Smart-Home-Systeme des österreichischen Herstellers Loxone Electronics waren durch eine Sicherheitslücke angreifbar. Durch einen sogenannten DDNS-Dienst können die Bewohner von außen auf ihr Haus zugreifen und etwa Licht, Heizung und Beschattung steuern.

Die Kombination aus Standard-Zugangskennung und öffentlichem DDNS-Zugang machte es Unberechtigtem leicht in das Smarthome-System einzudringen. Das ist eigentlich kein Versäumnis des Herstellers, er warnte sogar davor mit unsichern Zugangsdaten online zu gehen.

Das Problem konnten wir in unserer eigenen Loxone-Testinstallation bestätigen. Bis vor kurzem wurde nur vor schwachen Zugangsdaten gewarnt, eine 'Veröffentlichung' des Zugangs über den unternehmenseigenen DDNS-Dienst wurde nicht unterbunden.

Problem behoben?

Auf einen Hinweis der Zeitung c't sperrte Loxone nun den eigenen DDNS-Dienst für Anlagen mit unsicheren Zugangsdaten. Das hindert Eigentümer natürlich nicht daran, mit anderen, schwachen Passwörtern live zu gehen. Auch hier gilt natürlich, dass die Anlagensicherheit nur so stark ist, wie ihr schwächstes Glied.

Warum überhaupt öffentlicher Zugang

Wie bei allen sicherheitskritischen Anwendungen raten wir unseren Kunden von öffentlichen Zugängen ab. Wenigstens kryptografisch sollte der Zugang gesichert sein (etwa per VPN) oder am besten gar nicht von außen erreichbar. Unsere Loxone-Testinstallation läuft autark, nur durch manuelles Zutun kann sie onlinge gehen, etwa um Updates zu ziehen.