Bild: Bettina Keim

Eins, zwei, drei, vier, drin

Sicherheitsleck in vernetzten Alarmsystemen

Vom Urlaubsort aus per App daheim nach dem Rechten schauen? Mit einer vernetzten Alarmanlage ist das kein Problem. Eine gravierende Sicherheitslücke in aktuellen Systemen führt allerdings dazu, dass sie nicht der einzige sind, der sich daheim umschauen kann.

Von Sven Hansen und Ronald Eikenberg

Alarmanlagen zählen eigentlich nicht zu den Kernfeldern der IT-Berichterstattung. Doch in den vergangenen Jahren sind Funk-Alarmsysteme immer beliebter geworden, die sich mit wenig Aufwand nachrüsten lassen und per SMS oder Internet übers Smartphone bedienbar sind. Spätestens als die Alarmsysteme eine Netzwerkschnittstelle und rudimentäre Smart-Home-Funktionen mitbrachten, wurden sie ein Fall für die c’t.

Video: Nachgehakt

So schaffte es auch die vernetzte Funk-Alarmanlage Q3200 von Blaupunkt ins Heft (c’t 8/16, S. 56). Das Produkt hatte manche Kanten, eher am Rande stießen wir auf ein undokumentiertes Web-Interface. Erst über dieses Interface ließ sich die Anlage präzise konfigurieren. Stutzig machte uns der für eine Alarmanlage recht lax gehandhabte Login-Prozess: Voreingestellt war der Nutzer „admin“ mit dem passenden Passwort „admin1234“. Auf den ersten Blick wirkt das zwar schlampig, aber wenig problematisch – schließlich arbeitet die Anlage ja nur im lokalen Netz. Oder doch nicht?

Von diesem Punkt aus zog die Recherche ihre Kreise. Blaupunkt ist nur die Marke, unter der der taiwanische OEM-Hersteller Climax Technology in Deutschland seine Anlagen verkauft. Climax zählt zu den Großen in der Sicherheitsbranche. Die Firma vertreibt ihre Produkte in einigen Märkten unter eigenen Label, doch noch viel häufiger ist sie als Hardware-Lieferant für andere Marken aktiv. In Deutschland bekommt man die Climax-Hardware daher nicht nur von Blaupunkt, sondern auch von Egardia oder Lupus Electronics.

Der Test der Lupus-Anlagen XT1 und XT2 war bereits in vollem Gange, als wir uns auch hier genauer mit dem Web-Interface beschäftigten – denn der Standardzugang zur Anlage war auch hier gesetzt. Im Unterschied zu den Produkten von Egardia und Blaupunkt kommunizieren die Lupus-Anlagen nicht über den Umweg eines herstellereigenen Cloud-Servers, sondern lassen sich über ein für Mobilgeräte optimiertes Web-Interface direkt von außen steuern. Um diesen Zugriff zu ermöglichen, muss der Nutzer eine Portfreigabe im Router einrichten.

Lupus liefert hierzu eine Schritt-für-Schritt-Anleitung im Handbuch – auch auf der FAQ der Homepage werden die Nutzer durch die Einrichtung eines Standard-Routers geführt. Ein entscheidender Hinweis fehlt allerdings: Allerspätestens wenn man das Gerät über Portfreigaben ins Netz stellt, sollte man den in der Firmware hinterlegten Standardzugang ändern. Doch wie viele Nutzer vergeben tatsächlich ein neues Passwort?

Made in Germany

Wer glaubt, die Sache mit dem Standardzugang sei ein taiwanisches Problem, wiegt sich in trügerischer Sicherheit. Wir kauften über Amazon eine Secvest-Anlage des Sicherheitsspezialisten ABUS. Auch hier ließ ein Blick ins Handbuch Böses erahnen: ABUS liefert die Secvest mit voreingestelltem Nutzer „1234“ und dem Passwort „1234“. Eigentlich soll die Profi-Anlage über den Fachhandel vertrieben werden und die Installation sollte durch professionelle Errichter erfolgen. Doch wie halten es die Profis mit dem Passwort und werden die Anlagen nicht doch auch von Laien installiert?

