c't-Test: Große Schwachstellen in vernetzten Alarmanlagen

Ein häufig vorhandener Schwachpunkt war denkbar banal: Die Steuerungsoberfläche im Netz einiger Geräte etwa von Abus, Lupus Electronics oder Climax Technology war mit einem Standard-Login erreichbar. Auch bei der Freigabe im Netz musste dieser nicht zwingend geändert werden - und war damit einfach zu erraten. "So wird dieser wichtige Schritt von vielen Nutzern schlicht vergessen", erklärte "c't"-Redakteur Sven Hansen. Hinzu komme, dass sich über spezielle Online-Portale wie Shodan solche Geräte wie bei einer Google-Suche einfach auffinden ließen. "Beides zusammen führt schnell zum Alamranlagen-GAU", sagt Hansen.

Bei ihren Recherchen fanden Hansen und sein Kollege Ronald Eikenberg Hunderte offen übers Netz erreichbare Anlagen in aller Welt. Das Missbrauchspotenzial sei dabei erschreckend gewesen, so die Redakteure. Für einen Einbrecher sei es ein Leichtes, die Geräte etwa über die IP-Adresse geografisch grob zu orten. Wer noch E-Mail-Adressen oder Handynummern für den Fall eines Alarms hinterlegt, habe es potenziellen Einbrechern zusätzlich leicht gemacht.

Detailliertes Bewegungsprofil sichtbar

Anhand des Anlagen-Logbuchs hätten Angreifer zudem den Tagesablauf auskundschaften könne, wann etwa das Garagentor geöffnet oder die Alarmanlage scharf gestellt werde. Besonders gruselig fanden die Redakteure, dass die neuesten Anlagen des Herstellers Climax auch Kameras einbinden, "deren Überwachungsfotos ebenfalls im Web-Interface angezeigt werden".

Hersteller bestürzt über Ergebnis

Die Hersteller hätten allesamt "erschrocken" reagiert. Dass es sich um ein "einfaches Passwortproblem" gehandelt hat, sei für ihn schockierend gewesen, sagte Matthias Wolff, Hauptgesellschafter des Herstellers Lupus, dem Magazin. An dieser Stelle hätten die Entwickler "den Wald vor lauter Bäumen nicht gesehen".

"Als Sicherheitshersteller läuft es mir angesichts der offenen Systeme kalt den Rücken herunter", sagte etwa Adrian Porger, Geschäftsführer von Climax Deutschland der "c't". Er sieht demnach trotz des vielleicht laxen Umgangs der Nutzer mit ihren Passwörtern auch die Hersteller in der Verantwortung: "Wir sind als Anbieter von Sicherheitstechnik natürlich verpflichtet, ein möglichst wasserdichtes Produkt abzuliefern."

Inzwischen hätten die genannten Firmen Änderungen und Sicherheitsupdates herausgegeben.