Die Welt der Vernetzung hat schon längst unsere Häuser erreicht. Nicht nur Einfamilienhaus gelten heute als Smart Buildings, sondern auch praktisch alle gewerblich genutzten Immobilien wie Bürogebäude, Universitäten oder Hotels. IoT oder Internet of Things nennt man es, wenn alle Geräte vernetzt sind. Über IoT-Security in der Gebäudetechnik wird leider nur wenig gesprochen. Der heutige Blogpost in der Kategorie SECURITY soll zeigen, dass hier enormer Nachholbedarf ist, CIOs sind gefordert.
Startpunkt Firmware Release Notes
Auch Heizungs/Klima-Thermostate sind mittlerweile smart und vernetzt. Folglich gibt es auch dafür regelmäßige Firmware-Updates. Jedes Update solle aber auch ein Security-Upgrade sein. Umso schöner, wenn mancher Hersteller offen kommuniziert, welche Fortschritte bei der IT-Sicherheit mit jeder neuen Version gemacht wurden. Heute geht es um ein Heizungsthermostat. Ja, Sie haben richtig gehört, etwas scheinbar so Simples wie das Thermostat für Ihre Klima bzw. Heizung.
In den Release Notes eines sehr bekannten Herstellers war vor Kurzem zu lesen:
Bug Fixes: Security Update to address CVE-2019-10743
Das ist natürlich erst einmal eine sehr gute Nachricht. Ein bestehendes Security-Problem wurde erkannt und beseitigt. Jetzt liegt es am Anlagenbetreiber, dieses Update auch zeitnah zu installieren.
Hinter CVE-2019-10743 verbirgt sich eines der bekanntesten Sicherheitslecks überhaupt. Praktisch auf jeder Plattform vom Großrechner bis zur smarten Haustechnik gab oder gibt es dieses Problem. Im Wesentlichen geht es darum, dass ein Angreifer Daten an Speicherbereiche schreiben kann, auf die er eigentlich keinen Zugriff haben sollte. Damit wird es möglich, Schadcode auszuführen oder das Gerät komplett unter seine Kontrolle zu bringen, um dann in einem zweiten Schritt Schaden an anderen Geräte oder Diensten anzurichten. Das Heizungsthermostat wird zum ferngesteuerten Bot.
Welchen Schaden kann ein Thermostat schon anrichten?
Vielleicht fragen Sie sich, ob sich ein Angriff auf ein Thermostat überhaupt lohnt. Um diese Frage zu beantworten, genügt ein Blick in das Gerät. Es ist wirklich erstaunlich, welch hochwertige und entsprechend leistungsfähige Technik in einem scheinbar so einfachen Gerät steckt.
Hardware
Das Thermostat wird von einem 32-Bit ARM Cortex-A9 Mikroprozessor angetrieben. Dieser ist viel leistungsfähiger als man vermuten würde! Zum Vergleich: Der ältere PC, auf dem dieser Blogpost geschrieben wird, ist nur ca. 5x schneller als dieser kleine Heizungsregler an der Wand! Auch interessant: Das aktuelle Gerät hat ca. die 100x (!) fache Rechenleistung des Vorgängermodells.
Eine direkte WLAN-Anbindung sorgt für die Vernetzung und die eingebaute 3D -Graphics Engine hat mit dem kleinen Farbdisplay des Gerätes leichtes Spiel, weil sie auch FullHD Displays steuern könnte. Das ist ernstzunehmende Technik und hat nur wenig mit dem Heizungsthermostat Ihrer Eltern zu tun.
Software
Auf dem Thermostat läuft auch nicht mehr ein primitives RTOS, sondern ein vollwertiges HLOS (High Level Operating System) in Form eines LINUX Betriebssystem! Dies bedeutet, dass praktisch beliebige Programme, die auch auf einem PC laufen, per Cross Compiler für dieses Thermostat angepasst werden können. Und dank mächtiger CPU Power durchaus performant.
Es wäre daher ein großer Fehler, dieses Thermostats zu unterschätzen. Es ist nichts weniger als ein kleiner, aber absolut vollwertiger Computer. Und daher ist das Thema IoT-Security in der Gebäudetechnik so relevant.
Mögliche Schäden durch gehacktes Thermostat
Wenn nun ein Hacker aufgrund der obigen Sicherheitslücke das Gerät übernimmt, welche Schäden könnte er anrichten? Dabei dürfen wir nicht vergessen, dass Thermostat üblicherweise nicht einzeln installiert sind. In einem großen Einfamilienhaus sind es nur vielleicht 4 oder 5 davon, in einem Hotel oder einem Bürogebäude können es aber auch leicht mehrere hundert Stück sein. Wenn ein Angreifer ein Gerät kapern kann, so wird er auch die anderen übernehmen können. Speziell wenn wie bei diesem Gerät Konfigurationen und Updates per Powershell Automation über das Netzwerk binnen Sekunden verteilt werden können.