Diese Alarmanlagen wurden bisher mit einem Webserver ausgeliefert, der auf ein Standardpasswort hörte: Abus Secvest, Blaupunkt Q3200 und Lupus Electronics XT1.

Der aus Sicherheitsperspektive mangelhafte Auslieferungszustand mit Standardzugang und das Verhalten der Kunden ergeben an diesem Punkt eine brisante Mischung. Führt man sich vor Augen, dass Scanner-Portale wie Shodan beliebige Gerätschaften im Netz nach dem Vorbild Google indexieren und auffindbar machen, landet man schnell beim Alarmanlagen-GAU.

Herzlich willkommen

Steht die Alarmanlage mit Standard-Passwort frei im Netz, bleibt die individuelle IP-Adresse die letzte Hürde, die böswillige Eindringlinge bewältigen müssen. Scanner-Dienste wie Shodan grasen IP-Adressbereiche automatisch ab und registrierten die Antworten der angestoßenen Webserver. Und tatsächlich: Schon die einfache Eingabe des Begriffs „Climax“ führt zu zahlreichen Treffern weltweit, von denen rund 15 Prozent mit Standardzugang im Netz stehen.

Mit abgewandelten Such-Strings tauchten bei unseren täglichen Scans rund um die Welt verstreute Climax-Klone auf, die offen im Netz erreichbar waren. In Deutschland stammt das Gros der Anlagen von Lupus Elektronics. Weltweit sind Anlagen von Adesys, Altibox, AssaAbloy, SecPro, Yale und von Climax selbst offen übers Netz erreichbar – von Skandinavien über die Benelux-Staaten bis hin nach Australien finden wir im Schnitt eine dreistellige Anzahl offener Anlagen im Netz.

Auch die ABUS Secvest war mit 1234-Zugang zu finden. Sie kommuniziert zwar nicht über Standard-Ports und fällt daher oft durch das Suchraster der Scanner-Portale. Wer eine Anlage kauft, kann den von ihr genutzten Port jedoch leicht identifizieren und kommt mit einem gezielten Scan noch sicherer ans Ziel.

Über das Web-Interface der Alarmanlagen hat man vollen Zugriff auf alle Funktionen. Man kann Steckdosen betätigen, die Sirene schrillen lassen oder die Anlage beliebig scharf und unscharf schalten. Das Missbrauchspotenzial ist erschreckend. Ein Einbrecher kann die Anlagen über ihre IP-Adresse geografisch grob orten. Die Anlagenbesitzer erleichtern die genaue Lokalisierung ungewollt oft selbst, indem sie ihr System mit persönlichen Daten füttern. Max und Marion aus Musterhausen haben sich namentlich als Nutzer eingetragen und für den Fall einer Alarmierung ihre Handynummern hinterlegt. Andere Besitzer wollen im Fall der Fälle lieber per E-Mail benachrichtigt werden.

Auch ein John.Doe1972@MeineFirma.de lässt sich zusammen mit der IP-Ortung im australischen Outback schnell einkreisen. In zwei der ABUS-Anlagen hat sich auch das verantwortliche Installationsunternehmen in der Alarmierungskette verewigt – hier waren also Profis am Werk.

Anhand des Anlagen-Logbuchs kann der Angreifer zudem den Tagesablauf auskundschaften: Betätigung des Garagenöffners täglich 7:30, Scharfschaltung der Anlage 7:35, Frau schaut zur Mittagspause vorbei und entschärft, Anlage wird in den Urlaubsmodus mit Anwesenheitssimulation versetzt. Besonders gruselig: Die neuesten Anlagen von Climax binden auch Kameras ein, deren Überwachungsfotos ebenfalls im Web-Interface angezeigt werden. Zwar werden auch die Zugriffe über das Web-Interface protokolliert. Doch wer liest schon gerne Protokolle?

