Technik

Leichtes Spiel für Einbrecher Viele vernetzte Alarmanlagen nicht sicher

Alarmanlagen.jpg

Alarmanlagen sind nicht immer ab Werk sicher eingestellt.

(Foto: picture alliance / dpa)

Viele vernetzten Alarmanlagen werden so ausgeliefert, dass sie Einbrechern die Arbeit sogar erleichtern. Betroffene Nutzer sollten schnell prüfen, ob ihre Sicherheitseinrichtung bereits ein Update erhalten hat.

Redakteure des Computermagazins "c't" haben entdeckt, dass viele vernetzte Alarmanlagen eine schwerwiegende Sicherheitslücke aufweisen. Einbrecher hätten dadurch unter anderem ein detailliertes Bewegungsprofil ihrer potenziellen Opfer erstellen und ungestört auf Raubzug gehen können, schreibt das Magazin.

Der Schwachpunkt ist denkbar banal: Die Steuerungsoberfläche im Netz war mit einem Standard-Login erreichbar. Auch bei der Freigabe musste dieser nicht zwingend geändert werden - und war damit einfach zu erraten. "So wird dieser wichtige Schritt von vielen Nutzern schlicht vergessen", sagt "c't"-Redakteur Sven Hansen. Hinzu komme, dass sich über spezielle Online-Portale wie Shodan solche Geräte wie bei einer Google-Suche einfach auffinden ließen. "Beides zusammen führt schnell zum Alarmanlagen-GAU", sagt Hansen.

Auch Abus zählt nur bis 4

Bei ihren Recherchen fanden Hansen und sein Kollege Ronald Eikenberg Hunderte offen übers Netz erreichbare Anlagen in aller Welt. In Deutschland sind vor allem Geräte von Lupus Electronics betroffen, die von Climax Technology beliefert werden. Aber auch Alarmanlagen der Marke Abus würden mit dem voreingestellten Nutzer "1234" und dem Passwort "1234" ausgeliefert, schreibt "c't".

Das Missbrauchspotenzial sei dabei erschreckend, so die Redakteure. Für einen Einbrecher sei es ein Leichtes, die Geräte etwa über die IP-Adresse geografisch grob zu orten. Wer noch E-Mail-Adressen oder Handynummern für den Fall eines Alarms hinterlegt, habe es potenziellen Einbrechern zusätzlich leicht gemacht.

Anhand des Anlagen-Logbuchs hätten Angreifer zudem den Tagesablauf auskundschaften könne, wann etwa das Garagentor geöffnet oder die Alarmanlage scharf gestellt werde. Besonders gruselig fanden die Redakteure, dass die neuesten Anlagen des Herstellers Climax auch Kameras einbinden, "deren Überwachungsfotos ebenfalls im Web-Interface angezeigt werden".

Huch, ein einfaches Passwort!

Die Hersteller hätten allesamt "erschrocken" reagiert. Dass es sich um ein "einfaches Passwortproblem" gehandelt hat, sei für ihn schockierend gewesen, sagte Matthias Wolff, Hauptgesellschafter des Herstellers Lupus, dem Magazin. An dieser Stelle hätten die Entwickler "den Wald vor lauter Bäumen nicht gesehen". Als Sicherheitshersteller laufe es ihm angesichts der offenen Systeme kalt den Rücken herunter, sagte Climax-Geschäftsführer Adrian Porger der "c't". Er sieht demnach trotz des vielleicht laxen Umgangs der Nutzer mit ihren Passwörtern auch die Hersteller in der Verantwortung: "Wir sind als Anbieter von Sicherheitstechnik natürlich verpflichtet, ein möglichst wasserdichtes Produkt abzuliefern."

Die Hersteller haben inzwischen Updates veröffentlicht. Sie werden aber nicht bei allen Geräten automatisch installiert, oft müssen die Anlagen manuell aktualisiert werden, betroffene Kunden sollen informiert werden. Im Zweifel sollten Nutzer selbst aktiv werden.

Quelle: n-tv.de, kwe/dpa

Mehr zum Thema