Wenn sie also ein solches Thermostat noch nicht beeindruckend genug finden, dann denken Sie daran, welchen Angriffsvektor eine Armee von hunderten dieser Geräte ermöglichen kann. Was könnte also passieren?
Mögliche Probleme bei mangelnder IoT-Security in der Gebäudetechnik:
- Der einfachste Fall: Das Thermostat regelt falsch
Wie lange würde es wohl dauern, bis man es bemerkt, wenn das Thermostat die Heizung/Kühlung jede Nacht zwischen Mitternacht und 4 Uhr früh auf volle Leistung stellt?
Welche Kosten verursacht ein solches Fehlverhalten? Bei einem einzelnen Thermostat? Wenn hunderte in einem großen Bürogebäude installiert sind, die scheinbar zufällig ähnliche Fehlfunktionen zeigen? Bei den aktuellen Energiepreisen ein potenziell sehr teures Problem.
Im „einfachsten“ Fall macht das Thermostat gar nichts, schaltet also Heizung oder Klima einfach dauerhaft AUS. Dass dies ebenfalls zu Problemen führen wird, ist offensichtlich. - Die perfekte Verwirrung dank falscher Anzeige
Das Gerät sendet aktuelle Werte wie die Raum-Temperatur aber auch den Status von Ventilen an die Zentrale. Was aber passiert, wenn diese nicht stimmen? Wenn das Thermostat brav 20°C meldet, den Raum aber maximal kühlt? Oder das Servicepersonal mit falschen Störungsmeldungen nervt? - Denial of Service im IoT-Netz bzw. im WLAN
Der eingebaute Prozesse mit integriertem Netzwerk-Chip ist leistungsfähig genug, tausende Datenpakete pro Sekunde ins WLAN zu senden und damit das Netzwerk zu verstopfen.
Auch hier gibt es potenzielle Auswirkungen auf andere Netzwerkdienste. Was wird wohl passieren, wenn plötzlich alle Thermostate gleichzeitig jeweils 100 Anfragen an den DNS-Server stellen? Oder sich statt nur einmal alle 6 Stunden plötzlich jede Sekunde vom zentralen Zeitserver die aktuelle Uhrzeit holen? Oder sich vom WLAN-Accesspoint abmelden, um sofort wieder einen Reconnect zu versuchen?
In jedem dieser Fälle wird zumindest das Netzwerk-Segment wahrscheinlich aber noch viel mehr unbenutzbar werden. Übrigens: Genau solch einen Angriff gab es vor ein paar Jahren auf einem amerikanischen Universitäts-Campus, wo mehrere Tausend smarte Lampen das komplette Netzwerk lahmlegten. - Thermostat als Spam-Schleuder
Gleiches passiert, wenn die Geräte tausende Spam Emails verschickt. Denken wir kurz an die Auswirkungen. Was wird wohl passieren, wenn pro Minute aus einem Netzwerk neben 10 gültigen auch 5000 Spam-Emails kommen? Richtig, der Internet-Provider wird den Kunden mit großer Wahrscheinlichkeit temporär vom Netz nehmen, um nicht selbst Gefahr zu laufen, bei seinem Backbone-Provider auf die Blacklist zu kommen! - Zugriff auf andere Geräte im Gebäude
Jedes gehackte Gerät ist ein mögliches Gateway zu anderen Diensten. Bussysteme wie KNX oder BACnet/IP laufen fast immer unverschlüsselt auf dem Gebäudetechnik-Netzwerk. Es ist dann keine Kunst mehr, über diesen Zugang weiteren Schaden zu verursachen. Wenn z.B. über ein gekapertes Thermostat die gesamte BACnet/IP Anlage kontrolliert werden kann! - Vorzeitige Alterung durch Überlastung
Auch unnötiger Verschleiß kann so verursacht werden. Malware kann zum Beispiel die Heizungs-Ventile permanent öffnen und schließen. Oder Ventilatoren im Sekundentakt ein- und wieder ausschalten. Steuerrelais mögen es auch nicht wirklich, wenn sie mehrmals pro Sekunde aktiviert werden. Es gibt noch viele andere destruktive Möglichkeiten. - Missbrauch des Displays.