Bei tieferen Recherchen stießen wir auf Sicherheitsprobleme in der App-Kommunikation der Blaupunkt-Anlage (siehe Kasten), die Auswirkungen der trivial ausnutzbaren Passwort-Lücke jedoch lassen diese verblassen.

Wer war’s?

Doch wer hat die Anlagen tatsächlich ins Netz gestellt? Die Besitzer selbst oder haben sich Installationsbetriebe nur eine bequeme Hintertür für die Fernwartung offen gehalten? Wir entschließen uns zu einem ungewöhnlichen Schritt: Wir wollen mit den Besitzern der offenen Systeme sprechen und wissen, was genau da falsch gelaufen ist.

Die Kontaktaufnahme gestaltet sich schwierig. Die ersten per SMS oder E-Mail informierten Nutzer reagieren zumindest, indem sie die Anlagen abschalten oder das Passwort ändern. Erst der letzte Versuch führt uns telefonisch zu Herrn Pfeiffer: „Entschuldigung, Sie haben ein Sicherheitsproblem mit Ihrer Anlage.“ Schnell stellt sich heraus, er ist alles andere als ein unbedarfter User. Er besitzt sogar die Größe uns zu erklären, wie seine Anlage offen im Netz landen konnte (siehe Kasten).

Zum Kasten: Reaktion auf den c’t-Anruf

Positiv äußerst er sich im Gespräch über die Qualität der Lupus XT1, die – bis auf kleinere Bugs – zuverlässig ihren Dienst getan hat. Begeistert war er auch vom Service, der ihm bei den Konfigurationsproblemen mit seinem Router per Telefon und Fernzugriff zur Seite gestanden hatte. Am Ende funktionierte alles perfekt – bis auf den kleinen Haken, dass alles öffentlich zugänglich war.

Redaktionsbesuch

Wir konfrontieren auch die Hersteller vor der Veröffentlichung mit den Ergebnissen unserer Recherche. Zum einen wollen wir wissen, was zum eklatanten Sicherheitsloch geführt hat. Zum anderen wollen wir dafür sorgen, dass die Anlagen der betroffenen Kunden zum Erscheinen des Artikels aus dem Netz verschwunden sind.

Der Hersteller des in Deutschland am stärksten betroffenen Systems, Lupus Electronics, macht sich sofort auf den Weg nach Hannover, nachdem wir das Unternehmen um einen Gesprächstermin gebeten haben. Matthias Wolff, einer der drei Hauptgesellschafter von Lupus, ist mit einem Techniker gekommen. „Wir haben uns auf dem Weg hierher die wildesten Gedanken über komplizierte Firmware-Hacks oder Hardware-Fehler unserer Anlagen gemacht“, sagt Wolff zu Beginn des Gesprächs.

„Bei unseren vernetzten Anlagen haben wir uns bewusst gegen die von Climax mit angebotene Cloud-Steuerung entschieden“, fügt er hinzu. „Wir wollten nicht, dass die Nutzer Daten auf irgendeinem Server im Netz hinterlegen müssen und haben stattdessen auf ein stark überarbeitetes Web-Interface gesetzt und die direkte Steuerung der Anlage über die App implementiert.“

Dass es sich um ein „einfaches“ Passwortproblem handelt, findet er einerseits erleichternd, andererseits auch schockierend: „Wir hatten an dieser Stelle in der Entwicklung tatsächlich einen blinden Fleck und haben den Wald vor lauter Bäumen nicht gesehen.“ Sicherheit sei fester Bestandteil der Lupus-DNA, bekräftigt Wolff. Dass Nutzer die Anlagen online stellen könnten, ohne das Standardpasswort zu ändern, hätten die Entwickler schlichtweg nicht bedacht.

