Amazon und das smarte Türschloss Wollen Sie die reinlassen?

Ein Amazon-Angebot aus den USA erregt Aufsehen: Ein spezielles Schloss soll Paketboten von selbst die Tür öffnen. Das wirft viele Fragen auf - vor allem die nach der Sicherheit sogenannter Smart Locks.

Eine Mitarbeiterin verpackt ein Paket für den Versand.
DPA

Eine Mitarbeiterin verpackt ein Paket für den Versand.

Von


Es klingt nach einem verlockenden Angebot: Wer bei Amazon Prime bestellt, muss in Zukunft nicht mehr fürchten, die Lieferung zu verpassen. Denn mit dem Servicepaket "Amazon Key" lässt ein smartes Türschloss den Paketboten in die Wohnung.

Zunächst gibt es den neuen Amazon-Dienst nur in den USA, erst einmal werden damit nur Pakete ausgeliefert. In nicht allzu ferner Zukunft soll das smarte Türschloss aber auch die Reinigungskraft, den Hundesitter oder die Handwerker hereinlassen, wenn der Bewohner mal nicht da ist. So verschafft sich Amazon mit dem Schloss ganz nebenbei die idealen Voraussetzungen für seine eigenen Home Services, eine Plattform für Dienstleistungen.

Aus Sicht des IT-Sicherheitsforschers Maik Morgenstern hat Amazon mit seinem neuen Dienst erstmals ein "konkretes Szenario" für den Einsatz von Smart Locks beschrieben. Einerseits veranschauliche das Projekt den Nutzen der Technik, andererseits werfe das ferngesteuerte Türschloss die typischen Sicherheitsbedenken auf, die Experten angesichts von Smart-Home-Anwendungen schon lange umtreiben.

Denn: Nichts symbolisiert die Gefahr, sich durchs "Internet der Dinge" Ärger ins Haus zu holen, so schön wie ein Türschloss.

Smart Locks - auch in Deutschland ein Thema

Morgenstern ist Technikchef des IT-Sicherheitsinstituts "AV-Test" in Magdeburg. Gerade erst hat sein Team sechs in Deutschland verfügbare Smart Locks genauer untersucht. Insgesamt waren die Tester zufrieden, mitunter wurden aber auch peinliche Pannen entdeckt.

Eine typische Sicherheitslücke bei Smart Locks besteht etwa darin, dass die Funk- oder Internetkommunikation zwischen Schloss, App und Anbieter nicht verschlüsselt wird. Wozu das in der Praxis führen kann, haben die beiden IT-Sicherheitsforscher Anthony Rose und Ben Ramsey 2016 auf der Hackerkonferenz Defcon vorgeführt: Von 16 Bluetooth-gesteuerten Smart Locks konnten die beiden Hacker zwölf knacken. Wurden Passwörter im Klartext übermittelt, gelang es ihnen sogar, diese zu überschreiben. Der Besitzer wäre dann aus seinem eigenen Haus ausgesperrt gewesen.

Auch AV-Test stieß bei seinem Test auf Anbieter, die ihre Firmware-Updates unverschlüsselt losschickten. Angreifer könnten das ausnutzen, falsche Updates auf die Geräte spielen und die Funktionen des Smart Locks manipulieren, so die Sorge. Morgenstern kritisiert zudem Hersteller, die ihr Produkt mit voreingestellten Standardpasswörtern ausliefern, denn viele Kunden ändern das Passwort aus Bequemlichkeit nie.

Botnetze mit Haushaltsgeräten

"Wir gehen nicht davon aus, dass Angreifer Schwachstellen im großen Stil ausnutzen werden, um ins Haus zu kommen", sagt Maik Morgenstern. Zumindest Internetkriminelle seien nicht an Wohnungseinbrüchen interessiert, denn "dafür müsste man ja hingehen oder Leute vor Ort haben".

Vielmehr habe die Erfahrung gezeigt, dass Hacker Sicherheitslücken in Smart-Home-Anwendungen - wie es sie selbst bei großen Herstellern gibt - nutzen, um die Geräte mit Schadsoftware zu infiltrieren. So können zum Beispiel aus mit dem Internet verbundenen Glühbirnen oder Heizreglern Spambotnetze werden.

Auch Erpressungsversuche sind denkbar: Kriminelle Hacker, die ferngesteuerte Schlösser unter ihre Kontrolle bringen, könnten anschließend Lösegeld von den Wohnungseigentümern verlangen.

