Sicherheitslücke Smart Home: Ihre Toilette wurde geknackt

Von Peter Gotzner

Werbung des Toilettenherstellers Lixil: Klospülung per Bluetooth Zur Großansicht
YouTube /LIXILcorporation

Werbung des Toilettenherstellers Lixil: Klospülung per Bluetooth

Nicht mal auf dem stillen Örtchen kann man vor Hackern sicher sein: Sie lassen urplötzlich die Spülung rauschen, klappen den Deckel zu. Forscher haben nachgewiesen, dass Luxustoiletten ganz einfach per Bluetooth fernzusteuern sind.

Sie sitzen auf dem stillen Örtchen, ahnen nichts Böses. Plötzlich geht die Spülung ihrer vollautomatischen Luxustoilette. Ein Wasserstrahl verscheucht sie von ihrem Sitz und der Deckel schließt sich. Während sie aufgeschreckt neben dem Hightech-Gerät stehen, ertönt aus den Boxen "Let It Be" von den Beatles - ohne ihr Zutun, denn ihr Klo wurde gehackt.

Ein realistisches Szenario, denn die Luxustoiletten der japanischen Firma Lixil haben eine Sicherheitslücke in ihrer Steuerungssoftware. Die einige tausend Euro teuren Geräte lassen sich mit einer vom Hersteller entwickelten App über Bluetooth steuern. Doch leider lässt das moderne Klosett nur eine Verbindung mit der nicht änderbaren Standard-PIN "0000" zu. Jeder in Funkreichweite kann mit einem Smartphone daher das Hightech-Klo steuern und übernehmen. Normalerweise soll eine einstellbare PIN den Zugriff Unbefugter auf Geräte verhindern.

Das Sicherheitsunternehmen Trustwave nahm die App des Herstellers auseinander und entdeckte die Lücke in der Software. Wie genau sich ein solcher Programmierfehler in die Steuerungssoftware einschleichen konnte, ist unklar. Auf einen Hinweise der Forscher von Trustwave hat der Hersteller bisher nicht reagiert.

Dieser Fall ist ein vergleichweise harmloses Beispiel für die Probleme vernetzter Haushalte. "Im Bereich Smart Homes gibt es einen hohen Grad an Naivität, was die Praxis angeht", findet Marit Hansen, stellvertretende Datenschutzbeauftragte des Landes Schleswig-Holstein "Die Hersteller probieren oft aus, ohne mögliche Folgen zu bedenken."

Zwar ist das Problem mit der Bluetooth-Toiletten auf einen kleinen Raum begrenzt, denn nur Personen im Bluetooth-Empfangsradius der Toilette können mit der App die Smart Toilette steuern. Es ließe sich so zum Beispiel nur vor Ort der Wasserverbrauch in die Höhe treiben. Und eine Statistik kann man auch abrufen - wann wurde wie viel Wasser verbraucht?

Toilettendaten als Indiz für Erkrankung

Anhand dieses Nutzungsprotokolls könnten Unbefugte zum Beispiel auf Krankheiten der Toilettenbesitzer schließen. Beispielsweise ließen sich anbahnende Prostataprobleme oder Diabetes aus den von der Toilette gesammelten Daten ableiten. Ein Symptom solcher Erkrankungen kann erhöhter Harndrang sein. Das klingt weit hergeholt, die Toilette mit Datenleck erscheint auf den ersten Blick als amüsante Kuriosität aus Japan. Doch der Fall illustriert eins: Bei Firmen, die bislang Haushaltzubehör gefertigt haben, ist das Sicherheitsbewusstsein nicht unbedingt so ausgeprägt wie bei Software-Unternehmen.

Wenn in mehr und mehr Haushaltsgeräten Firmware läuft und die Geräte übers Netz zugänglich sind, wird es mehr Angriffe geben. Hightech-Heizungen von Vaillant ließen sich übers Netz ausschalten. Vernetzte, schlecht gesicherte Haushalte in den USA lassen sich weitgehend über das Internet steuern. Licht an, Fernseher aus und das Lokalisieren von Haushalten samt einiger Einwohnernamen - dass das mit wenig Aufwand möglich ist, demonstrierten auf der Black-Hat-Sicherheitskonferenz in Las Vegas die Sicherheitsforscher Daniel Crowley und David Bryan.

