Während KNX IP Secure und KNX Data Secure KNX-Installationen vor unbefugtem lokalen oder vor Fernzugriff schützen, erinnert uns Christian Kiefel daran, dass wir auch die Sicherheit von Cloud-basierten Sprachassistenten, die mit Systemen im Haus verbunden sind, berücksichtigen müssen.
Der Markt für sprachgesteuerte Assistenten expandiert weltweit schnell und wird in den nächsten drei Jahren voraussichtlich um 7 % pro Jahr wachsen. Dies ist teilweise auf den einfachen Zugang des Endbenutzers in Form von preiswerten Heimlautsprechern oder durch eine vorintegrierte Smartphone-Funktion zurückzuführen.
Die Einführung persönlicher Sprachassistenten wie Alexa und Google Assistant ist ein Schlüsselfaktor für das Wachstum des intelligenten Zuhauses. Alle diese Lösungen basieren jedoch auf einem Cloud-basierten Ansatz, bei dem die Daten auf einer externen Computerinfrastruktur gesammelt und verarbeitet werden. Diese Abhängigkeit von der Cloud bringt ernste Probleme für die Privatsphäre der Nutzer mit sich und öffnet auch böswilligen Akteuren Tür und Tor, die diese Systeme auf verschiedene Weise angreifen können, von der unerlaubten Datensammlung bis hin zu Angriffen auf die Geräte selbst, um schädliche Befehle auszuführen.
Zugriff durch Skills
Die Sicherheit gegen Angriffe aus dem Internet hängt u. a. von der Systemstruktur ab. Heute sorgen KNX IP Secure und KNX Data Secure dafür, dass ein unbefugter Zugriff auf die KNX-Installation unmöglich ist, selbst wenn das Netzwerk oder die Busleitung zugänglich ist.
Bei der Verwendung eines Sprachassistenten wie Amazons Alexa müssen jedoch für verschiedene Aufgaben so genannte ‚Skills‘ aktiviert werden. Mehr als 100.000 dieser Skills, die von Unternehmen in der ganzen Welt entwickelt wurden, sind bereits verfügbar. Je nach Anwendung eröffnet jeder Skill den Zugang zum hauseigenen Intranet, zu verschiedenen im Haus installierten Geräten und zur KNX-Installation, wenn dies für notwendig erachtet wird. Dieser Zugang ist erforderlich, damit die Sprachbefehle die Geräte bedienen und abfragen können. Der Zugang muss ständig offen gehalten werden, damit jederzeit ein Sprachbefehl ausgeführt werden kann.
Wer ist verantwortlich?
Zugang und Zugangsdaten liegen in der Verantwortung des Skill-Anbieters und nicht bei Amazon.
„Wenn Menschen Alexa nutzen, um Spiele zu spielen oder Informationen zu suchen, denken sie oft, dass sie nur mit Amazon interagieren“, sagt Anupam Das, Assistenzprofessor für Computerwissenschaften an der North Carolina State University. „Aber viele der Anwendungen, mit denen sie interagieren, wurden von Dritten erstellt, und wir haben mehrere Schwachstellen im derzeitigen Überprüfungsprozess festgestellt, die es diesen Dritten ermöglichen könnten, Zugang zu den persönlichen oder privaten Daten der Nutzer zu erhalten.“ [1]
Der Hersteller des im Haus installierten Alexa-Gateways hat auch Zugriff auf das hauseigene Intranet und bei Bedarf über den Skill auf die KNX-Installation. Zusätzlich zu den Aufzeichnungen, die von den bereits in diesem Artikel erwähnten Online-Sprachassistenten gemacht werden, stellt dieser Kanal ein erhöhtes Risiko für Angriffe aus dem Internet dar.
Bildlich gesprochen ist die Haustür für die Installation auf höchstem Niveau durch KNX gesichert, aber mit jedem aktivierten Skill gibt der Besitzer den Schlüssel zu dieser Tür an Fremde weiter.
Außerdem werden Hauseigentümer vom Gerätehersteller des Drittanbieter-Gateways abhängig. Sie müssen darauf vertrauen, dass der in der Regel kostenlos angebotene Dienst langfristig aufrechterhalten wird. Es ist zu beachten, dass dieser Service für den Hersteller mit laufenden Kosten verbunden ist, weshalb eine zeitlich unbegrenzte Funktionsgarantie zu hinterfragen ist.
Aus diesem Grund wird dringend empfohlen, die Vertrauenswürdigkeit des Entwicklers oder des Geräteherstellers zu prüfen, bevor ein Skill aktiviert wird. Darüber hinaus sollten die Bedingungen der DSGVO-Zustimmung sorgfältig gelesen werden.
Weitere Empfehlungen zur Verbesserung des Schutzes
Alternativ kann auch ein Offline-Sprachassistent in Betracht gezogen werden, der speziell für die Bedienung einer KNX-Installation eingesetzt wird, wie z. B. der Aragon Smart Speaker von ProKNX. Es sind keine Skills erforderlich, es muss kein Internetportal freigeschaltet werden, und es müssen keine Zugangsdaten weitergegeben werden. Der Zugriff auf die KNX-Installation erfolgt über das lokale Intranet durch sichere https-Befehle, so dass es keine Möglichkeit des unerwünschten Eindringens gibt.
Fazit
Zusammen mit der Installation von KNX IP Secure und KNX Data Secure zum Schutz der Daten vor böswilligen Angriffen oder Ausspähungen ist ein intelligenter Lautsprecher, der komplett offline arbeitet, eine echte Alternative zu generischen Cloud-zentrierten Assistenten bei der Installation eines intelligenten Systems. Zukünftig werden diese Optionen unentbehrlich werden, da der Schutz der Sicherheit der Benutzer
zu einer stark nachgefragten Eigenschaft eines intelligenten Systems wird.
Referenzen
[1] Feb. 21-24, Network and Distributed Systems Security Symposium 2021, North Carolina State University (https://news.ncsu.edu/2021/03/alexa-skill-vulnerabilities/), (https://anupamdas.org/paper/NDSS2021.pdf)
Christian Kiefel ist Geschäftsführer von ProKNX, einem innovativen französischen Unternehmen im Bereich der KNX-Hausautomatisierung, das intelligente Offline-Lautsprecher herstellt.
