Alarmanlagen sollen den eigenen Besitz schützen. Sie geben ein Gefühl von Sicherheit und Kontrolle. Das Internet der Dinge hat dies noch verstärkt, schließlich ist es jetzt möglich, das eigene Alarmsystem über das Smartphone zu steuern. Was eigentlich noch mehr Komfort geben sollte, ist in vielen Fällen jedoch eine Bedrohung für die eigene Sicherheit, wie das Magazin „c’t“ in seinem Bericht „Ein, zwei, drei, vier, drin“ aufzuzeigen vermag. Insbesondere Sicherheitsanlagen von Climax und ABUS sind demnach extrem angreifbar. Über den Webzugang können sich Kriminelle sehr leicht Zugang verschaffen.
Zu einfache Standard-Benutzerdaten
Das Hauptproblem sind zu einfache Standard-Benutzerdaten der beiden Hersteller. Bei Climax, zu dem auch die in Deutschland sehr bekannte Marke Blaupunkt gehört, ist beispielsweise als Username standardisiert „admin“ voreingestellt. Als Passwort fungiert zu Beginn „admin1234“. Bei ABUS ist es nicht besser. Die Modellreihe „Secvest“ kommt beispielsweise mit dem Usernamen „1234“. Das zugehörige Passwort beträgt ebenfalls die einfache Zahlenfolge. Kriminelle, die sich Zugang verschaffen wollen, müssen nur noch an der individuellen IP des jeweiligen Sicherheitssystems vorbei, wenn die Benutzerdaten nicht geändert wurden. Im Netz existieren Scannerdienste, die auch dieses Problem lösen.
Wie ernst das Problem sei, habe eine kurze Netzrecherche mit entsprechenden Diensten gezeigt, schildert der „c’t“-Bericht weiter. Demnach stehen nach wie vor 15 Prozent aller Climax-Systeme mit den Standarddaten im Netz und können entsprechend einfach manipuliert werden. Hinzu kommen viele Sicherheitsklone von Climax, die auf identische Weise angreifbar sind. Die meisten stammen von Lupus Electronics. Der Geschäftsführer von Climax Deutschland kommentierte das Problem mit den Worten, dass es ihm als Sicherheitshersteller „kalt den Rücken“ runterlaufe.
Diese Anlagen sind betroffen
Neben der bereits erwähnten ABUS „Secvest“-Serie sind in Deutschland auch die Blaupunkt „Q3200“-Modelle sowie die Lupus Electronics „XT1“-Systeme betroffen. Aber auch Alarmanlagen von Adesys, Altibox, AssaAbloy, SecPro und Yale können betroffen sein. Gleiches gilt natürlich für solche Systeme, die direkt von Climax und nicht von Blaupunkt stammen. Der Hersteller war nicht dazu bereit, eine Liste von allen betroffenen Systemen des Hauses zu veröffentlichen, versicherte aber, dass man die zuständigen Personen selbst unterrichten werde.
Was ist mit einer betroffenen Anlage zu tun?
Alle betroffenen Hersteller wurden vor Erscheinen des Berichts über die Probleme informiert. Climax (und damit auch Blaupunkt) sowie Lupus Electronics haben System-Updates für ihre Anlagen herausgebracht, um die Sicherheitslücken zu schließen. ABUS möchte ebenfalls ein Firmware-Update bereitstellen, um die Sicherheitslücken zu schließen. Die Nutzer der fraglichen Anlagen sollten in jedem Fall die Standarddaten auf individuelle Benutzernamen und Passwörter ändern. Alle Hersteller stellen hierfür sehr detaillierte Anleitungen bereit.
