CERT-Bund warnt vor offenen Homematic Smart Home-Systemen

CERT-Bund warnt aktuell vor offenen Homematic Smart Home-Systemen. Noch immer sind Tausende Systeme per Internet erreichbar und für eine automatische Anmeldung konfiguriert.


Anzeige

Bei Homematic handelt es sich um eine Automatisierungslösung für den Heimbereich. Im Smart Home lassen sich mit Homematic-Komponenten Rolläden steuern, die Heizung oder das Licht kontrollieren. Die Homematic Komponenten können, laut Hersteller) über Zentralen und Gateways miteinander verbunden und programmiert werden. Die Homematic Zentrale CCU2 dabei übernimmt vielfältige Steuer-, Melde- und Kontrollfunktionen für alle Bereiche des Homematic Systems. Über Apps lässt sich dann das Ganze auch per Internet steuern.

Warnungen bereits im Frühjahr

CERT-Bund warnte bereits im Frühjahr 2019, dass die rund 6.000 Homematic-Systeme, die per Internet erreichbar sind, angreifbar seien. Insbesondere ist mit der Standardkonfigurierung eine automatische Anmeldung für unbefugte Dritte möglich. In alten Firmware-Versionen gab es zudem Schwachstellen. Im März 2019 gab es ein Software-Update des Herstellers, wie ich dieser Pressemeldung entnehme. Dort sind zumindest Schwachstellen behoben. Aber die automatische Anmeldung und eine eingerichtete Port-Weiterleitung bergen weiterhin Risiken.

Neue Warnung Ende August

Bereits im Mai 2019 warnte CERT-Bund, dass mehrere tausend HomeMatic SmartHome-Systeme in Deutschland offen aus dem Internet erreichbar seien. Die Nutzer haben entsprechende Port-Weiterleitungen auf ihren Routern eingerichtet. Auf über der Hälfte der Systeme ist eine automatische Anmeldung möglich.


Anzeige

In obigem Tweet hat CERT-Bund vor einigen Tagen nachgelegt. Es haben zwar einige Benutzer nach den ersten Warnungen reagiert. Aber noch immer sind um die 3.000 Systeme offen. Wer also ein Smart Home mit HomeMatic-Komponenten betreibt, sollte dessen Konfigurierung überprüfen. Ein paar zusätzliche Informationen finden sich in diesem heise-Artikel.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu CERT-Bund warnt vor offenen Homematic Smart Home-Systemen

  1. nhauke sagt:

    Hi. Ganz so wie hier durch den CERT dargestellt ist es nicht. Der Hersteller warnt die User schon vor diesen damaligen Sicherheitslücken und stellt fast monatlich Updates für die Zentralen bereit. Aber wenn die User nicht updaten und Ihre Systeme mit Standardpasswörtern per Portforwarding ins Netz hängen, dann kann man Ihm da keinen Vorwurf machen. Mittlerweile wird auch auch VPN-Dienst angeboten. Zudem gibt es mehrere Community-Lösungen. Ich selbst habe die Kiste nicht im Internet, denn da hört smarthome für mich persönlich auf…

  2. psytester sagt:

    Ganz so wie vom Leser nhauke in der Kommentarfunktion dargestellt ist es nun auch wieder nicht.
    Einen VPN Zugang einrichten ist für den Otto Normal Internetbenutzer Hexenwerk und die breite Masse möchte von Unterwegs auf seine Systeme zugreifen.
    Ein Großteil der Verantwortung liegt bei eQ-3, auch wenn diese es gerne anders sehen würden.
    Warum? Es gibt Systeme, die sind im Internet erreichbar und mit entsprechenden Absicherungen versehen, damit sie einen Angriff überstehen oder abwehren können.
    Ja, Portforwarding kann unsicher sein, wenn das angesprochene System unsicher ist. Jedoch ist das Portforwarding nur der Durchreicher/Übermittler der Nachrichten. Das Zielsystem ist hier in der Pflicht.
    Eine Warnung vor Portforwarding schützt keinen Hersteller vor seiner Verantwortung sichere Systeme bereitzustellen.
    Mein Vergleich: Ein Haus zu bauen ohne Haustür und dem Besitzer dann vorzuwerfen sein Gartentor nicht abzuschließen ist in etwa das was eQ-3 suggeriert.
    Es mag monatliche oder zumindest regelmäßige Firmware Updates geben, diese enthalten jedoch meist nur Funktionsupdates oder wie in letzter Zeit neue Fehler, weil die QS nicht ordentlich getestet hat.
    Es wurde dieses Jahr genau nur ein Sicherheitsupdate an die große Glocke gehangen über die Presseabteilung von eQ-3. Die vielen anderen schwerwiegenderen Sicherheitsupdates, die es nur auf (massiven) Druck geschafft haben, wurden komplett im Stillen "untergeschoben".
    Auch heute noch gilt: Eine CCU2 mit wirklich super sicherem Passwort und TLS Verschlüsselung schützt absolut nicht vor einem total simplen RCE Angriff. Die betroffene Lücke ist nun schon über 22 Monate öffentlich bekannt.
    Und die Ende Februar/ Anfang März im Internet offen erreichbaren über 10000 vermeintlichen Homematic Systeme sind nicht nur durch die Benachrichtigungen der Internet Provider an dessen Kunden zum Portforwarding dicht gemacht worden. Mittlerweile verschleiert eine CCU einfach nur seine Identität. Aktuell sind noch mindestens 2352 Systeme offen erreichbar, die Dunkelziffer kann also immer noch viel höher sein.
    Ich habe hier leider meine eigenen Erfahrungen mit eQ-3 gemacht und weiß was hinter den Kulissen (nicht) passiert ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.