Mobile Zugriffe als Risiko Beim App-Zugriff auf Smart-Home-Funktionen sollten Brute-Force-Angriffe, Keylogger und Root-Exploits zuverlässig abgewehrt werden
Die Dokumentation zur GWA ist vollständig und unmissverständlich dem Betreiber zu übereignen. Damit man sich auch bei späteren Wartungsarbeiten oder einer Fehlersuche schnell in die Anlage hineindenken kann, sind normativ folgende Mindestinhalte gefordert:
- Anleitungen in deutscher Sprache zur Planung, Bedienung, Installation und Betrieb der Geräte inklusive technischer Daten sowie Angaben zur Häufigkeit und Durchführung von Instandhaltungsarbeiten
- Anlagenbeschreibung mit Auflistung der Anlageteile
- Installations- und Lagepläne (z.B. Schalt-, Verdrahtungs- und Verteilerpläne)
- Darstellung der funktionalen Verknüpfung von Sensoren und Aktoren innerhalb der GWA/SHA (z.B. in Form eines schematischen Blockschaltbildes in Anlehnung an die Darstellung in VDI 6010 Blatt 1: 2017-11, Anhang B)
- Abweichungen von der vorliegenden Vornorm inklusive Begründung unter Beachtung des jeweiligen Schutzziels (gegebenenfalls bereits im Angebot/Auftragsbestätigung enthalten).
- GWA/SHA Typ A: Für die GWA- und Smart-Home-Anwendungsfunktionen muss dem Betreiber eine detaillierte Bedienungsanleitung übergeben werden.
- GWA/SHA Typ B: Die Dokumentation muss eine detaillierte Beschreibung der Schnittstelle (Hard- und Software) zwischen GWA und SHA beinhalten. Aufgrund der separaten Anlagen (GWA/SHA) kann man für jede Anlage eine separate Dokumentation erstellen.
Im Laufe der Zeit kann es natürlich vorkommen, dass Reparaturen an Geräten vorgenommen werden müssen. Diese führt ein Instandhalter im Einvernehmen des Betreibers durch. Je nach Anlage unterscheiden sich die Instandhaltungsvorgaben. Aus diesem Grund sollte man sich mit dem Hersteller in Verbindung setzen und die Instandhaltung strikt nach den Herstellervorgaben durchführen. Häufig bemerkt man, dass eine GWA nach mehreren Jahren nicht mehr geprüft wird. Um aber den vollen Funktionsbedarf zu erhalten sind jährliche Sichtprüfungen vorzunehmen. Diese sind durch geschultes Personal oder eine vom Betreiber beauftragte Person zu realisieren. Selbstverständlich ist dabei jeder Mangel, der an der Anlage herrscht unverzüglich durch den Instandhalter zu beheben.
Funktionsfähigkeit regelmäßig prüfen
Kontakt- und Bewegungsmelder dürfen zur Beibehaltung der sicheren Funktionalität nicht verdeckt oder beklebt werden. Auch ein Gehtest des Bewegungsmelders ist in regelmäßigen Abständen durchzuführen. Sind Glasbruchmelder verbaut, ist besonders die Klebstelle am Glas zu überprüfen. Bei den Kabelübergängen ist auch auf die mechanische Beschädigung zu achten.Sind Brandmeldefunktionen mit der GWA verknüpft, ist ein regelmäßiger Austausch der Melder empfohlen. Weitere Vorgaben sind in der DIN 14646 erläutert. Auch hier ist eine jährliche Überprüfung notwendig. Die Raucheintrittsöffnungen müssen frei von jeglichen Verschmutzungen sein. Oft sind diese nämlich verdeckt aufgrund von Stäuben oder Flusen. Die Funktionsfähigkeit der HT- und HK-Technik sind hiervon nicht ausgenommen. Auch die Zentrale, Energieversorgung und alle sonstigen Anlageteile sind mindestens einmal jährlich einer Funktionsprüfung zu unterziehen.
