Sicher ins Netz:
Sicheres smart home

Sicher ins Netz - Das IT Sicherheit Buch

Internet zu Hause, und immer mehr intelligente Geräte im Haus – das IoT (Internet of Tools = Internet der Dinge) kommt in unseren Alltag! Was ist hier zu beachten? Hier die wichtigsten Tipps.

9.1 Passwörter ändern

Smart-Home Geräte, zum Beispiel der Staubsaug-Roboter oder der Superduper-Kaffeeautomat, und nicht zuletzt die Assistenten von Google oder Amazon… (Alexa Echo oder Google Bot und deren Verwandte), diese smarten Geräte kommen mit voreingestellten Passwörtern zu Dir nach Hause oder in Dein Büro. Bitte achte beim Einrichten darauf, dass Du neue Passwörter vergibst, denn sonst können Hacker oder andere diese Standardpasswörter als Einfallstore nutzen.

9.2 Firmware aktualisieren – sicheres smart home

Was ist Firmware?

Technische Geräte (Smart TV, Smartphone, DVD-Player, Digitalkameras, Auto…) benötigen für den ordnungsgemäßen Betrieb eine Firmware, quasi als grundlegende Betriebssoftware. Ohne Firmware kannst Du das Gerät nicht betreiben. Sie befindet sich oftmals im Flash-Speicher.

Unsere Empfehlung:

  • Aktiviere automatische Updates der Firmware.Somit ist das Gerät immer auf einem aktuellen Stand, ohne dass Du Dich darum kĂĽmmern musst.

    Wenn die Firmware diese automatischen Updates nicht anbietet, logge Dich alle paar Monate auf Dein Gerät ein und schau nach, ob eine neuere Version der Firmware zur Verfügung steht. Dann lade diese herunter und installiere sie. Manchmal bieten die Hersteller Newsletter zu den neuen Funktionalitäten des Produktes an, die solltest Du abonnieren. Die Hersteller schließen durch neue Versionen der Firmware Sicherheitslücken und ergänzen die Funktionalität Deines Geräts immer wieder um teilweise recht interessante Funktionen.

  • Starte Geräte dieser Art einmal im Monat neu. Das Gerät nimmt dann Kontakt mit dem Internet auf, und damit werden die neuesten Einstellungen inklusive der Firmware-Aktualisierungen automatisch heruntergeladen und implementiert. So bleibt Dein Gerät immer auf dem aktuellen Stand.

9.3 Fernzugriff – Ist ein Remote-Zugang erforderlich?

Ein Fernzugriff zum Öffnen Deines Garagentors macht sicher Sinn. Ist das bei anderen Geräten wie bei der Lampensteuerung auch der Fall? Bitte prüfe für jedes Deiner Geräte, ob diese immer einen Fernzugriff benötigen. Wenn Du keinen Zugriff von außen auf Dein Gerät brauchst, dann deaktivere diesen bitte. Damit reduziert sich deutlich die Gefahr einer „feindlichen“ Übernahme.

9.4 Kabel statt Funk – oder WLAN per Stromkreis?

Funk-Netze sind deutlich störungsanfälliger und angreifbarer als Kabelverbindungen. Gerade bei sicherheitsrelevanten Geräten wie Alarmanlagen und Kameras sind Kabel zu bevorzugen. Moderne Einbrecher bringen nämlich Störsender gleich mit.

Du kannst Dein Internet auch ĂĽber den Stromkreis im Haus verbreiten, ohne Bohren zu mĂĽssen! Das D-LAN-Netz mit Geräten (z. B. von Devolo) verbindet Dein LAN mit dem Stromkreis, und von dort kannst Du es aus jeder Steckdose mit dem passenden Endgerät verbinden!

9.5 Datenlecks schlieĂźen

Auch die Geräte-Hersteller sind neugierig auf Deine Daten, denn diese bergen detaillierte Informationen über Dein Nutzungsverhalten. Häufig ist dies sogar die Haupt-Motivation, um Geräte überhaupt anzubieten, und darüber lässt sich trefflich spekulieren. Unsere Empfehlung ist, diese Funktionen des Datensammelns und des Weitergebens der Daten zu deaktivieren, denn Du weißt im Endeffekt nicht, welche Daten wohin übertragen werden.