Angreifer vor der Tür und über das Netz

Im Fall von "Amazon Key" spricht Morgenstern von "Unsicherheiten auf mehreren Ebenen". "Ich muss mit lokalen Angreifern vor der Tür rechnen", sagt er, "und mit Angreifern über das Internet." Darüber hinaus bestehe prinzipiell das Risiko, dass Amazon gehackt wird - als Unternehmen, das eines Tages vielleicht die Haustüren von Millionen Prime-Kunden kontrolliert.

Amazon sichert seinen digitalen Schlüsseldienst nach eigenen Angaben auf verschiedene Arten ab. So soll etwa die Zugangsberechtigung eines jeden Besuchers durch einen verschlüsselten Authentifizierungsprozess bestätigt werden. Für 250 Dollar liegt dem "Amazon Key"-Paket außerdem eine smarte Sicherheitskamera bei, die automatisch zu filmen beginnt, wenn die Tür aufgeht. Kunden können sich die Ankunft des Paketboten dann live oder zeitversetzt ansehen.

Für viele Nutzer könnte diese gefühlte Kontrolle über das Geschehen das entscheidende Kaufargument für das Amazon-Servicepaket sein. Für den IT-Sicherheitsexperten Morgenstern wäre es eher ein Grund, die Datenschutzstandards des Anbieters genauer unter die Lupe zu nehmen. "Ist die Kamera wirklich aus, wenn sie aus sein soll?", fragt er sich.

Bei "Amazon Key" geht es also um Vertrauen, und das gleich auf mehreren Ebenen: Die Kunden brauchen Vertrauen in die Diskretion eines globalen, datengetriebenen Konzerns, Vertrauen in dessen Mitarbeiter und in die Technik.

IT-Sicherheitsexperte Morgenstern zumindest weiß schon, für welche Seite er am ehesten noch die Hand ins Feuer legen würde: "Ich persönlich hätte viel zu viele Bedenken, Fremde bei mir reinzulassen", sagt er. Das Risiko der Technik könne er wenigstens einschätzen.



insgesamt 56 Beiträge
Alle Kommentare öffnen
Seite 1
grumpy53 26.10.2017
1. Wollen Sie die reinlassen?
Einfach zu beantworten: Nein. Als Amazon-Kunde, ja klar, bin ich schon transparent über meine Einkommensverhältnisse, die Auswahl meiner Interessen und andere relevante persönliche Kennziffern (Kleidergröße sagt Übergewicht, politisch eher links usw) transparent genug. Wer "rechtmäßig" wann meine Wohnung betritt, entscheide immer noch ich. Jeden Tag kann man lesen, was alles gehackt, geknackt und an persönlichen Daten mißbraucht wird. Geht's noch? Diese absolute Technikgläubigkeit geht mir auf den Zeiger. Ich freu mich, wenn ich wo was online bestelle, und es entspannt und termingemäßg geliefert wird. Wenn nicht, latsch ich halt zum Einzelhandel vor Ort, zur Post und hole ab oder freu mich über gute Nachbarschaft, die erwidert wird. Ansonsten bin ich froh so alt zu sein, dass ich bürokratisch, antiquiert, technikfeindlich oder doof sein kann und einfach zuviel von dem Blödsinn nicht mitmachen muss.
didi2212 26.10.2017
2. Wohl nur was für Eigenheimbesitzer!
Da bei Mehrfamilienhäuser ja wohl nur das Schloss der Wohnungseingangstür ausgewechselt wird, muss der Bote, um ins Haus zu kommen, bei einem anderen Mieter klingeln, der dann auch gleich das Paket entgegennehmen kann. Sicherer und einfacher!
m a x l i 26.10.2017
3. Die Firma dankt
Einfacher Zugang zur Wohnung/zum Haus, wenn die Bewohner nicht zu Hause sind, eine Kamera im Eingangsbereich, die aufzeichnet, wer wann kommt und geht - das ist ja ein Traum. Wenn das Mielke noch erlebt haette...
mrrich 26.10.2017
4. Übertriebene Panikmache, wie ist die
Vorstellung, daß das Schloß, z.B. für einen etwas größeren Briefkasten ist? Als Schloß zu einem Ablagekasten außerhalb der vier Wände vorstellbar, oder als größere Briefkastenklappe. Größere Pakete sollten sowieso erst nach Begutachtung auf Schäden angenommenen werden.
inovatech 26.10.2017
5. Eher was für
Leute die sich Alexa und Co. als Wanzen in´s Wohn- und Schlafzimmer stellen. Traurig - aber auch lustig was die Menschen so alles mitmachen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.