Risiken von Smart-Device-Applikationen
Heutzutage lässt sich vieles über die umgangssprachlich so genannten »Apps« realisieren – ob die Steuerung eines Hauses oder die Videokonferenzen mit Geschäftspartnern. Oftmals ist aber eine Anbindung ins öffentliche Netz notwendig. Bedingt durch diesen Datenaustausch sind sicherheitskritische Risiken nicht auszuschließen. Um dieses Risiko zu schließen, ist auf jeden Fall eine Firewall auf dem Smart Device und dem Master zu installieren. Um alle sicherheitsrelevanten Risiken nahezu auszuschließen, ist die Software der Firewall immer auf den aktuellen Stand zu halten, zum Beispiel durch regelmäßige Updates.Die Applikation darf nur durch Berechtigte gestartet werden. Um den Zugriff nur auf Berechtigte zu beschränken, ist der Zugriff nur mit einem Nutzercode oder einem anderen gleichwertigen Identifikationsmerkmal möglich. Dies kann z.B. mit einem Fingerabdruck erfolgen.
Leider nehmen derzeit Brute-Force-Angriffe zu. Dabei wird ein Prozess gestartet, der durch systematisches Ausprobieren aller möglichen Buchstaben- und Zahlenkombination den Passwortalgorithmus zu knacken versucht. Um solche Angriffe gar nicht erst zu ermöglichen, sollte man Maßnahmen erschaffen, die dies verhindern. Nach einer Falscheingabe des Nutzercodes kann eine Zeitverzögerung sicherstellen, dass der nächste Eingabeversuch erst nach Ablauf einer bestimmten Zeit erfolgen kann. Durch diese Maßnahme verhindert man, dass in einem Bruchteil einer Sekunde mehrere Eingaben möglich sind.
Auch eine Vollsperre, die nach zehn Falscheingaben greift, ist durchaus sinnvoll. Man benutzt hierbei ähnliche Verfahren wie bei einem Handy, um die Vollsperrung aufzuheben, z.B. durch Eingabe der PUK. Trägt man die PUK allerdings dreimal falsch ein, sollten alle hinterlegten Informationen unwiderruflich gelöscht werden.
Sensible Daten sind stets vertraulich zu behandeln. Da man sich oft in öffentlichen Datennetzen befindet, sollten sichere Verbindungen gewählt werden. Normativ sind HTTPS-Verbindungen mit aktuellen Verschlüsselungsverfahren und die Nutzung von Checksum-Funktionen, bei der Prüfsummen die Integrität von Daten berechnen, als Möglichkeit angesehen.
Exploits und IT-Schwachstellen
Auch die Cyberkriminellen schlafen nicht, sie spähen sensible Daten durch Keylogger und so genannte Root-Exploits aus. Bei einem Angriff durch Keylogger werden alle Tastatureingaben protokolliert und ausgewertet. Um einen Schutz hierfür sicherzustellen, sollte eine Tastaturfunktion implementiert und die Eingabe mit einer Maus erfolgen. Diese Schutzmaßnahme wird beim Online-Banking oft verwendet, da man hier keine unautorisierten Zahlungsaufträge durchführen möchte (Bild 5).
Wie bereits erwähnt, gibt es noch die Root-Exploits. Der Exploit nutzt dabei die Schwachstellen eines Systems aus. Um dies so weit wie möglich zu verbreiten, tarnt sich die Anwendung in bekannten Installationsprogrammen, wie z.B. Skype als .exe-Datei. Von daher ist es immer ratsam, Programme direkt von der Herstellerseite runterzuladen, anstelle von Webseiten eines Drittanbieters. Denn hier können leicht modifizierte Programmversionen für ein erhebliches Chaos sorgen. Normativ ist auch der Begriff »Root« aufgeführt. Root bedeutet Zugriff auf das volle Betriebssystem und dessen Ressourcen. Derjenige, der Root-Rechte besitzt und Schwachstellen clever ausnutzt, kann also erheblichen Schaden anrichten.
Um stetige Schwachstellen zu vermeiden, sollte man sich über neue Software-Updates mit dem Hersteller in Verbindung setzen. Je nach Software der GWA kann man hier auch die automatische Suche nach Updates mittels einer Synchronisierung mit dem Internet aktivieren.
Fazit: Diese Vornorm richtet sich unter anderem an die Versicherer, Polizei, Planer, Installateure, sowie Eigentümer oder Besitzer einer Wohnanlage. Durch die Verknüpfung mit Smart Home an die GWA müssen sich alle Beteiligten mit dem Thema neu befassen. An erster Stelle stehen dabei die Anforderungen an die Sicherheit. Interessant ist diese Vornorm auf jeden Fall für alle, die sich mit GWA und/oder Smart Home befassen.
(Ende des Beitrags)