9.6 Sicher mit der NAS – sicheres smart home durch Datensicherung

Was ist ein NAS (network attached storage)? Ein NAS bietet einen zentralen, einheitlichen Datenspeicher fĂĽr mehrere Anwendungen und Benutzer. Ein NAS ist ein Netzwerkspeicher, im Kern ein Computer mit mehreren Festplatten, der Daten an alle angebundenen Geräte ausliefert und von den verbundenen Computern, Notebooks, Smartphones und dergleichen wieder Daten zurĂĽckbekommt. Als zentrales Speichermedium im Haushalt, zum Beispiel fĂĽr eine groĂźe Musiksammlung, streamt er die Daten an genau das verbundene Gerät, welches Du gerade benutzt. Unternehmen nutzen NAS in unterschiedlichen Größenordnungen und zum Teil auch als Backup-System.

9.6.1 Sichere Passwörter

Der frisch ausgepackte NAS bringt einiges an Standard-Einstellung mit. Auch die Passwörter sind standardmäßig vergeben. Praktisch fĂĽr Kriminelle – sie holen sich Deine Passwörter einfach aus der im Internet verfĂĽgbaren Dokumentation. Ă„ndere deshalb bitte auch hier die Passwörter ab, am besten so, dass Du einen neuen administrativen Benutzer anlegst und ihm ein gutes Passwort gibst, die bestehenden Benutzer empfehlen wir zu löschen oder zu deaktivieren. Dann bist Du auch hier auf der sicheren Seite.

9.6.2 Updates (NAS)

Die Hersteller dieser Geräte stellen unregelmäßig neue Firmware für das jeweilige NAS bereit. Die Firmware-Software steuert das Gerät, stellt beispielsweise einen ftp-Server zum Upload von Informationen zur Verfügung. Thomas empfiehlt, die automatischen Updates der Firmware zu aktivieren, denn somit ist das Gerät immer auf einem aktuellen Stand, ohne dass Du Dich darum kümmern musst.

Sollte die Firmware dieses automatische Update nicht anbieten, verbinde Dich alle paar Monate mit diesem Gerät und schaue nach, ob eine neue Version der Firmware vorhanden ist, installiere diese dann. Eine neue Firmware schließt Sicherheitslücken, integriert neue Funktionalitäten – und die lernst Du kennen, wenn Du den Newsletter des Herstellers abonnierst.

9.6.3 Schalte nicht benötigte Funktionen aus

Gerade Netzwerkspeicher bringen eine Vielzahl von zusätzlichen Server-Funktionen wie ftp-Server, Web-Server oder Druckserver mit sich. Wenn Du diese nicht benötigst, deaktiviere sie bitte. Denn alle diese Funktionen bieten (vor allem unkonfiguriert) Einfalltore für Hacker und Schadsoftware.

9.6.4 Benachrichtigung per Mail und Logging aktivieren

NAS-Systeme kann man an den Router anstecken, um von auĂźerhalb auf das NAS zuzugreifen. Das kannst dann aber nicht nur Du, sondern das können auch andere tun. Das Logging ist eine besonders nĂĽtzliche Empfehlung, um zu ĂĽberprĂĽfen, wer sich eingeloggt hat. Wenn in einer Nacht viele Logging-Versuche stattgefunden haben, kannst Du von einem Einbruchsversuch ausgehen.

Im Logging-Protokoll findest Du Hinweise auf ungewöhnliche Ereignisse, auch Systemmeldungen zu einer ausgefallen oder überhitzten Festplatte in Deinem NAS. Ohne dieses Protokoll kannst Du häufig keine Spur aufnehmen, um sicherheitsrelevante Lücken zu schließen.

