Smart Home, Smart Building – Begriffe, die verschiedene Technologien samt standardisierten Schnittstellen vereinen. Eine Vereinigung, die nun für Beunruhigung sorgen wird: IBM hat es in einem Experiment geschafft, ohne viel Aufwand die Kontrolle über mehrere Bürokomplexe zu erlangen. Ein herkömmlicher WLAN-Hotspot diente dabei als Einfallstor.

Nicht nur Fabriken und Fahrzeuge werden vernetzt, sondern auch immer mehr Gebäude. Über das Internet of Things, kurz IoT, sind sogenannte vernetzte und „intelligente“ Smart Buildings voll im Trend. Sie sollen die Betriebskosten reduzieren und können ohne viel Aufwand mittels Smartphone, Tablet und Notebook überwacht – ja sogar in Stand gehalten werden: Fernwartung sowie die Fernsteuerung von Klimatechnik, Heizung und Beleuchtung lauten zentrale Stichworte. Bisher allerdings waren diese Fernwartungs- und Steuerungseinrichtungen isolierte Systeme, die als proprietäre Lösungen nicht mit dem Internet verbunden waren. Besondere Sicherheitsvorkehrungen gegen Cyber-Attacken waren daher auch nicht notwendig. Bis jetzt. Die Hacker-Simulation „Ethical Hacking Experiment“ aus dem Hause IBM sorgt derzeit für Aufsehen, da sie die mangelnde Sicherheit der vernetzten Geschäftsgebäude mit beunruhigenden Ergebnissen aufdeckte.

Die Integration von unterschiedlichen Systemen, die Ermöglichung deren Kommunikation über ein Standard-Protokoll und die Gewährleistung der Interoperabilität zwischen den einzelnen Geräten stellen die größten Hürden dar, die das Internet der Dinge dabei behindert, sein wahres Potenzial für den Enterprise-Markt zu erreichen.

Bogdan Botezatu, Senior Threat Analyst, Bitdefender

IoT: mittels WLAN-Hotspot dutzende Gebäude gekapert

Das US-Unternehmen hat den Angriff auf ein real vernetztes Gebäude simuliert und entdeckte dabei ein gutes Dutzend Sicherheitslücken. Sie ermöglichten es, in das Gebäudesystem einzudringen. Zudem konnten sich die Hacker Zugriff auf den zentralen Server verschaffen. Über letzteren werden immerhin über 20 weitere Gebäude, verstreut in den USA, gesteuert. Der Clou: „Würde es Cyber-Kriminellen gelingen, die Kontrolle über diesen Server zu bekommen, hätte das gravierende Folgen für die gesamte Gebäudesicherheit, angefangen von der Steuerung der Fahrstühle bis hin zur Stromversorgung“, so das nüchterne Ergebnis des IBM-Experiments. „Technologien und Lösungen sind vorhanden, um smarte, vernetzte Gebäude gegen Cyberattacken zu schützen. Doch noch fehlt in vielen Fällen das Bewusstsein dafür, wie angreifbar Smart Buildings sein können. Hier sollten die Verantwortlichen unbedingt aktiv werden“, sagt Gerd Rademann, IBM Security Systems.

Aber wer hat Interesse daran, Smart Buildings zu übernehmen? Michaela Mohl hat zum Thema „Future Internet“ eine Seminararbeit verfasst, die sich genau mit diesem Thema beschäftigt. Geht es nach ihr, sind es nicht nur „gewöhnliche“ Hacker, die ein Interesse daran haben, industrielle Gebäude zu kapern. So gibt es neben dem klassischen Hacker noch drei weitere Personengruppen, die in den Betracht kommen, potentielle Angreifer eines Gebäude-Automationssystems zu sein.

  • Terroristen – poltisches Statement
  • Ehemalige Mitarbeiter – die Gefahr dabei: Diese Personen kennen in der Regel das Systems
  • Konkurrenz – Unternehmensforschung und eigene Optimierung führen zu einem Wettbewerbsvorsprung.

Internet of Things: Sicherheit steht noch nicht auf der Agenda

Auf den Punkt gebracht: Gebäude sind weltweit für zirka 40 Prozent des Energiebedarfs verantwortlich. Smart Cities werden Standard. In Zukunft wird es neben der eigentlichen Energieeffizienz auch darum gehen, dass die Energie zum richtigen Zeitpunkt verbraucht wird. Speziell in industriellen und geschäftlichen Gebäuden werden Lösungen benötigt, die dann aktiv sind, wenn auch vor Ort gearbeitet wird. Das bedeutet aber auch, dass weniger auf unterschiedliche Lösungen zurückgegriffen wird, vielmehr werden einheitliche Standards Pflicht – Insellösungen von unterschiedlichen IoT-Anbietern sind tabu.

Und da sicherheitsrelevante Bereiche, die beispielsweise nicht abgeschaltet werden dürfen, sondern gesondert und abgeschottet vom Hauptsystem betreut werden; grundsätzlich Tag und Nacht überwacht werden müssen – beschreiben Smart Buldings eine enorme Herausforderung für jeden Administrator. Zudem müssen Mitarbeiter weiterhin via VPN und Co. auf interne Daten beziehungsweise Informationen zugreifen, ohne dabei die Sicherheit des Unternehmens zu gefährden. Vielleicht kann am Ende, wieder einmal, die Natur helfen. So ist der Ameisenalgorithmus speziell für die Industrie 4.0, aber auch für das IoT nützlich. Dann könnte es am Ende tatsächlich auch eine Chance für die digitale Fabrik geben.