ“ Anfang Februar 2014 669 Anwender der Niagara Software aufspüren – eine Verdopplung gegenüber dem Vorjahr. Von diesen 669 Systemen werden – wenn man der Suchmaschine Glauben schenken kann – 321 Systeme von den Kunden der EWE Tel GmbH in Oldenburg und 319 Systeme von denen der Deutschen Telekom AG betrieben. Oliver Sucker hält viele der gefundenen Systeme für gefährdet: „Alle Systeme vor Version 3.5.36 und auch ältere 3.6.x-Versionen sind sehr wahrscheinlich verwundbar, es sei denn, der Besitzer hat besondere Einstellungen vorgenommen. Es ist jedoch davon auszugehen, dass den Besitzern das Problem nicht bekannt ist, sonst hätten diese stattdessen wohl gleich das mittlerweile lange verfügbare Update eingespielt.“ Solche veraltete Software läuft auch auf den Systemen von Telekom und EWE Tel Kunden.
Der Autor hat die beiden Dienstleister und das Bundesamt für die Sicherheit in der Informationstechnik (BSI) vor einem Jahr über die Risiken und den Vorfall bei Google Australien informiert. Billy Rios und Terry McCorkle dürften sich mit ihrer Warnung insbesondere an diese Unternehmen wenden: „Wenn Sie ein Firmengelände oder sonst ein modernes Gebäude irgendeiner Art betreiben – betreiben Sie höchstwahrscheinlich auch ein ähnliches Steuerungssystem in Ihrem Netz. Wir haben jetzt über 25000 dieser Systeme gefunden, die da am Netz hängen. Eines davon ist jetzt abgehängt. Bleiben noch 24999 übrig. Wenn Google einem Angriff zum Opfer fallen kann, kann das allen passieren.“ Durch die Debatte um den Ex-Geheimdienstler Edward Snowden und die von ihm aufgedeckten Machenschaften der NSA erhält das Thema eine neue Dimension: Angeblich waren bis Dezember 2013 nur wenige Prozent aus Snowdens „Weltuntergangsspeicher“ veröffentlicht; „das Schlimmste kommt noch“, sagten Offizielle.
Von sich aus haben die US-Dienste zugegeben, sie wollen die Menschen künftig in „Echtzeit“ auch dabei beobachten, wie sie die Lichtschalter ihres Wohnzimmers im „intelligenten“ Gebäude mithilfe ihres „intelligenten“ Telefons bedienen. Monate bevor Edward Snowden begonnen hatte, aus dem geheimdienstlichen Nähkästchen zu plaudern, brüstete sich der technische Direktor (CTO) der CIA, Everette Howard Hunt: „Wir versuchen, grundsätzlich alles zu sammeln und behalten es für immer.“ Der Grund: „Der Wert einer Information ist nur dann zu erkennen, wenn Du sie verbinden kannst mit etwas anderem, das zu einem zukünftigen Zeitpunkt aufläuft.“ Hunt erhebt sogar den Anspruch, „in sehr absehbarer Zeit jede von Menschen generierte Information verarbeiten zu können“. Diese Fähigkeiten macht der Gesellschaft für Informatik (GI) Angst. Sie sorgt sich bereits heute um „Leib und Leben der Bürger“ – die weltweiten Dienste hätten Einblick in 10000 Server in Deutschland und könnten dabei etwa Steuerungsdaten in Kraftwerken manipulieren. Und Kriminelle könnten sich – so die Befürchtung der GI – für Erkenntnisse und Fähigkeiten der Dienste interessieren und versuchen, diese an sich zu bringen.

Smart Meter Gateway PP
Die Ergebnisse wären nicht abzusehen: Der frühere US-Verteidigungsminis­ter Leon Panetta glaubt, ein Cyber-Angriff – etwa aufs Stromnetz – könne genauso zerstörerisch sein wie die Attacke vom 11. September 2001 auf das World Trade Center. Wolfram Geier vom Bevölkerungsschutz und Katastrophenhilfe (BBK) in Bonn glaubt, dass in Deutschland 48 Stunden nach einem flächendeckenden Stromausfall die Wasserversorgung zusammenbrechen würde.
Das BSI hat mittlerweile ein „Protection Profile for the Gateway of a Smart Metering System (Smart Meter Gateway PP)“ sowie eine Reihe Technischer Richtlinien – insgesamt über 200 Seiten, teilweise sogar in schönstem Fachenglisch – veröffentlicht. Sollte es irgendwann mal einen Schaden geben, der anschließend vor Gericht verhandelt wird, würden die Gebäudebetreiber und ihre Dienstleister womöglich daran gemessen, in wie weit sie die Empfehlungen des BSI zum Betrieb berücksichtigt haben. Immerhin könnten die Kunden und Installateure für sich geltend machen, dass sie keine IT-Sicherheitswissenschaftler, sondern Praktiker sind. Ein schwacher Trost, falls Menschenleben zu beklagen sein sollten.

Autor: Joachim Jakobs

15. Biberacher Forum Gebäudetechnik
Der Autor Joachim Jakobs referiert am 18. März 2014 beim „15. Biberacher Forum Gebäudetechnik“ an der Akademie der dortigen Hochschule über „das intelligente Gebäude im Internet der Dinge“.