So riegeln Sie Ihr Smart Home ab

Eine Studie von Avast führt uns wieder mal vor Augen, wie leicht Angreifer unter Umständen Router oder sogenannte Smart-Home-Geräte im heimischen Netzwerk missbrauchen können. Schon nur deswegen, weil viele Anwender ihre Geräte schlecht konfigurieren und die vom Hersteller vorgegebenen Passwörter nicht ändern. Treffen Sie also besser gute Vorkehrungen. Grundsätzlich gilt: Informieren Sie sich schon vor dem Kauf gut über netzwerkfähige Geräte, die Sie installieren möchten. Speziell das sogenannte Internet der Dinge (Internet of Things, kurz IoT) ist mittlerweile omnipräsent – und damit drohen auch potenzielle Gefahren. Unter IoT fallen grundsätzlich alle möglichen praktischen Netzwerk-Gadgets, angefangen bei der Zahnbürste, über Pflanzensensoren bis hin zum zeitgesteuerten Wasserkocher. Hauptgefahr: der Router «Die Zahl der IoT-Geräte wächst stetig. Dabei verlässt sich die Mehrheit der Geräte auf die Sicherheit des eigenen Netzwerks. Router sind der zentrale Verbindungspunkt in einem Netzwerk», sagt Michal Salat, Director of Threat Intelligence bei Avast auf unsere Frage, welche Smart-Home-Geräte denn am meisten betroffen sind. Wenn beispielsweise der eigene Router gehackt werde oder Schwachstellen aufweise und ein Hacker in das Netzwerk gelange, kann er dadurch – wie wir alle wissen – auch auf die meisten IoT-Geräte zugreifen, so Salat. Der Router sei hinsichtlich der IoT-Sicherheit der schwächste Punkt und deswegen gehe von ihm auch die grösste potenzielle Gefahr aus. Deswegen, folgert der Security-Experte, sei es nicht nur wichtig, starke Passwrter für IoT-Geräte zu verwenden, sondern auch die Passwörter der Benutzerkonten zu ändern, über welche die Geräte verwaltet werden können. Man empfehle aber grundsätzlich, die Standardeinstellungen der Router, wie zum Beispiel den Namen des WLANs (ESSID), zu ändern. Auch die Passwörter – sowohl das Passwort zum Einloggen in das administrative Online-Interface des Routers als auch das Kennwort, das verwendet wird, um sich mit dem WLAN selbst zu verbinden – sollten in starke Passwörter geändert werden. Den Router in mehrere Bereiche unterteilen Soweit, so gut. Aber, was kann man sonst noch tun bei potenziell unsicheren IoT-Geräten? Grundsätzlich: Um das Risiko einzudämmen, kann man das Netzwerk zusätzlich in Gruppen aufteilen und unsichere Geräte in verschiedenen Zonen unterbringen. In einem KMU-Betrieb wollen Sie schliesslich auch nicht, dass Buchhaltung und Einkauf Geräte anderer Abteilungen wie NAS-Speicher zu sehen bekommen. Dasselbe Konzept lässt sich auf die Heimkonfiguration anwenden. Welche Sicherheitsstufen es da gibt, erklären wir auf den folgenden Seiten. Nächste Seite: Sicherheitsstufe 1: Gast-WLAN einrichten Sicherheitsstufe 1: Gast-WLAN einrichten Stellen Sie sich vor, Sie haben ein Heimnetz mit einem normalen DSL-All-in-One-Router, bei dem es nur eine Tür (Router) gibt. In einem solchen Haus kann sich jeder Besucher frei bewegen und Gegenstände stehlen oder verschieben. Jeder einigermassen aktuelle Router bietet dazu auch eine Unterteilung in Gast-Zone und private Zone. In die private Zone würden Sie üblicherweise Geräte lassen, die auf gewisse private Daten in Ihrem Heimnetz zugreifen sollen. Also beispielsweise auf Ihr Heim-NAS, auf das Sie mit verschiedenen Streaming-Geräten über Netzwerkprotokolle (wie SMB, NFS, DLNA) zugreifen. In der Gästezone würden Sie logischerweise nur Geräte von Besuchern zulassen, die nicht einfach so auf einen Netzwerkordner zugreifen sollen. Denn ohne Gastzugang, indem Sie einfach Ihr WLAN-Passwort aushändigen, erhalten Besucher auch Zugang auf Ihr gesamtes Heimnetzwerk und somit z.B. auch auf Ihre private Fotosammlung. Gäste-WLAN bei einer Fritz!Box einschalten Die meisten aktuellen WLAN-Router unterstützen diesen Gäste-Modus. Der Gastzugang spannt dabei ein eigenes WLAN auf, das nicht auf Ihr eigenes WLAN zugreift. Damit halten Sie Gäste von Ihrer privaten DLNA-Mediensammlung, der digitalen Steuererklärung und der Haussteuerung fern. Als Beispiel für die Nutzung soll eine Fritz!Box dienen. Bei einer Fritz!Box halten Sie dazu im Webmenü Ausschau nach den Einstellungen unter WLAN/Gastzugang. Hier aktivieren Sie das WLAN für die Gäste. Definieren Sie Zugangsdaten bzw. ein