9.6.5 VerschlĂĽsselung aktivieren

Auch wenn es auf den ersten Blick unwahrscheinlich erscheint, kann auch diese Hardware bei einem Einbruch entwendet werden. Sollten die gespeicherten Informationen in diesem Fall klar lesbar sein, ist das im privaten Bereich sicherlich schwierig (z. B. Erpressung). Sollten sich auf dem NAS berufliche Informationen mit personenbezogenen Daten befinden, gibt es nur einen passenden Begriff dazu: Datenpanne!

Sie muss bei dem zuständigen Landesdatenschützer gemeldet werden. Lasse es nicht soweit kommen. Viele NAS-Systeme unterstützen von Hause aus die AES-Verschlüsselung. Die AES (Advanced Encryption Standard) wird in den USA für Regierungsdokumente der höchsten Geheimhaltungsstufe benutzt und ist eine sichere Datenverschlüsselung.

Das kostet zwar etwas Performance, kann aber durchaus Sinn machen. Du benötigst das nicht unbedingt bei einer Musik- und Filmsammlung, bei eigenen Filmen und Musikfiles dagegen kann ein verschlüsselter Bereich der NAS durchaus Sinn machen.

9.7 WLAN absichern

Ob Fritzbox oder anderer Router – ein paar Klicks genĂĽgen, und schon ist der neue Internet-Zugang online. Die Grundeinstellungen sind alles andere als sicher. Mit ein paar wenigen Klicks mehr erreichst Du ein deutlich besseres Sicherheitsniveau fĂĽr Dein Zuhause und Dein BĂĽro.

9.7.1 Webzugang zum Router schĂĽtzen

Die Zugangsdaten Deines Routers stehen meistens auf der Geräterückseite. Das ist ziemlich praktisch, auch für Menschen, die sich nur kurz bei Dir aufhalten. Ein Knips auf die Smartphone-Kamera, und schon sind Tür und Tor für den Zugang zu Deinem WLAN geöffnet: Damit lassen sich Anrufweiterleitungen und VPN-Zugänge einrichten. Die Empfehlung ist, einen separaten Benutzer mit Admin-Rechten anzulegen und das Zugangspasswort zu ändern. Den bereits vorhandenen Standard-Admin-Benutzer solltest Du deaktivieren.

Bitte achte auch auf regelmäßige Updates Deines Routers, das hilft, bestehende Sicherheitslücken zu schließen.

9.7.2 WLAN richtig sichern

Ein eigener Funknetzname ist ebenfalls sehr empfehlenswert, z. B. FamBaTÜ als Akronym für die Familie B aus Tübingen. Auch der Standardschlüssel sollte selbst erfunden sein. Hier gilt, je länger, desto besser, am besten zwischen 20 und 30 Zeichen. Der neue WP3-Standard sollte gerade bei neuen Geräten genutzt werden.

Die Sicherheit wird durch ein Verstecken des WLANs und eine Positivliste für die zugelassenen Mobilgeräte und Rechner nicht unbedingt erhöht, sie macht in der Tat sehr viel Arbeit. Besser ist es, den Schüssel und den Namen des Netzwerkes individuell zu ändern.

9.7.3 Gastnetz als doppelten Boden nutzen

Hast Du manchmal Gäste, die bei Dir online gehen möchten? Ein Gastnetz ist ein zusätzliches getrenntes Netz, es ist von dem „normalen“ WLAN-Netz aus nicht erreichbar.

Dies bietet ebenfalls einen Schutz, gerade wenn Du neuen Freunden Deiner Kinder nicht traust oder neue Geschäftspartner in Deinen Räumlichkeiten keinen Zugriff auf Deine interne Infrastruktur erhalten sollen. Sinnvoll ist es auch, neugierige Smart Home-Geräte ins Gäste-WLAN zu verbannen.

9.7.4 Freigaben des Routers prĂĽfen

Auf dem Router lassen sich Freigaben und Weiterleitungen einrichten, achte hier bitte darauf, nur verschlüsselte TLS- bzw. HTTPS-Protokolle zu verwenden. Bitte ändere den Standard-Port von 443 auf einen beliebigen fünfstelligen Wert ab. Damit fällt Dein Router nicht bei den Standard-Port-Scans auf, und Du machst potenziellen Hackern das Leben schwer.