"Das Problem ist oft ein generelles Technikverständnis der Firmen: Es geht bei Produkten nicht um Sicherheit und Datenschutz, sondern darum, wer schnell mit ihnen auf den Markt kommt", versucht die Informatikerin Marit Hansen die Nachlässigkeit einiger Entwickler und Hersteller zu erklären.

Fernsehprogramm aus Stromverbrauch ablesbar

Bereits 2011 zeigten Forscher der FH Münster, dass auch Smart Meter, intelligente Stromzähler, missbraucht werden könnten. Die Geräte sollen die Verbrauchswächter moderner Haushalte werden und zukünftig helfen den Stromverbrauch zu senken. Aber eine Untersuchung im Rahmen des Projekts Data Privacy Managment (DaPriM) zeigte, dass sich über den Stromverbrauch das gesehene Fernsehprogramm ableiten lässt. Die Smart Meter, die sekundengenau den Verbrauch erfassen und melden können, würden so zum Beobachter. Ein typisches Verbrauchmuster des Fernsehers, dass durch helle und dunkle Abschnitte im Programm entsteht, konnte bei einer Analyse auf die Bilder zurückgeführt und so mit dem gesehenen Sender und sogar einzelnen Filmen verknüpft werden.

Dem Autor auf Twitter folgen:

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks teilen

  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum - Diskutieren Sie über diesen Artikel
insgesamt 22 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Toilette gehackt?
mikaiser 06.08.2013
Das klingt heute noch völlig absurd. Aber vor 25 Jahren klang es auch absurd, dass jemand meine Schreibmaschine fernsteuern würde. Heute muss ich meine "Schreibmaschine" genau dagegen schützen. Ich denke, dass das im Artikel angesprochene Thema "Home Automation" tatsächlich noch brisant werden wird.
2. Naja
xtechnokratx 06.08.2013
ist ja auch kein Wunder, erstmal soll alles vernetzt sein möglichst noch per Funk aber für die meisten Unternehmen ist die Sicherheit ihrer Produkte eher zweitrangig, zudem verfügen Branchenfremde Unternehmen auch meist gar nicht über die Qualifikation. Wenn ja schon IT-Unternehmen keine 100% Sicherheit bieten können, wie soll dann ein Toilettenhersteller dies schaffen...
3. Bakterienschleuder Smartphone
mit66jahren 06.08.2013
Zuerst bedient man sein Smartphone auf der Toilette und steuert damit die Klospülung. Anschließend setzt sich der feine Herr/die feine Dame mit seinem Phone an den Esstisch ohne es vorher dekontaminiert zu haben und fingert auf dem Display herum, um die neuesten E-Mails anzuschauen. Ich wünsche einen guten Appetit.
4. Schmarrn
michael.t.graf 06.08.2013
Ich denke eher dass jemand der sich so eine Schuessel montieren laesst auch das passende Haus mit Garten aussen rum hat. Da ist ganz schnell Ende mit der Bluetooth Reichweite... Aber Hauptsache es gibt wieder einen Aufreger. Kritischer sind allerdings ans Internet angeschlossene Geraete wie Heizungen etc! Die moechte ich zur Zeit eher nicht haben. Und Firmwareupdates darf man dann wahrscheinlich bezahlen. ;)
5. Probleme?
Peletua 06.08.2013
Zitat von sysopNicht mal auf dem stillen Örtchen kann man vor Hackern sicher sein: Sie lassen urplötzlich die Spülung rauschen, klappen den Deckel zu. Forscher haben nachgewiesen, dass Luxus-Toiletten ganz einfach per Bluetooth fernzusteuern sind. Smart-Home: Sicherheitslücke bei fernsteuerbaren Toiletten aufgedeckt - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/gadgets/smart-home-sicherheitsluecke-bei-fernsteuerbaren-toiletten-aufgedeckt-a-914988.html)
Wer es für nötig befindet, die Klospülung per Smartphone zu steuern, hat es m.E. verdient, gehackt zu werden. Sehr seltsam, dass solcherlei 'Probleme' hier offenbar ernst genommen werden.
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Gadgets
RSS
alles zum Thema Hacker
RSS

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH

SPIEGEL ONLINE Schließen


  • Drucken Versenden
  • Nutzungsrechte Feedback
  • Kommentieren | 22 Kommentare
  • Zur Startseite

E-Book-Tipp
  • Christian Stöcker:
    Spielmacher
    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    Kindle Edition: 1,99 Euro.

  • Einfach und bequem: Direkt bei Amazon bestellen.