Das Display zeigt normalerweise Uhrzeit, Status und Temperatur an. Was aber, wenn dort plötzlich Bilder angezeigt werden, die dort nicht hingehören? Die Hotelgäste finden es sicher auch nicht großartig, wenn das Thermostat permanent blinkt oder ein psychedelisches Farbspiel zeigt. - Folgeschäden
Jede Fehlfunktion birgt die Gefahr, dass der Raum unbenutzbar wird. Die Nutzer verlassen sich auf die Haustechnik. Was aber passiert, wenn die Temperatur im Büro nach dem Wochenende nur mehr 12°C ist? Wenn die Hotelzimmer im 4. Stock alle plötzlich auf über 30°C heizen? - Daten-Spionage
Nur der Vollständigkeit halber erwähne ich, dass ein gekaperter Linux-Rechner im Gebäude eine perfekte Plattform für weiterführende Aktionen ist. Den Rest überlasse ich ihrer Fantasie.
Diese Aufzählung ist mit Sicherheit keine Übertreibung. Es sind absolut realistische Szenarien, die passieren können, wenn scheinbar einfache Geräte wie smarte Heizungsthermostate gehackt werden. Oder schon passiert sind!
IoT-Security in der Gebäudetechnik ist kein Kinderspiel
Building Technology erlebte in den letzten 10 Jahren einen massiven Digitalisierungs-Schub. Früher sorgten proprietäre Technologien für hohe Zugangshürden. Vergleichsweise langsame Systeme waren auch keine lohnenden Ziele. All das hat sich mittlerweile komplett geändert:
- Vernetzung per TCP/IP via LAN oder WLAN
Standard Netzwerk-Technik macht den Zugang extrem einfach. Anstatt spezieller Interfaces oder Busadapter reicht die nächste Netzwerk-Steckdose zum Einstieg. Diese bietet mit 100MBps eine ca. tausendfache (!) Kapazität im Vergleich zu alten KNX oder Modbus-Leitungen! - Erstaunlich leistungsfähige Hardware
Wie das obige Beispiel eines smarten Thermostats zeigt, steckt in aktuellen Gebäudetechnik-Geräten oft verblüffend viel Performance. Dank Speicher in GB Größe und Prozessorleistungen, die alten PCs nicht viel nachstehen, können selbst umfangreiche Malware Pakete von vielen IoT-Geräten problemlos verarbeitet werden. - Standard-Betriebssysteme
Linux und Android sind extrem verbreitet. Entsprechende Programme zu schreiben oder zu adaptieren ist keine große Herausforderung. Der wahrscheinlich größte Vorteil von Linux ist der sogenannte portable Source-Code. Was auf einem PC läuft, kann auch auf einem Großrechner laufen, oder einem Tablet oder eben einem Heizungsthermostat! - Es gibt ungleich mehr Wissen über IT-Standards als über die kryptischen alten Gebäudetechnik-Systeme. Dies betrifft sowohl die Hardware als auch die Software inkl. der dafür nötigen Programmiersoftware.
Gegenmaßnahmen und Handlungsempfehlung
Nachfolgend ein paar Tipps für die IoT-Security in der Gebäudetechnik:
- Die Gebäudetechnik MUSS ein essenzieller Teil der gesamten IT-Security Strategie sein. Kein CIO kann es sich leisten, Gebäudetechnik Netzwerke zu ignorieren.
Es wäre naiv zu glauben, dass von Licht- oder Heizungssteuerungen weder Gefahr ausgeht noch dass diese keine lohnenden Ziele für Hacker sind. Das Gegenteil ist der Fall! - Regelmäßige Security-Audits sind ebenso unverzichtbar wie eine proaktive Update-Strategie. Hersteller, welche für Ihre Geräte keine regelmäßigen Updates liefern können oder wollen, sind zu hinterfragen. Systemintergratoren und Wartungsfirmen, die das Thema nicht ansprechen, gefährden die Sicherheit ihrer Kunden.
- Last but not least sorgt ein geeignetes Systemdesign, Netzwerk-Konzept und entsprechend intelligentes Firewalling zumindest für eine Risikominimierung.
Gerne stehe ich für Ihre Projekte rund um das Thema IoT-Security in der Gebäudetechnik als neutraler und unabhängiger Consultant zur Verfügung. Egal ob für die Überprüfung Ihrer Bestandssysteme oder bei der Planung von neuen Anlagen. Diverse Verschwiegenheits-Erklärungen erlauben mir es leider nicht, konkrete Beispiele anzusprechen, aber ich kann Ihnen versichern, dass keines der geschilderten Szenarien pure Theorie ist.