Wenn der Wartungstechniker bequem übers Internet in die Haussysteme kommt, können Hacker und Cybermilitärs das auch. Das Gefahrenpotential ist beängstigend – doch wie kann man sich schützen?
PreviewPagemarker“ id=“pageIndex_1″>Im intelligenten Heim ist Vernetzung angesagt. Die Klimaanlage etwa teilt der Jalousiensteuerung mit, wann der Sonnenschutz heruntergefahren werden muss. Und der Heizungssteuerung schickt sie via Internet die Anweisung, die Fußbodenheizung mit 70 Grad warmem Wasser zu beschicken. Der intelligente Stromzähler und die Solaranlage auf dem Dach stimmen sich ab, wie viel der benötigten Energie die Sonne liefert und wie viel vom örtlichen Energieversorger wann und zu welchem Tarif bezogen werden soll.
Den Wartungstechnikern erspart die Vernetzung aller Haussysteme und ihrer Steuerungen über das Internet viel Arbeit. Sie können von ihrem PC aus in die Haussysteme der Kunden schauen und feststellen, was defekt ist. Aber das macht diese Haussysteme zum Angriffsziel für Hacker. Auch die Cybermilitärs der wichtigsten Industriestaaten haben den digitalen Angriff auf das smarte Heim schon geübt.
„Die Angriffssoftware dafür ist schon seit längerer Zeit verfügbar und gehört zum digitalen Waffenarsenal“, berichtet der finnische Militärexperte für digitale Kriegsführung und langjährige Dozent an der Nationalen Verteidigungsuniversität in Helsinki, Jarno Limnell. Dafür haben amerikanische und chinesische Cybermilitärs unabhängig voneinander sogar eine eigene Angriffstechnik namens Evasion Technique oder Umgehungstechnik entwickelt. Der Name deutet es an: Sie schleicht sich um die üblichen Schutzmechanismen der Computersysteme wie Anti-Viren-Software oder Firewalls herum.
Die ferngesteuerte Gasexplosion
„Gegen solche Angriffe ist das smarte Heim nicht gewappnet“, warnt Sicherheitsexperte David Kleidermacher vom Steuerungsspezialisten Green Hills Software. Bereits im Mai vergangenen Jahres sind Hacker in die Heizungssteuerung einer hessischen Justizvollzugsanstalt eingedrungen. Sie wollten damit auf eine Sicherheitslücke aufmerksam machen. Dasselbe Steuerungssystem wie im hessischen Gefängnis wird auch in Wohnhäusern verwendet. Wer via Internet Zugriff auf die intelligente und vernetzte Heizungssteuerung hat, kann viel Schlimmeres anstellen, als nur die Heizung abzuschalten. „Wenn ich die Steuerungssoftware hacke und verändere, so dass sie zum Beispiel das Gas einschaltet, aber den entsprechenden Zündmechanismus erst nach einer Stunde betätigt, wird es explosiv“, meint Netzaktivist und Sicherheitsexperte Sascha Ludwig, der sich solche Heizungssteuerungen genauer angeschaut hat.
Dafür haben die Cybermilitärs unterschiedliche Schadsoftware entwickelt. Je nach verwendeter Zündsicherung werden unterschiedliche Signale zum sogenannten Feuerungsautomaten gesendet, der verhindern soll, dass Gas ausströmt, ohne dass eine Gasflamme gezündet ist. Am weitesten entwickelt sind die digitalen Waffen gegen die sogenannte Ionisationszündsicherung. Beim Verbrennen des Gases werden neutrale Moleküle in Ionen zerlegt, die die über eine Elektrode angelegte elektrische Wechselspannung zum Gasbrenner gleichrichten und so Strom bis zu 50 Mikroampere fließen lassen. Fließt kein Strom, schließt der Automat das Gasventil. Bei Angriffen wird entweder die Systemsoftware so manipuliert, dass sie immer das Signal für fließenden Strom erkennt, oder das Signal selbst wird ersetzt. Der Informatiker Ralf Kalmar vom Fraunhofer-Institut für Experimentelles Software-Engineering in Kaiserlautern fordert deshalb: „Wenn sich der Einsatzzweck auch nur geringfügig ändert, muss man die Systeme neu analysieren.“
Die Nachrüstung mit Sicherheitssoftware wird teuer
Doch das ist in vielen Fällen unterblieben. Im Zuge der völlig überhasteten Energiewende haben Bundesregierung und Energieversorger mächtig Druck auf die Entwickler solcher Haussysteme ausgeübt. Die für das smarte Heim notwendigen Steuerungssysteme sollten schnell verfügbar und preiswert sein. Ralf Kalmar und sein Team vom Fraunhofer-Institut haben ein Verfahren entwickelt, um die Steuerungssysteme für das smarte Heim sicherer zu machen. „Wir haben uns die Wechselwirkung zwischen Angriffssicherheit und funktionaler Sicherheit angeschaut“, berichtet der Computerwissenschaftler. Daraus ist ein Modell nicht nur der Heizungssteuerung, sondern der gesamten Heizungsanlage mit allen Wechselwirkungen entstanden. Dieses Modell gibt dem Entwickler schon sehr frühzeitig Hinweise auf potentielle Gefahren und Risiken. Genau diese Risiken muss der Entwicklungsingenieur einschätzen und entscheiden, mit welchen Sicherheitsmaßnahmen er dem entgegenwirken will.
Verschlüsselungsmethoden, Einbruchmeldesysteme, die warnen, wenn ein Hacker sich Zugang zu einer digitalen Heizungssteuerung zu verschaffen versucht, stehen bereits zur Verfügung. Auch Sicherheitssoftware, die verhindert, dass ein Gasventil isoliert geöffnet werden kann, ist schon marktreif. Bereits der Einsatz eines einfachen Wärmesensors, wie zum Beispiel in früheren Heizungssystemen mit einem Bimetallstreifen realisiert, würde helfen. Solche bewährten Lösungen müssen allerdings in das System der digitalen Steuerung einbezogen werden. Bei der modellbasierten Entwicklung wird der Ingenieur deshalb mit Vorschlägen vom Entwicklungssystem unterstützt. „Für das System ist das Öffnen eines Ventils durch eine Heizungssteuerung zunächst ein isolierter Vorgang“, erläutert Ralf Kalmar. Erst durch die Beschreibung der Wechselwirkungen von Angriffssicherheit und funktionaler Sicherheit wird klar, welches Schadenspotential besteht. Nun müssen allerdings viele Steuerungssysteme noch einmal überarbeitet werden. Sie müssen mit Sicherheitssoftware oder entsprechender Hardware nachgerüstet werden. Das kostet Zeit und viel Geld.