In Zeiten von steigenden Einbruchszahlen, ist es beruhigend, wenn man sein Zuhause auch im Urlaub per App im Blick hat. Im Rahmen eines Tests von vernetzten Alarmsystemen entdeckten die Redakteure der c’t jedoch gravierende Sicherheitslücken. Einbrecher könnten dadurch ein detailliertes Bewegungsprofil ihrer potenziellen Opfer erstellen und ungestört auf Raubzug gehen, schreibt das Computermagazin in seiner aktuellen Ausgabe 14/16.
Der Schwachpunkt verschiedener Alarmanlagen von Abus, Lupus Electronics oder Climax Technology ist der für das Webinterface hinterlegte Standardzugang. „Dieser muss bei Anmeldung der Alarmanlage nicht zwingend geändert werden und so wird dieser wichtige Schritt von vielen Nutzern schlicht vergessen“, erklärt c’t-Redakteur Sven Hansen. „Hinzu kommt, dass Online-Portale wie Shodan beliebige Gerätschaften im Netz nach demVorbild Google indexierenund auffindbar machen. Beides zusammen führt schnell zum Alarmanlagen-GAU.“
Hansen und seine Kollegen fanden bei ihren Scans hunderte offen übers Netz erreichbare Anlagen in aller Welt – von Skandinavien über die Benelux-Staaten bis nach Australien. Über die IP-Adresse lassen sich die Anlagen geografisch grob orten. Außerdem kann jedermann einsehen, wer wann das Haus verlässt und ob die Alarmanlage regelmäßig ein- und ausgeschaltet wird. „Die Inhaber machen es den Eindringlingen zusätzlich leicht, indem sie ihr System mit persönlichen Informationen füttern und für den Fall einer Alarmierung auch Handynummer oder E-Mailadresse hinterlegen“, so Hansen.
Mit diesen Sicherheitslücken konfrontiert, zeigten sich die Hersteller erschrocken. Gegenüber Hansen räumte der am stärksten betroffene Hersteller Lupus ein, dass die Entwickler schlichtweg nicht daran gedacht haben, dass Nutzer die Anlagen online stellen könnten, ohne das Passwort zu ändern.
Immerhin haben alle Firmen aufgrund der c’t-Recherche Änderungen und Sicherheitsupdates herausgegeben. „Wer unseren Artikel gelesen und die Updates eingespielt hat, dürfte mit frischer Firmware und einem mulmigem Gefühl aus der Sache herauskommen“, sagt Hansen. Alle anderen, die es nicht gelesen haben, sollten umgehend das Passwort Ihres Sicherheitssystems erneuern.
Der Schwachpunkt verschiedener Alarmanlagen von Abus, Lupus Electronics oder Climax Technology ist der für das Webinterface hinterlegte Standardzugang. „Dieser muss bei Anmeldung der Alarmanlage nicht zwingend geändert werden und so wird dieser wichtige Schritt von vielen Nutzern schlicht vergessen“, erklärt c’t-Redakteur Sven Hansen. „Hinzu kommt, dass Online-Portale wie Shodan beliebige Gerätschaften im Netz nach demVorbild Google indexierenund auffindbar machen. Beides zusammen führt schnell zum Alarmanlagen-GAU.“
Hansen und seine Kollegen fanden bei ihren Scans hunderte offen übers Netz erreichbare Anlagen in aller Welt – von Skandinavien über die Benelux-Staaten bis nach Australien. Über die IP-Adresse lassen sich die Anlagen geografisch grob orten. Außerdem kann jedermann einsehen, wer wann das Haus verlässt und ob die Alarmanlage regelmäßig ein- und ausgeschaltet wird. „Die Inhaber machen es den Eindringlingen zusätzlich leicht, indem sie ihr System mit persönlichen Informationen füttern und für den Fall einer Alarmierung auch Handynummer oder E-Mailadresse hinterlegen“, so Hansen.
Mit diesen Sicherheitslücken konfrontiert, zeigten sich die Hersteller erschrocken. Gegenüber Hansen räumte der am stärksten betroffene Hersteller Lupus ein, dass die Entwickler schlichtweg nicht daran gedacht haben, dass Nutzer die Anlagen online stellen könnten, ohne das Passwort zu ändern.
Immerhin haben alle Firmen aufgrund der c’t-Recherche Änderungen und Sicherheitsupdates herausgegeben. „Wer unseren Artikel gelesen und die Updates eingespielt hat, dürfte mit frischer Firmware und einem mulmigem Gefühl aus der Sache herauskommen“, sagt Hansen. Alle anderen, die es nicht gelesen haben, sollten umgehend das Passwort Ihres Sicherheitssystems erneuern.