Auch Adrian Porger, Geschäftsführer von Climax Deutschland, zeigt sich im Gespräch mit c’t überrascht: „Als Sicherheitshersteller läuft es mir angesichts der offenen Systeme kalt den Rücken herunter.“ Er spricht vom laxen Umgang der Kunden mit den Passwörtern, aber auch von der Verantwortung der Hersteller: „Wir sind als Anbieter von Sicherheitstechnik natürlich verpflichtet, ein möglichst wasserdichtes Produkt abzuliefern.“ Von Shodan und Co. hätte er zumindest schon etwas gehört. „Wir werden uns daran gewöhnen müssen, unsere Produkte künftig stärker von außen auf Sicherheitslücken zu durchleuchten“.

Fazit

Mit Erscheinen dieses Artikels sollen alle Anlagen aus dem Netz verschwunden sein – hoffen die Hersteller. Im Falle der vernetzten Blaupunkt-Anlage ist dies durch ein Remote-Update geschehen. Der Web-Zugang sollte nun komplett gesperrt sein. Kunden von Egardia-Anlagen sind von dem Bug nicht betroffen, da ein zusätzlicher Cloud-Server die Authentifizierung gegenüber dem Web-Interface übernimmt.

Lupus Electronics führt mit einer neuen Firmware einen Änderungszwang bei Erstanschluss ein. Per E-Mail wurde zudem der gesamte Händler- und Kundenstamm über die Problematik aufgeklärt. Die neue Firmware für XT1, XT2 und XT2 Plus soll mit Erscheinen dieses Heftes bereitstehen, die Kunden müssen das Update allerdings selbst einspielen.

Zum Kasten: Cloud-Probleme

Climax war auf Anfrage nicht bereit, eine Liste aller betroffenen Marken und Typen zu veröffentlichen, will seine OEM-Kunden allerdings informieren und neue Firmware bereitstellen. Es liegt dann an den Herstellern, ob und wie sie die Endkunden kontaktieren. Bei allen Climax-Systemen soll bei der Ersteinrichtung künftig die Vergabe eines neuen Passwortes nötig sein.

Auch die Secvest-Anlage von Abus soll nun eine neue Firmware erhalten, die Neueinrichtung soll nur nach der Vergabe eines neuen Passworts möglich sein. Darüber hinaus will der Hersteller die Dokumentation der Anlagen entsprechend Anpassen und in seinen Schulungen für Fachinstallateure auf die Problematik hinweisen. Abus hat zudem versprochen, alle Fachhandelspartner über die Sicherheitslücke zu informieren.

In unserer FAQ auf Seite 82 haben wir alle Maßnahmen zusammengefasst, die man beim Verbinden sicherheitsrelevanter Systeme mit dem Netz beachten sollte. Wenn es gut läuft, dürften die meisten Kunden mit frischer Firmware und einem mulmigem Gefühl beim Lesen dieses Artikels aus der Sache herauskommen, sofern sie selbst aktiv werden. Vor allem die Hersteller von Alarmsystemen sollten jedoch peinlichst darauf achten, wie die Kunden ihre Produkte im wirklichen Leben einsetzen. Einen Alarmanlagenunfall dieses Ausmaßes darf es kein zweites Mal geben. (sha@ct.de)

Im ersten Moment war ich schon etwas baff, als der Anruf kam. Als rational orientierter Mensch (E-Ingenieur) und gedanklich die präsentierten Fakten Revue passieren lassend, kam ich im Nachhinein zu dem Schluss: „Na ja, da hast du mit dem Belassen der Werkseinstellungen wirklich dumm und bequem gehandelt, aber der Eindringling war zu deinem Glück ohne kriminelle Absicht unterwegs und du konntest die Lücke schließen“. Ich bin dankbar für diesen Weckruf.

