Die Spione in der Steckdose

Swisscom-Smart-Meter erlaubten Hackern, in private WLAN-Netze einzudringen.

WiFi Switch Generation 2 der Swisscom-Tochter MyStrom.

WiFi Switch Generation 2 der Swisscom-Tochter MyStrom.

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Die Swisscom erkennt im Internet der Dinge unbegrenztes Potenzial. Der Schweizer Telecom-Branchenführer widmet dem Thema sogar eine eigene Unternehmenseinheit, die «Enterprise IoT», das «Internet of Things» für Geschäftskunden und schwärmt in Verkaufsbroschüren von ihrem «Weltklasse-Ökosystem.»

Privatkunden verkauft die Swisscom ebenfalls Dinge, die man ans Internet anschliesst. Nicht nur Handys, auch Smart-Meter, um etwa den Elektrizitätsverbrauch des Privathaushalts zu überwachen. Bei der Entwicklung dieser Dinge herrscht beim Telecom-Branchenkrösus aber offenbar ein anderer Qualitätsanspruch. Zumindest was die Sicherheit der Smart-Meter der Firma MyStrom angeht, einer Tochter der Swisscom. Deren Geräte sind seit 2011 auf dem Markt und kommen in Zehntausenden Schweizer Haushalten zum Einsatz. Nun zeigt sich, dass MyStrom-Produkte von Dritten infiltriert und ferngesteuert werden können.

Via den MyStrom-Smart-Meter könnten Cyberkriminelle sogar auf TVs, Handys oder Notebooks zugreifen, die im selben WLAN-Netz angeschlossen sind. Sie könnten Privatnutzer je nach System unbemerkt beim E-Banking beobachten, oder sie könnten Nutzer bei Privat-Chats abhören und allenfalls peinliches Material sammeln, um sie danach zu erpressen.

MyStrom erfuhr vor vier Monaten von den Lücken. Reagiert hat das Unternehmen erst diese Woche. Thomas Kienle, CEO von MyStrom, sagt: «Tatsächlich wurden wir von einem externen Sicherheitsexperten darauf aufmerksam gemacht.» Einige Löcher hätte umgehend geschlossen werden können. Das gravierendste Loch habe die Firma aber erst vor kurzem nachvollziehen und schliessen können.

Das Kapern geschieht komplett unbemerkt vom Kunden

Entdeckt hat die Sicherheitslücke Jan Almeroth, IT-Projektmanager und Mitglied des Chaos Computer Clubs, per Zufall. Der 32-jährige Deutsche hatte sich in seiner Freizeit mit den MyStrom-Smart-Meters auseinandergesetzt. Sie werden zu Hause in die Steckdose eingeführt und wählen sich ins lokale WLAN ein. Nun können die Geräte via Handy-App gesteuert werden. Zum Beispiel zur Abschreckung von Einbrechern während der Ferien. Die Technologie sorgt dafür, dass das Licht unterwegs ein- und ausgeschaltet werden kann.

Die MyStrom-Entwickler hatten allerdings geschlampt. Almeroth entdeckte im Quellcode der Software Logins und Passwörter zweier Entwickler. Und, dass die MyStrom Cloud mit einem Zertifikat gesichert ist, die nicht zu myStrom gehört, sondern zur Website asokausa.com. Diese Domain steht derzeit zum Verkauf. Die Integrität der sicheren Kommunikation war somit dahin.

Der IT-Experte grub weiter und entwickelte eine Methode, um neu registrierte MyStrom-Geräte zu kapern. Er sagt: «Ich wäre in der Lage, jedes Neugerät der Typen WiFi Switch Generation 2, WiFi Bulb und WiFi Buttons fremdzusteuern.» Getestet hat Almeroth seine Entwicklung nicht. Hätte er fremde Geräte tatsächlich manipuliert, würde er sich strafbar machen.

Kapern geschieht komplett umbemerkt

Almeroth ist überzeugt: Jemand mit krimineller Energie würde genau das tun. Für MyStrom-Kunden, die sich mit der Technologie vor Einbrechern schützen wollten, ist die Situation ironisch: Sie wollten Eindringlinge abschrecken, laden aber Cyber-Eindringlinge förmlich ein, sie auszurauben.

Auf die Frage, ob es in den WLAN-Netzwerken von MyStrom-­Kunden schon zu verdächtigem Verhalten gekommen sei, sagt der CEO Thomas Kienle allerdings kategorisch: «Nein.» Komplett sicher kann sich Kienle allerdings gar nicht sein. Das Kapern der Geräte geschieht komplett unbemerkt vom Kunden. Von den Versprechungen der Swisscom im Geschäftskundenbereich, ein Weltklasse-Ökosystem anzubieten, ist die Swisscom-Tochter MyStrom deshalb weit entfernt.

(SonntagsZeitung)

Erstellt: 11.08.2018, 23:01 Uhr

Artikel zum Thema

Macht ist wichtiger als Sicherheitslücken

Video Die Schweiz ist mindestens so anfällig für Hackerangriffe wie Deutschland. Dennoch wird der Nationalrat Verbesserungen wohl blockieren. Es geht um Geld und Macht. Mehr...

Europaweite Cyber-Attacke trifft auch Schweizer Firmen

Hacker der russischen Gruppe APT28 sind in das deutsche Regierungsnetz eingedrungen. Auch Schweizer Firmen sind betroffen. Die Attacke läuft noch. Mehr...

Vorsicht, neue Hackermasche – teurer Anruf ins Ausland

Kriminelle dringen in private Netze ein und plötzlich «telefonieren» Sie ohne Ihr Wissen an eine kostenpflichtige Nummer. Mehr...

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Abo

SonntagsZeit. Im Digital-Abo.

Die SonntagsZeitung digital ohne Einschränkung nutzen. Für nur CHF 10.- pro Monat.
Jetzt abonnieren!

Kommentare

Abo

Abo Digital - 26 CHF im Monat

Den Tages-Anzeiger unbeschränkt digital lesen, inkl. ePaper. Flexibel und jederzeit kündbar.
Jetzt abonnieren!

Die Welt in Bildern

Trigger für Höhenangst: Ein Besucher der Aussichtsplattform des King Power Mahanakhon Gebäudes in Bankok City posiert fürs Familienalbum auf 314 Meter über Boden. (16. November 2018)
(Bild: Narong Sangnak/EPA) Mehr...