Fünf Tipps die Dein Smart-Home sicherer machen

Banner 5 Tipps für Sicherheit

Von den vielen Vorteilen eines Smart-Homes müssen wir wohl niemand mehr überzeugen – sei es zum Steuern von Beleuchtung, Heizung, zur Überwachung oder zur Erfassung von Verbrauchswerten. Doch dieser Komfort bringt auch einige Sicherheitsrisiken mit sich, die mit jeder neuen Smart-Home Komponente weiter steigt.

Mit diesen fünf Tipps kannst Du Dein Smart-Home sicherer machen:

 1. System aktuell halten

Einer der wichtigsten Tipps ist, dass man sein System, auf dem die Smart-Home-Steuerung läuft, also z. B. einen Raspberry Pi oft und regelmäßig auf den neusten Stand bringt, was die Software betrifft. Dank der integrierten Paket-Manager ist dies sehr einfach umzusetzen.

Mit folgendem Befehl wird das System auf den neuesten Stand gebracht:

sudo apt-get update
sudo apt-get -y upgrade

Es sollte auch überprüft werden, ob die Distribution noch aktuell ist – manch ältere Distribution wird nach der Lebenszeit nicht mehr mit Updates versorgt. Wie Du Deine Distribution auf den neusten Stand bringst, erfährst Du in diesem Artikel: News-Quickie: Raspbian auf Stretch upgedated.

Möchtest Du diesen Vorgang automatisieren? Dann kannst Du das Paket unattended-upgrades mit dem Befehl sudo apt-get install unattended-upgrades installieren. Dadurch werden sicherheitskritische Pakete automatisch installiert – Nicht jedoch “normale” Programmupdates.

Beachte, dass zusätzlich auch die Software, die nicht über die Paket-Verwaltung betreut werden, aktualisiert werden muss. Also falls FHEM oder openHAB nicht über die Paketquelle installiert wurde.

2. Freigaben sinnvoll wählen und sichere Passwörter verwenden

Um das Smart-Home von außen steuern zu können, ist es meist notwendig, Freigaben im heimischen Router zu erstellen. Hier sollte man sich auch genau überlegen, welche Ports man freigeben möchte. Der Einsatz einer Firewall zum Blockieren aller anderen Ports wird empfohlen.

Alternativ kann die Steuerung auch über Cloud-Dienste erfolgen, wie z. B. hier beschrieben: openHAB #7: Steuerung per Cloud.

Zusätzlich sollte man die Kommunikation mit dem Server mittels Verschlüsselung (SSL) absichern. Mehr Informationen dazu findet Ihr in folgendem Beitrag: FHEM – Verschlüsselte Übertragung per SSL.

Jedes Admin-Interface, dass Ihr freigebt, sollte mit einem sicheren Passwort versehen werden. Seht das Passwort als letzte Linie der Verteidigung– daher wählt auch ein sicheres Passwort für Zugänge, auf die vermeintlich nur intern Zugriff erfolgt (also im Heimnetz).

Sichere Passwörter sollten vor allem eins sein: lang – dabei spielt es keine Rolle, ob man normale Worte aneinander reiht (die man sich besser einprägen kann) oder kryptische Zeichenfolgen. Das heißt, dass das Passwort “Anleger-Geplant-Schwierig-Festival!” schwerer zu knacken, als “51ch3r35_p455w0r7!” (einfaches l33t).

Dein Passwort kannst Du auch unter folgender Seite prüfen: https://wiesicheristmeinpasswort.de/.

Ändert dieses Passwort von Zeit zu Zeit.

Ganz banal, und doch oft übersehen: Achtet darauf, dass Euer heimisches WLAN über eine aktuelle Verschlüsselung (z. B. WPA2) und ein ausreichend sicheres Passwort verfügt.

 

3. Sicherer Zugriff aus dem Internet mittels ReverseProxy

Den Begriff “Proxy” hart man sicherlich schon mal gehört, wenn man sich etwas mit Netzwerken und Internettechnologie beschäftigt. Ein “Proxy” muss man sich als eine zwischengeschaltete Instanz zur Vermittlung von Netzwerkanfragen vorstellen. Früher wurden Sie gerne zur Identitätsverschleierung verwendet, weil “Proxys” die eigene Identität dem System auf der anderen Seite nicht mitgeteilt bzw. gefiltert haben.

Heute werden sie gerne Beschleunigung von Datenübertragungen verwendet, in dem wiederholte Anfragen zwischengespeichert und dadurch schneller abgerufen werden können.

So wie ich mit einem normalen “Proxy” meine eigene Identität als Client verbergen kann, so kann ich mit einem umgekehrten Proxy also “Reverse Proxy” die Identität eines Servers verbergen.

Dies kann man nun nutzen, um gezielt Daten aus seinem eigenen privaten Netzwerk im Internet zugänglich zu machen. Man kann sich also die Daten von einem oder mehreren Servern oder Diensten aus dem eigenen Netzwerk sammeln und an eine Internet-Adresse weiterleiten.

An einem Praxisbeispiel versuche ich die Funktion eines “ReverseProxy” zu verdeutlichen sowie einige Vorteile hervorzuheben:

Ich habe FritzBox mit der IP-Range 192.168.178.1 – 192.168.178.254. Ich kann also Geräten, Servern usw. theoretisch 254 verschiedene IP-Adressen zuordnen. Bei jeder IP-Adresse kann man die Ports 0 – 65535 verwenden, wobei standardmäßig schon einige in Verwendung sind, aber das soll uns in diesem Beispiel nicht weiter stören.