9.7.5 WPS (Wi-Fi Protected Setup) und UPnP (Universal Plug and Play) bitte ausschalten

WPS ist eine Methode, bei der man schnell eine drahtlose Netzwerkverbindung zwischen zwei Geräten herstellen kann. Smartphones kann man so per Knopfdruck an einem WLAN-Router anmelden – bequem, aber sehr unsicher. Unsere Empfehlung: Schalte das WPS in der Router-Konfiguration einfach aus! Im Bedarfsfall kannst Du es jederzeit kurzzeitig aktivieren.

Das Universal Plug and Play (UPnP) ist eine Sammlung von Netzwerkprotokollen, mit deren Hilfe Netzwerkgeräte (Computer, Drucker, Internet-Gateways, WiFi-Access-Points oder Mobilgeräte) einfach miteinander kommunizieren und gerätespezifische Funktionen ĂĽbernehmen können. Hauptsächlicher Einsatzort von UPnP sind Heimnetzwerke. Du kannst es beispielsweise fĂĽr Port-Weiterleitungen nutzen. Wir empfehlen Dir, dies ebenfalls nur kurzzeitig aktiv zu halten, denn intelligente Malware kann derartige Port-Weiterleitungen ohne weiteres ebenfalls einrichten!

9.7.6 Bitte sichern: Die Konfiguration

Bitte sichere die Konfiguration Deines Routers – möglichst jedoch nicht auf dem Router selbst, denn dort kann ein externer Zugriff nicht unbedingt ausgeschlossen werden.

9.7.7 Freie WLANs NICHT nutzen

Freies WLAN ist praktisch – auch für Kriminelle. Auch wenn es unbequem ist: Nutze in der Öffentlichkeit möglichst keinen Hotspot – verwende am besten das eigene Smartphone, um eine Verbindung über Tethering (Handy als Hotspot) herzustellen.

Wenn das nicht geht, verbinde Dich am besten ĂĽber VPN.

9.8 Checkliste Smart Home

Smart-Home-Geräte

  • Ă„ndere die Standardpasswörter Deiner Smart-Home-Geräte!
  • Bestelle die Newsletter Deiner Smart-Home-Geräte
  • Stelle die Firmware auf automatische Updates ein
  • Sorge dafĂĽr, dass die Firmware Deiner Geräte auf dem aktuellen Stand ist
  • Deaktiviere die Fernsteuerung/den Fernzugriff fĂĽr Geräte, die Du nicht fernsteuern willst
  • Deaktiviere Remote-Zugriffe (Fernsteuerung) auf Geräte, wenn Du diese nicht benutzt
  • Nutze Internet per Stromkreis in Deinem Zuhause (D-LAN)
  • Deaktiviere Datensammel-Funktionen in Deinen Geräten

NAS

  • Nutze ein NAS, um Deine Daten im Haus fĂĽr alle Geräte gemeinsam zu verwalten
  • Lege bei Deinen Geräten wenn möglich einen neuen Nutzer an, mit eigenem Login und Passwort. Deaktiviere den Standardnutzer! Die Kriminellen kennen dessen Zugangsdaten
  • Schalte beim NAS die nicht benötigten Services aus, vergib ein neues Passwort
  • Aktiviere die AES-VerschlĂĽsselung fĂĽr Dein NAS

Verbindung ins Web

  • Optimiere die Berechtigungen Deines Routers und Deiner Geräte!
  • Gib Deinem Router und Deinem LAN-Netz einen individuellen Namen mit eigenem Passwort
  • Erstelle ein Gast-WLAN fĂĽr Besucher und neugierige Smart-Home-Geräte
  • Schalte das WPS aus, wenn nicht benötigt
  • PrĂĽfe die Gerätefreigaben im Router und ändere das Passwort, den SchĂĽssel und den Namen des Netzwerkes individuell
IT Sicherheit Buch, Buch Internet fĂĽr Senioren Buch