Wie gefährlich ist smarte Beleuchtung in Bürogebäuden?
Je smarter Arbeitsumgebungen werden, desto mehr wird von uns verlangt, der Technik aus dem Internet der Dinge zu vertrauen. Doch mit der Sicherheit ist es bei den bisherigen IoT-Geräten nicht weit hin und die Gefahrenlage spitzt sich langsam zu.
Wir sind als Arbeitende umgeben von immer mehr intelligenten „Dingen“ – Überwachungskameras, Bewegungsmelder, Thermostaten oder Geräten fürs Gebäudemanagement, die beispielsweise die Belegung von Konferenzräumen anzeigen oder verwalten. Deren Zahl steigt ständig und bald werden wohl die meisten Geräte, die in irgendeiner Form Elektronik drin haben, smart und vernetzt sein, vom Türschloss bis zum Leuchtmittel.
Jedes Gerät mit einer Betriebssoftware kann gehackt werden, auch Lampen.
Intelligente Glühbirnen gibt es schon länger und sie gehören mit den am schnellsten wachsenden IoT-Geräten. Philips war einer der Pioniere in diesem Bereich, sowohl technologisch als auch mit der Einführung von Consumer-Produkten, wie beispielsweise die Tageslicht-Wecker. Smarte Bürobeleuchtung gehört inzwischen zu Philips‘ Produktportfolio ebenso in dem anderer Hersteller wie Osram. Bürobetreiber wissen die Vorzüge der intelligenten Lampen zu schätzen, denn sie helfen ihnen Energiekosten zu sparen und tragen zu einer angenehmeren Büroatmosphäre bei.
Was kann schon passieren?
Das Problem: So wie jedes andere vernetzte Gerät, das eine Betriebssoftware hat, kann es gehackt werden, auch wenn die Hersteller gerade im Business-Umfeld sich viel Mühe geben, ihre Produkte abzusichern. Dem Security-Anbieter Check Point gelang es vor kurzem, Philips Hue, eine smarte Lampe fürs private Wohnzimmer, und deren Steuerungseinheit zu hacken. Ein Fehler in der Implementation des Kommunikationsprotokolls zwischen Lampe und der Steuerungs-App auf dem Handy des Anwenders machte das möglich.
Die Frage „Was kann schon passieren, wenn irgendjemand eine Lampe hackt?“, ist zwar berechtigt, die Antwort darauf trägt aber nicht viel zur Beruhigung von Smart-Home-Fans bei. Der Angreifer konnte sich über die Steuerungs-App ins Handy seines Opfers einschleichen und von da aus auch in sein Heimnetzwerk und seien PC (siehe Video). Ähnliches ist theoretisch auch mit der Beleuchtung eines Bürogebäudes möglich. Ein Szenario, nach dem ein Hacker alle Lichter ausgehen lässt, einen Feueralarm auslöst und die allgemeine Panik für seine Zwecke nutzt, gehört dabei noch zu den harmloseren Varianten.
IoT-Geräte sind häufig unsichtbar
Die viel größere Gefahr besteht darin, dass eine gehackte Beleuchtung nichts weniger ist als ein Eintrittsticket ins Firmennetzwerk. Hinzu kommt, dass IoT-Hacks meist schwer nachzuvollziehen sind. Check Point rechnet damit, dass demnächst jeder vierte Angriff auf Firmennetzwerke über das Internet der Dinge (Internet of Things, IoT) erfolgen wird. Die Zahl von IoT-Geräten steigt schneller als die Industrie mit Sicherheitskonzepten und -Lösungen nachkommen kann. Inzwischen haben einige Firmen bis zu vier IoT-Geräte pro Mitarbeiter im Einsatz.
„Abgesehen davon, dass die erste Generation vernetzter ‚Dinge‘ sehr unsicher gebaut wurde, sind die meisten IoT-Geräte heute für die IT immer noch unsichtbar und deswegen nicht Teil der Security-Infrastruktur“, erklärt Itzik Feiglevitch, Product Manager IoT Cyber Security bei Check Point. „Zugleich kommunizieren die meisten aber permanent mit einem Server des Herstellers und diese Kommunikationsleitung ist in vielen Fällen nicht abgesichert.“
Laut Feiglevitch ist die einzige Möglichkeit, Geräte der ersten Generation abzusichern, diese so gut es geht einzuzäunen und das Firmennetz ihnen gegenüber abzuschirmen. IoT-Geräte der Zukunft sollen aber von Haus aus mit Security-Mechanismen ausgestattet sein und natürlich sind Hersteller wie Check Point dran, eigene Sicherheitskonzepte im Markt durchzusetzen. „Wir arbeiten gerade mit vielen Herstellern von IoT-Geräten zusammen, um von vornherein Sicherheitsmechanismen in die Elektronik einzubauen“, bestätigt Feiglevitch.
Sicherheit als Teil des Gerätekonzepts
IoT-Geräte der ersten Generation gehören in Quarantäne.
Das Konzept des israelischen Anbieters heißt Nano-Agents. Das sind zunächst nichts weiter als einige Zeilen Programmiercode innerhalb der Betriebssoftware der Geräte. Deren einzige Aufgabe ist es, einen Kommunikationskanal mit der Check Point Security Cloud aufzubauen. Dort sind Informationen über die jeweiligen Geräte und ihre Funktionsweise hinterlegt, sodass darüber die passende Security-Software auf das Gerät geladen und installiert werden kann. letztere integriert das Gerät in die Security-Infrastruktur des Betreibers und wird über die Check Point Cloud mit Updates aktuell gehalten.
Angesichts der Gefahren, die sich durch das Internet der Dinge abzeichnen, bleibt zu hoffen, dass möglichst viele IoT-Hersteller solche und ähnliche Security-Mechanismen in ihren Geräten einbauen. In kritischen Bereichen wie der industriellen Produktion oder bei selbstfahrenden Autos ist das mit Sicherheit der Fall. Laut Feiglevitch sind viele Hersteller nicht abgeneigt, Check Points Nano-Agents sogar zum Teil der Hardware zu machen. Davon abgesehen sollte aber vielleicht auch das smarte Garagentor so sicher sein, dass es nach dem nächsten Update immer noch aufgeht.
Interessant, dass jeder 4. Angriff auf das Firmennetzwerk über IoT Geräte läuft. Ich finde es schon sinnvoll, neue Gebäude technisch klug zu planen. Jedoch darf man nicht alles automatisiert passieren lassen.