Wenn man Kühlschränke, Überwachungskameras und Garagenöffner ins Internet hängt, können von dort aus auch unerwünschte Zugriffe erfolgen. Schutzvorrichtungen sind nötig. Mit der Etablierung von Smarthome-Systemen wurde aber schnell klar, dass die Systeme punkto Sicherheit oft zu wünschen übrig lassen. Standards und Zertifizierungen fehlen, Sicherheitsupdates bleiben aus. Auch die Nutzer sind nachlässig: Standard-Passwörter werden nicht oder nur mit sehr unsicheren Zeichenfolgen ersetzt.

Im Projekt Ares (Resilienz von IoT-basierten Sensoren in der Heimautomation gegen Cyberattacken) der Donau-Universität Krems und der FH St. Pölten, unterstützt von der NÖ Forschungs- und Bildungsgesellschaft (NFB) vom Land Niederösterreich, sollen potenzielle Sicherheitslücken adressiert werden.

Um resilientere Systeme zu schaffen, werden neue technische Lösungsansätze angedacht und Problembewusstsein bei den Nutzern geschaffen. "Meist geht es nicht um klassische Delikte wie Diebstahl", so Projektleiter Thilo Sauter vom Zentrum für Mikro- und Nanosensorik der Donau-Uni. "Bei Cyberstalking gibt es aber zum Beispiel Potenzial – etwa wenn nach einer Scheidung die Zugänge zum Smarthome-System benutzt werden, um den Ex-Partner zu tyrannisieren."

Angreifbarkeit von Sensoren

Ein technischer Fokus im Projekt betrifft die Angreifbarkeit von Sensoren, die im Smarthome omnipräsent sind. Sie helfen, Heizung und Jalousien zu steuern oder Türbereiche zu überwachen. "Die Idee ist, die Sensordaten mit einem Wasserzeichen zu versehen, sodass man ihre Authentizität sicherstellen kann", sagt Sauter. "Werden die Daten von außen verfälscht, würde das Wasserzeichen zerstört und die Manipulation offensichtlich."

Das Besondere dabei ist die Datenquelle, die zur Erstellung der Signatur herangezogen werden soll. Die Forscher wollen sich der "Meta-Informationen" des Systems bedienen: "Man könnte das Rauschen – also zufällige Variationen – in einem Funkkanal oder in der Stromversorgung verwenden, um die Signatur zu basteln", erklärt Sauter. Der Ansatz wäre resilienter gegen Angriffe als Signaturen, die auf vordefinierten algorithmischen Funktionen basieren und die etwa mithilfe von statistischen Methoden angreifbar sind.

Signatur aufteilen

Ein Problem dabei: Die Datenpakete, die von den Sensoren verschickt werden, sind oft überschaubar klein. "Verschickt ein Temperatursensor einmal pro Minute ein wenige Bit großes Signal, müsste auch das Wasserzeichen entsprechend klein sein", sagt der Forscher. Ein Lösungsansatz dafür wäre, die Signatur auf mehrere Übertragungen aufzuteilen, um sie beim Empfänger wieder zusammenzufügen.

Die Überprüfung, ob eine Signatur gültig ist, würde wie bei etablierten Kryptoverfahren – etwa per geteilten oder öffentlichen Schlüssel – erfolgen. Letzten Endes soll das Projekt klären, welche Ansätze in diesem Bereich machbar und sinnvoll sind.

Die soziologischen Untersuchungen in dem Projekt beinhalten eine – gerade in Auswertung befindliche – Umfrage, in der nach Erfahrungen mit Angriffen auf Smarthome-Systeme und dem diesbezüglichen, subjektiven Sicherheitsgefühl gefragt wird. So viel vorweg: Sauter gibt sich angesichts der Daten erstaunt, wie verbreitet internetfähige Haushaltsgeräte bereits sind. (Alois Pumhösel, 23.6.2020)