Ein Poltergeist, der die Toilettenspülung betätigt, ist vielleicht nicht das Gruseligste, was einem im eigenen Haus begegnen kann. Aber wenn der Poltergeist auch noch sämtliche Lampen, die Wasserpumpe und die Garagentür unter Kontrolle hat, dürfte jeder Hausbewohner unruhig werden.

Der Poltergeist ist natürlich kein Geist, und er ist eine Sie, Kontrolle über fremde Häuser aber hat sie – die Hackerin Kashmir Hill. Hill ist eigentlich Journalistin und eher zufällig über die Probleme sogenannter Smart Homes gestolpert. Wie genau, beschreibt sie auf forbes.com.

Hill schreibt, sie habe einen einfachen Satz gegoogelt und sei dadurch auf eine Liste von Smart Homes gestoßen. Sie alle waren mit einem System der Firma Insteon ausgestattet, über das die Hausbewohner ihre Lampen, den Fernseher, den Wasserhahn in der Badewanne, Wasserpumpen, Garagentore und Ventilatoren aus der Ferne steuern können – per App oder über den Browser.

Das Problem an dieser Version des Systems: In der Standardeinstellung war die Steuerung für die Häuser nicht mit Benutzernamen und Passwörtern gesichert. Die Google-Links führten zum Teil direkt zur ungeschützten Benutzeroberfläche.

In einigen Fällen fand Hill genügend Hinweise, um die Lage der Häuser bestimmen und die Bewohner kontaktieren zu können. So rief sie eines Morgens einen ihr bis dato unbekannten Menschen namens Thomas Hatley in Oregon an und sagte ihm: "Ich sehe alle Geräte in Ihrem Haus und ich denke, ich kann sie kontrollieren." Hatley verlangte als Beweis, dass sie das Licht im Schlafzimmer ein- und ausschalten solle – was sie bequem vom Browser aus tun konnte. 

Hatley hatte zwar eine Passwortabfrage eingerichtet, doch die ließ sich mit einem einfachen Trick umgehen: Hill musste nur auf den offenen Port zugreifen, den das System verwendete, schon hatte sie die gewünschte Kontrolle. 

Insteon gab später an, das Produkt werde so nicht mehr ausgeliefert. Aber es gibt viele weitere Beispiele für Sicherheitslücken in Smart Homes, wie David Bryan und Daniel Crowley von der Firma Trustwave herausgefunden haben. Bei der am Donnerstag beginnenden Hackerkonferenz Defcon in Las Vegas wollen sie ihre Funde vorstellen.

Dazu wird auch der Angriff auf die Satis Smart Toilet gehören. Die rund 5.000 Dollar teure Toilette lässt sich per Android-App steuern. Smartphone und Klo kommunizieren ohne Passwort und mit der Standard-PIN "0000". Um die Spülung oder die eingebaute Dusche zu betätigen, während jemand anderes auf dem Klo sitzt, müsste ein Hacker zwar in unmittelbarer Nähe und im Heimnetzwerk angemeldet sein, dann aber ist der Zugriff kein Problem. 

Bremse im Auto deaktiviert

Das Ganze klingt eher nach Partystreich als nach ernsthaftem Sicherheitsproblem. Doch es sind eben diese kleinen Sorglosigkeiten, auf die Bryan und Crowley aufmerksam machen wollen – bei Herstellern und bei Kunden. Denn Smart Homes müssen vor dem Zugriff durch Unbefugte gesichert sein. Die bisherigen Sicherheitsmaßnahmen mancher Anbieter verdienen jedoch diesen Namen nicht. 

Was für Häuser gilt, gilt erst recht für Autos. In ihnen stecken längst diverse Computer und auch die können gehackt werden. Die Sicherheitsforscher Charlie Miller und Chris Valasek haben zum Beispiel einen Weg gefunden, die Bremsen eines Ford Escape und eines Toyota Prius per Laptop zu manipulieren. Sie können die Bremse schlicht deaktivieren. Der Fahrer tritt also im Zweifel aufs Bremspedal, ohne dass sein Auto sich dafür interessiert. Umgekehrt funktioniert es auch, Miller und Valasek können bremsen, ohne dass der Fahrer es beeinflussen kann.