So was sollte einem Ingenieur nicht passieren, wo ich doch sonst mein Möglichstes tue, Notebooks, Internetzugang, Smartphones, Passwörter und wichtige Daten (Stichwort TrueCrypt, KeyPass auch auf dem Smartphone) et cetera zu schützen. Ich habe das mit dem potenziellen Kapern der Anlage einfach auf die leichte Schulter genommen und die eigentlich recht kleine Hürde der Änderung nicht genommen. Zudem war mir die Möglichkeit des Scannens nicht so deutlich präsent. Und das, obwohl mir das Thema Zugriff auf solche Web-basierten Geräte genauso wie das Scannen von PC, Smartphone, Kfz-Sicherheitseinrichtungen sehr wohl bekannt ist.

Dennoch denke ich, dass sich auch Lupus als Hersteller von Alarmanlagen nicht sehr professionell verhält, wenn die Kunden nicht deutlich auf die Wichtigkeit eines sicheren Web-Zugangs hingewiesen werden. Sie verkauften mir ein Produkt, dessen Kernfunktion, in meinem Haus für mehr Sicherheit zu sorgen, durch eine simple Nachlässigkeit ins Gegenteil verkehrt werden konnte.

Gerd Pfeiffer ist 64 Jahre alt, Elektroingenieur und betreibt eine eigene Firma für permamenterregte Synchron-Servomotoren für die Automatisierungstechnik.

Die von Blaupunkt angebotene Alarmanlage Smart Home Alarm Q3x00 ist kaum von dem Problem mit den standardmäßig eingestellten Zugangsdaten betroffen, da nur wenige Nutzer den undokumentierten Webserver nach außen zugänglich machen. Wir stießen allerdings auf ein Problem in der Kommunikation zwischen Anlage und Cloud-Dienst, das es einem Angreifer im lokalen Netz erlaubt, die Anlage ohne PIN zu entschärfen.

Alarmanlage und Cloud kommunizieren über das XMPP-Protokoll, welches auch beim Messaging-Dienst Jabber zum Einsatz kommt. Bei unserer Analyse der Firmware-Version T 0.2 zeigte sich, dass der Hersteller Verschlüsselung oder kryptografische Maßnahmen zur Sicherstellung der Integrität schlicht weggelassen hat. Gelingt es einem Angreifer, sich ins lokale Netz zu hacken, kann er den Traffic der Alarmzentrale etwa per ARP-Spoofing über sich umleiten und manipulieren. So kann er zum Beispiel eine Diagnosenachricht, welche in regelmäßigen Abständen zwischen Alarmzentrale und Cloud ausgetauscht wird, durch die Nachricht zum Entschärfen der Alarmanlage ersetzen.

Während unseres Tests stießen wir auf ein weiteres Problem: Die Anlage patzt bei der Überprüfung des zum Entschärfen nötigen Benutzercodes. Diesen Code muss der Anwender über die App oder das Web-Interface eingeben. Der Code wird dann zusammen mit der Anweisung zum Entschärfen der Alarmanlage in einer XMPP-Nachricht an die Alarmzentrale geschickt. Eine exemplarische Nachricht zum Entschärfen der Alarmzentrale mit dem Benutzercode „1234“ sieht wie folgt aus:

<message id="n0000-000000" to=
"<Eindeutige ID der Alarmzentrale>@climax-home-portal" type=
"chat" from="security_ admin@climax-home-portal/Smack">
<body> 4150795OqiESNX2RCHC/ :;MODA:1,0,
1234

</body></message>

Die App und das Portal erzwingen, dass der Anwender zum Entschärfen einen 4-stelligen Benutzercode übergibt. Wenn dieser Code nicht mit dem aktuell konfigurierten übereinstimmt, schlägt das Entschärfen fehl. Fehlt der Code im Datenpaket allerdings, wird die Anlage fatalerweise entschärft.

Blaupunkt hat bereits nachgebessert und verschlüsselt die Kommunikation der Anlage seit Version 1.0 per TLS. Das hilft allerdings wenig, da die Anlage die ihr vorgesetzten Zertifikate nicht ausreichend überprüft. Ein Angreifer kann der Anlage ein beliebiges Zertifikat vorsetzen und die oben beschriebenen Lücken weiter ausnutzen.(Christopher Dreher