Am 16. März läuten im Stephansdom um 2 Uhr morgens plötzlich die Glocken. Außer Plan. Es ist nicht Silvester. Keiner weiß, warum. Der Kardinal fragt nach, was passiert ist. Der Dompfarrer versucht hektisch, die Geläutsteuerung händisch abzuschalten. 20 Minuten später ist alles wieder ruhig.

Am nächsten Tag folgt dann aber die Gewissheit: Ein Hacker hatte sich über den Fernwartungszugang Zutritt zum Geläut verschafft. Das "Smarthome Stephansdom", der aus der Ferne gesteuert werden kann, wird vorerst wieder auf Eis gelegt. Die Glocken dürfen nicht mehr aus der Ferne via Tablet oder Handy angesteuert werden. Wenn Henri Ruotsalainen solche Geschichten hört, muss er schmunzeln. "Ja, das ist unsere Baustelle", sagt er.

Schwachstelle Schnittstelle

Ruotsalainen arbeitet am Institut für IT-Sicherheitsforschung der Fachhochschule St. Pölten und setzt sich mit der Sicherheit von Smarthomes auseinander. Er vermutet, dass der Fernwartungszugang des Wiener Wahrzeichens womöglich schwach abgesichert war. Ein durchaus übliches Problem, das auch in vielen "normalen" Smarthomes in der Analyse auftauche, die im Rahmen von Sicherheitschecks durchgeführt werden.

Sensoren in Smarthomes stellen ein hohes, aber unbeachtetes Sicherheitsproblem dar. Findige Hacker können dadurch schnell die Oberhand über die Steuerung von Eigenheimen gewinnen.
Foto: FHSTP / Martin Lifka

Auf digitaler Seite könnte man mittlerweile die Zugänge zwar schon sehr gut absichern, aber eine große und wenig beachtete Sicherheitslücke gebe es immer noch: die Schnittstelle von analoger zu digitaler Welt. Sie steht im Mittelpunkt des Projekts "Ares – Attack resilience for IoT-Based sensor devices in home automation", an dem die Donau-Uni Krems (Lead), die Universität Wien und die FH St. Pölten beteiligt sind. Ares könnte nun einen neuen Sicherheitslevel ermöglichen, der auch dem "Smart-Dome" zugutekommen könnte. Der Projektansatz: In vielen Smarthomes werden für die Automatisierung und Fernsteuerung Sensoren eingesetzt. Dazu zählen etwa Temperaturfühler für die Klimaanlagen- oder Heizungsanlagensteuerung, aber auch Lichtsensoren für die Beleuchtungsregulierung.

Das Problem: "Die Mikroprozessoren vertrauen den Sensordaten blind", sagt Ruotsalainen. Würden Hackerinnen oder Hacker die Sensoren manipulieren, austauschen oder an den Schnittstellen zwischen analoger und digitaler Welt Fake-Signale einschleusen, würden es die Steuerungen der Smarthomes nicht wahrnehmen. Um solche Attacken sichtbar zu machen, hat das Projektteam nun eine elegante Lösung gefunden.

Im Fokus steht dabei die elektrische Energiequelle, die jeder Sensor benötigt. Dem Gleichstrom, der in den jeweiligen Sensor hineinfließt, werden Abfolgen winziger und zufälliger Spannungsschwankungen mitgeschickt. Mit diesen winzigen Kräuselungen kann etwas erreicht werden, dem man in der Welt des Stromes normalerweise nicht begegnet: Das System kann nun erkennen, ob die Sensoren mit Energie aus eigenen Quellen betrieben werden.

Strom mit Mascherl

Dem Sensorstrom wird sozusagen ein Mascherl umgebunden – oder wie es Ruotsalainen formuliert: "ein Wasserzeichen" mitgeschickt. Ob mitgesendetes Mascherl oder Wasserzeichen: Die Steuerung kann nun erkennen, ob ein Sensorsignal vertrauenswürdig ist oder nicht. "Kommt ein Signal ohne digitales Wasserzeichen an, weiß man, dass etwas nicht stimmt." Wie Sensoren manipuliert werden könnten, sagt Ruotsalainen, dafür seien der Fantasie – leider – keine Grenzen gesetzt. Die Liste möglicher Betrugsszenarien ist lang.

Vorstellbar wäre unter anderem, dass Smarthome-Besitzer und -Besitzerinnen, die wenig von Technik verstehen, auf falsche Wartungsmonteure hereinfallen, die manipulierte Sensoren einbauen. Denkbar wäre auch, dass man selbst Sensoren aus fragwürdigen Quellen im Internet für eine Reparatur bestellt. Dieses Grundprinzip von Angriffserkennung und Angriffsvermeidung durch sensorseitige Wasserzeichen könnte nun aber nicht nur an den Analog-Digital-Schnittstellen, sondern in der gesamten Fernwartungskommunikation eingesetzt werden.

Wenn Kontrolle besser ist

Das, sagt Ruotsalainen, könnte auch den "Smart-Dome" besser absichern: Allen Daten in der Fernwartung wird am Handy beziehungsweise am Tablet ein digitales Wasserzeichen mitgesendet. Sobald ein Kommando für die Glockenaktivierung bei den Steuerungseinheiten landet, wird überprüft, ob auch ein Wasserzeichen erkennbar ist. Kommen Kommandos ohne oder mit ungültigem Wasserzeichen an, werden sie aus dem Kontrollsystem entfernt.

In einem weiteren Schritt werden verdächtige Kommandos zur weiteren Untersuchung an den Dienstanbieter geschickt. "Damit könnte man sicherstellen, dass nur befugtes Kirchenpersonal die Glocken aktivieren kann", sagt Ruotsalainen. Die betroffenen Personen müssten dann nur noch darauf achten, dass ihnen nicht ihr Handy oder Tablet gestohlen wird. Aber das ist wieder eine andere Geschichte. (Norbert Regitnig-Tillian, 9.4.2022)