Ich besitze in diesem Beispiel einen RaspberryPis mit installiertem FHEM-Server, sowie eine InfluxDB-Datenbank mit Grafana-Visualisierung. Auf den FHEM-Server sowie Grafana möchte ich gerne auch von unterwegs zugreifen können. Auf die InfluxDB-Datenbank benötige ich keinen externen Zugriff.

FHEM: 192.168.178.71:8083
InfluxDB: 192.168.178.143:8186
Grafana: 192.168.178.143:3000
ReverseProxy: 192.168.178.144:Port

In meinen internen, privaten Netzwerk zu Hause kann auf alle Server und Dienste ohne Passwort und ohne SSL-Verschlüsselung zugegriffen werden, rein aus Bequemlichkeit.

Würde ich jetzt hier ein einfaches “Port-Forwarding” durchführen und alle Anfragen über eine Internetadresse “http://URL:Port” weiterleiten, müsste ich auch über einen Zugriff aus dem Internet kein Passwort eingeben. Das ist sehr unsicher, weil dann jeder, der die “http://URL:Port”-Adresse kennt, Zugriff hätte. Zudem wäre auch hier keine SSL-Verschlüsselung vorhanden, weil ja im internen Netz auch keine vorhanden ist.

Passwörter und SSL-Verschlüsselung lassen aber mittels “ReverseProxy” realisieren. Dazu sammelt er die internen IP-Adressen samt Port und leitet sie weiter und fügt eine Passwortabfrage bei Bedarf hinzu. Zudem fügt er noch eine SSL-Verschlüsselung hinzu, falls man dies möchte. Aus den oben genannten IP-Adressen werden dann folgende:

FHEM: 192.168.178.71:8083       -> https://192.168.178.144:450
Grafana: 192.168.178.143:3000  -> https://192.168.178.144:451

Diese neuen internen Adressen lassen sich dann wie üblich mittels “Port-Forwarding” auf meine eigene “https://URL:Port”-Adresse weiterleiten. Ich kann auch noch Zertifikate, z B. mittels letsencrypt kostenlos erstellt, im ReverseProxy hinterlegen, damit die Verbindung auch als sicher eingestuft wird.

 

4. Sicherheitskritische Komponenten vom Internet trennen

Komponenten, die sicherheitsrelevante Funktionen übernehmen (z. B. Türöffner, Brennersteuerung der Heizung) sollten niemals “direkt” mit dem Internet verbunden werden, da ein unbefugter Zugriff hier auch katastrophale Folgen haben kann.

Hier kann man auf die Verwendung von VLAN (Virtual Local Area Network) zurückgreifen. Hiermit wird im eigenen physikalischen Netzwerk mehrere logische Teilnetzwerke erstellt, die untereinander nur nach speziellen Regeln kommunizieren können (Layer3-Switch). Vergleichbar ist das mit der Gäste-WLAN-Funktion die einige Router anbieten.

Helfen kann Euch hierbei ein Switch der VLAN-Unterstützung (Layer3) mit sich bringt.

Wie Ihr ein solches Netzwerk realisiert, werden wir in einem zukünftigen Beitrag erläutern.

 

5. Zugriffsrechte einschränken

Schon bei der Installation der Smart-Home Software sollte über die Zugriffsrechte nachgedacht werden. Brauch die Anwendung unbedingt Root-Rechte?

Auch Steuerung über Dienste wie IFTTT, Telegram, E-Mail oder SMS bieten Angreifern weitere Einfallstore in das Smart-Home. Diese Dienste sollte man nur aktivieren, wenn einem die Risiken bewusst sind und dann auch nur mit den Rechten, die unbedingt notwendig sind – sprich Zugriffsrechten auf die Sensoren oder Komponenten auf die externer Zugriff Sinn ergibt.

 

Allgemeine Überlegung: Sicherheit vs. Komfort

Grundlegend sollte man überlegen, welche Funktionen ich unbedingt für den Fernzugriff freigeben soll. Den soll ich unbedingt die Steuerung meines Dachfensters übers Internet freigeben, obwohl ich das sicher nie von unterwegs aus ansteuern werde? Ergibt es Sinn das Garagentor außerhalb der Reichweite meines heimischen WLANs zu öffnen?

Diese Fragen muss jeder für sich selbst beantworten – und lieber einmal öfters über Nutzen und Risiko darüber nachdenken.

 

 

Beitragsbild erstellt von Designed by Freepik

Patrick

Gründer und Autor von frombeyond.de – Seit 25 Jahren im Bereich IT unterwegs, leidenschaftlicher Computerspieler, Technik-Freak und begeistert von allem was einen Motor (Auto/Motorrad/Flugzeug) hat.

Nutzt Zuhause openHAB2 zusammen mit HomeMatic Komponenten sowie netatmo als Wetterstation. InfluxDB und Grafana zur Auswertung.

*Diese Links führen zu Amazon- oder anderen Online-Angeboten, keine Verfügbarkeitsgarantie, keine Garantie auf günstigsten Preis, Preise können variieren, Preise inkl. MwSt. / evtl. zzgl. Versandkosten, alle Angaben ohne Gewähr. Letzte Aktualisierung am 16.12.2017