HP-Tests: vernetzte Haussicherheit 100% unsicher

Böblingen (ots) - Security-Tests mit HP Fortify OnDemand zeigen,
dass internetfähige Alarm- und Überwachungsanlagen für
Privathaushalte signifikante Sicherheitslücken haben

Die Besitzer von internetfähigen Alarm- und Überwachungsanlagen
für Privathaushalte sind womöglich nicht die einzigen, die damit ihre
Häuser beobachten - das legen die Ergebnisse einer Teststudie nahe,
die HP heute veröffentlicht hat. Laut des Studienergebnisses weisen
alle untersuchten Geräte beträchtliche Schwachstellen bei
Passwortsicherheit, Verschlüsselung und Authentifizierung auf.

Überwachungssysteme für zuhause, wie Videokameras, Bewegungsmelder
und Alarmanlagen werden immer beliebter durch eine leichtere
Bedienbarkeit und den wachsenden Markt des Internets der Dinge
(Internet of Things, IoT). Für das Jahr 2015 prognostiziert Gartner
den Einsatz von 4,9 Milliarden vernetzten Geräten. Bis zum Jahr 2020
wird sich die Zahl auf 25 Milliarden erhöhen. (1) Die HP-Studie
belegt, dass die Entwicklung der Sicherheitsaspekte nicht mit dem
hohen IoT-Wachstum mithalten kann.

Das Sicherheitssystem wird zum Sicherheitsrisiko

Hersteller bringen vermehrt vernetzte Haus-Sicherheitssysteme mit
Fernüberwachungsfunktionen auf den Markt. Durch die
Netzwerk-Verbindung und den Fernzugriff entstehen allerdings neue
Sicherheitsrisiken. Diese gibt es bei älteren Geräten ohne
Internetverbindung nicht.

Mit HP Fortify on Demand hat HP zehn Produkte aus dem Bereich
Haussicherheit und Alarmanlagen einschließlich der entsprechenden
Cloud- und Mobile-Anwendungskomponenten getestet. Das Ergebnis ist,
dass keines der Systeme ein sicheres Passwort verlangt oder eine
Zwei-Faktor-Authentifizierung erfordert.

Laut HP-Studie zählen die folgenden vier Aspekte zu den häufigsten
Sicherheitsproblemen, die sich einfach beheben lassen:

- Unzureichende Autorisierung: Keines der Systeme mit
Cloud-basierten Web-Schnittstellen und mobilen Schnittstellen
verlangte ein langes oder komplexes Passwort. Die meisten
erforderten lediglich ein alphanumerisches Passwort mit einer
Länge von sechs Zeichen. Bei keinem System wurde der Account
nach einer bestimmten Anzahl von fehlgeschlagenen
Log-in-Versuchen automatisch gesperrt.
- Unsichere Internet-Schnittstellen: Alle Cloud-basierten
Schnittstellen im Test hatten Sicherheitslücken. Sie bieten
Hackern eine Angriffsfläche durch drei typische Fehler - mehrere
Benutzerkonten, schwache Passworteinstellungen und einen
fehlenden Log-out. Fünf von zehn der getesteten Systeme wiesen
vergleichbare Probleme bei ihren mobilen Anwendungen auf.
- Ungenügender Datenschutz: Alle getesteten Systeme sammeln
persönlichen Daten wie Name, Adresse, Geburtsdatum,
Telefonnummer und sogar Kreditkartennummern. Zusätzlich zeichnen
viele Heimsicherheitsanlagen Videodaten auf, die über mobile
Applikationen oder die Cloud zugänglich sind. Die privaten
Accounts sind für Cyber-Kriminelle leicht zugänglich.
- Mangelnde Verschlüsselung beim Transport der Daten: Während in
den Systemen bereits eine SSL- oder TLS-Verschlüsselung
vorhanden ist, verbleiben Sicherlücken beim Transport der Daten
über die Cloud. Dies ermöglicht Cyber-Kriminellen beispielsweise
Angriffe wie sogenannte "POODLE Attacks".

Die Hersteller von vernetzten Haussicherheits-Systemen sind
demnach aufgefordert, dringend benötigte Sicherheitsmaßnahmen zu
entwickeln und Sicherheitslösungen zur Verfügung zu stellen.
Zeitgleich liegt es aber auch in der Verantwortung der Verbraucher,
ein Überwachungssystem auszusuchen, das die höchstmögliche Sicherheit
bietet und dieses richtig zu installieren. Dazu zählt die
Implementierung eines sicheren Heimnetzwerks, bevor intelligente
IT-Geräte hinzugefügt werden. Auch die Einführung komplexer
Passwörter, die Möglichkeit der Konto-Sperrung sowie die
Zwei-Faktor-Authentifizierung sind Maßnahmen, die den Verbraucher und
seine Daten im Umgang mit dem Internet der Dinge und beim Anwenden
IoT-Produkten schützen.

Methode

Die Studie wurde von HP Fortify mit Hilfe der
Security-Testing-Lösung HP Fortify on Demand durchgeführt. Innerhalb
der Studie wurden die zehn am häufigsten verwendeten digitalen
Produkte für Heimsicherheitsanlagen auf ihre Schwachstellen getestet.
Hierbei wurden manuelle Tests mit automatisch durchgeführten Tests
kombiniert. Die Geräte und ihrer Komponenten wurden auf der Grundlage
der OWASP Internet of Things Top 10 geprüft und auf die üblichen
Schwachstellen jeder einzelnen TOP-10-Kategorie getestet. Die
resultierenden Daten und Prozentangaben in diesem Bericht wurden aus
den Tests der zehn getesteten Systeme erstellt.

Weitere Informationen:

Weitere Informationen zu der Studie finden Sie hier
http://ots.de/rLXAz

Ausführliche Informationen finden Sie in
der HP Internet of Things Research Study von 2014 unter
http://ots.de/SwHwF

Das HP Security Briefing, Folge 20: Das Internet der Dinge: Eine
Übersicht über die Sicherheit untersucht, wie das Aufkommen von
Millionen angeschlossenen Geräten sich auf die Netzwerksicherheit
auswirkt. Den Artikel, finden Sie unter http://ots.de/LDH8t

Bildmaterial steht Ihnen hier zur Verfügung
https://www.flickr.com/photos/hpdeutschland/sets/72157648411612104/

Aktuelle Nachrichten finden Sie auf dem IT-Blog von HP
http://bit.ly/1xHf2O1

Fußnote

(1) Gartner, "Forecast: The Internet of Things, Worldwide, 2013,"
November 2013.

Über HP
HP schafft neue Möglichkeiten für einen sinnvollen Einfluss von
Technologie auf Menschen, Unternehmen, Regierungen und die
Gesellschaft. Mit einem äußerst breiten Technologieangebot, das
Drucklösungen, PCs, Software, Dienstleistungen und
IT-Infrastrukturlösungen umfasst, bietet das Unternehmen seinen
Kunden in allen Regionen der Welt Lösungen bei komplexesten
Herausforderungen.

Weitere Informationen zum Unternehmen (NYSE, Nasdaq: HPQ) und zu den
Produkten finden Sie unter www.hp.com/de.

Pressekontakt:
Janina Rogge
HP-Presseservice
F&H Public Relations GmbH
Tel.: 089 12175-151
E-Mail: hp@fundh.de
www.fundh.de