Standardpasswort für Ihr Gäste-WLAN. Ausmisten Wenn Sie sehr viele IoT-Geräte wie Pflanzensensoren im Einsatz haben, können Sie auf einem professionellen Access Point wie etwa dem VigorAP 900 von DrayTek gleich mehrere Subnetze einrichten. Da eignet sich etwa ein eigenes WLAN-Teilnetz für Sensorgeräte, die nur auf Internetverbindung angewiesen sind und nichts in den Medienordnern Ihres Heimnetzwerks zu suchen haben. Man kann sich das etwa so vorstellen, als würde man in einer Firma der Buchhaltungsabteilung nicht dieselben Netzwerk-Server zuweisen wie der Personalabteilung. Zwingend erforderlich ist diese Trennung aber nicht, wenn Sie ohnehin bestenfalls einen Smart-TV und eine Spielkonsole haben. Selbst Internet-of-Things-Geräten können Sie in einem aktuellen Router gewisse Zugriffsrechte im Heimnetz entziehen. Auch bei einem neueren Router wie etwa einer Fritz!Box stehen mit Gäste-WLAN und zwei Frequenzbändern in der Regel bis zu drei verschiedene SSIDs zur Verfügung. Daher sollten Sie vielleicht schon einmal präventiv Geräte aussortieren, die keinen Internetzugriff benötigen. Geräte wie ein smarter Wasserkocher oder eine Waschmaschine benötigen natürlich Internetzugang, um funktionstüchtig zu sein. Bei einer IP-Kamera wollen Sie eventuell auch von extern auf das Gerät zugreifen. (Hier empfiehlt es sich vor allem, sparsam zu sein mit allfälligen Portweiterleitungen für den Fernzugriff.) Anders verhält es sich bei Druckern und Netzwerkgeräten. Diese sollten nur im internen Netzwerk erreichbar sein und benötigen keinen Internetzugriff. Nächste Seite: Internetgeräte, die keine Verbindung brauchen Sicherheitsstufe 2: MAC-Filtering Die sogenannte MAC-Adresse ist die Hardware-Adresse eines Netzwerk­adapters. Dabei spielt es keine Rolle, ob per Kabel oder per Funk kommuniziert wird. Mithilfe eines zusätzlichen MAC-Adressfilters können Sie zudem festlegen, welche WLAN-Geräte wirklich nur Verbindungen mit der Fritz!Box herstellen dürfen. Danach bauen nur noch Geräte mit der Fritz!Box eine Verbindung auf, denen Sie den Zugriff gestattet haben. AVM erklärt es Ihnen auch hier sehr gut. Fremde Patienten? Bei einer Fritz!Box, die wir hier als Beispiel verwenden, können Sie zudem unter Internet/Filtern einzelne Geräte explizit fürs Internet freigeben sowie und über das Stift-Symbol Standard-Protokolle eintragen, auf welche die Devices nicht zugreifen können. Ältere Standard-Netzwerkdrucker ohne Cloud-Anbindung sind in der Regel hier ohnehin nicht in der Liste enthalten. Aus der Liste wird normalerweise schnell anhand der vergebenen Gerätenamen oder den sogenannten Mac-Adressen klar, welche Geräte sich in Ihrem Heimnetzwerk befinden. Aus den jeweiligen Drop-down-Menüs können Sie verdächtige Kandidaten gleich sperren. Zugangsprofile für unsichere Geräte Unter Kindersicherung (Internet/Filter) bei Zugangsprofile/Neues Zugangsprofil können Sie unter anderem Profile für die definierten Typen (Gast, Gesperrt, Standard, Unbeschränkt) näher konfigurieren und dabei festlegen, wie lange das Gerät aufs Internet zugreifen soll. Oder auch, ob ein Client in einem der Profile auf bestimmte Internetseiten nicht zugreifen darf. Bei einem älteren, unsicheren Smart-TV ergibt die ständige Internetnutzung beispielsweise nur Sinn, während Sie ohnehin wochentags von 20 Uhr bis Mitternacht fernsehen. Weiter unten können Sie auch zusätzlich Netzwerkprotokolle wie FTP etc. sperren, die nicht zwingend erforderlich sind. Telnet beispielswiese braucht der Fernseher auch nicht unbedingt. Zum Schluss noch ein paar Faustregeln Updates: Halten Sie die Router-Firmware auf dem neusten Stand, indem Sie sich gelegentlich über das Web-Interface einloggen und nachschauen, ob ein Update bereitsteht. Unnötiges: Unnötige Funktionen wie SSH, Telnet und UPnP können Sie gleich ausschalten. Wenn Sie nicht wissen, welchen Zweck diese Funktionen erfüllen oder der Zugang dazu nicht explizit angefragt wird, müssen Sie die Funktionen in der Regel auch nicht einschalten. Verschlüsselung: Stellen Sie ausserdem sicher, dass Ihr WLAN-Datenverkehr verschlüsselt ist – dies ist der Fall, wenn das WPA2-Protokoll verwendet wird. Beachten Sie auch hierzu den Ratgeber unserer Schwesterpublikation «PCtipp»: Einfach, aber effektiv: So machen Sie Ihren Router sicher.