Alarmsysteme, die über das Internet angesteuert werden können und drahtlos mit Tür- und Fensterkontakten, Bewegungsmeldern und schaltbaren Alarmsirenen über ZigBee, Z-Wave oder ein proprietäres Übertagungsprotokoll kommunizieren, sind sehr beliebt. Denn sie sind im Vergleich zu ausgewachsenen Alarmsystemen deutlich preiswerter und lassen sich schnell und einfach montieren. Allzu sorglos sollte man dabei aber nicht sein, denn mitunter sind die Systeme nicht besonders gut vor unbefugtem Zugriff abgesichert. Wir zeigen, worauf man bei der Ersteinrichtung achten sollte, um Angreifern den Zugang zu den Anlagen zu erschweren.
1. Zentrale und Netzwerkkameras per Ethernet-Kabel anschließen
Die meisten Steuerungszentralen vernetzter Alarmsysteme werden per Ethernet-Kabel mit dem Router verbunden, um das System über das Internet auch aus der Ferne überwachen und steuern zu können. Das ist auch die sicherste Lösung. WLAN-Verbindungen lassen zwar eine individuellere Platzierung der Zentrale zu und man spart sich das Verlegen der Kabel, können aber auch einfacher angegriffen werden. Man sollte deshalb die Zentrale immer über ein Patch-Kabel mit dem Router verbinden und auf aktives WLAN am Router komplett verzichten. Auch den Anschluss über WLAN-Repeater sollte man vermeiden. Das gleiche gilt für WLAN-Überwachungskameras. Sie schließt man ebenfalls besser per Ethernet-Kabel an, auch wenn der Verkabelungsaufwand hoch sein kann.
2. Sichere Benutzernamen und Zugangspasswörter verwenden
Viele Sicherheitssysteme verwenden Apps und Cloud-Anbindungen zur Ansteuerung. Über die App lässt sich das System dann häufig komplett administrieren. Der Zugang erfolgt über einen personalisierten Account, der mit einem Passwort geschützt ist. Errät ein Angreifer das Passwort, kann er das Alarmsystem ausschalten. Entsprechend sollte ein sicheres Passwort gewählt werden. Neben einer Länge von mindestens acht, besser aber deutlich mehr Zeichen und Ziffern, muss ein sicheres Passwort Groß- und Kleinschreibung berücksichtigen sowie Sonderzeichen enthalten. Außerdem sollte es in keinem persönlichen Zusammenhang zum Benutzer stehen. Den Namen der Liebsten mit deren Geburtsdatum zu kombinieren, ist also keine gute Idee. Beim Anlegen des Accounts sollte man auch auf den Benutzernamen achten. Meist kann er frei gewählt werden. Eine kryptische Benutzerkennung oder die Wahl einer nicht öffentlich genutzten E-Mail-Adresse erschwert Angreifern zusätzlich den unbefugten Zugriff.
3. Admin-Panel absichern
Die wenigsten wissen es: Einige Zentralen von Alarmsystemen sind nicht nur über Apps administrierbar, sondern können auch über ein Web-Interface durch Eingabe der IP-Adresse erreicht werden. Mitunter sind diese Admin-Panel nur durch Standard-Logins wie beispielsweise Benutzerkennung „Admin“ und Passwort „1234“ geschützt. Diesen Zugang sollte man in jedem Fall sofort ändern, da Angreifer dieses Sicherheitsloch ausnutzen könnten. Leider sind solche Administrierungsoptionen nicht immer im Handbuch dokumentiert. Deshalb sollte man die IP-Adresse, über den die Zentrale angesprochen wird, über den Router herausfinden und in einen Browser eingeben. Ist ein Admin-Panel vorhanden, sollte man die Login-Daten ändern. Ist die Standard-Kennung nicht bekannt, sucht man im Internet über die Bezeichnung des Alarmsystems danach oder fragt den Hersteller.
4. Ungewöhnliche Port-Weiterleitung setzen
Damit ein Benutzer über das Internet auf ein Sicherheitssystem zugreifen kann, kommunizieren die Anlagen auf bestimmten Ports, die im Router bereits freigegeben sind. In der Regel werden dazu die Ports 80, 8080 oder 443 verwendet. Über einen Port-Scanner, der diese Standard-Ports im Netz durchforstet, kann ein Angreifer die Zentrale eines Alarmsystems entdecken. Von dort aus ist es dann nur noch ein kleiner Schritt, um sich des Systems zu bemächtigen. Um es Angreifern etwas schwerer zu machen, sollte man daher eine Port-Weiterleitung nach außen im Router einrichten. Mögliche Ports reichen von 0 bis 65535. In Frage kommen hauptsächlich ungewöhnliche freie Ports im oberen Bereich, die von Angreifern in der Regel nicht gescannt werden. Damit die Steuerungs-Apps weiterhin mit der Zentrale kommunizieren können, muss der Port im System eingetragen werden.
5. Firmware regelmäßig aktualisieren
Keine Firmware ist fehlerfrei. Zumindest bemühen sich einige Hersteller, bekannte Sicherheitslücken über Updates zu stopfen. Daher ist es meist besser, möglichst schnell neue Updates einzuspielen. Sofern eine Auto-Update-Funktion vorhanden ist, aktiviert man sie und muss sich um nichts weiter kümmern. Einige Anbieter von Sicherheitslösungen liefern Updates sogar automatisch per Fernwartung aus. Bei manchen Sicherheitssystemen muss man selbst aktiv werden und nach Updates auf den Herstellerseiten suchen, um sie händisch aufspielen.
6. Keine sichtbaren Aufkleber anbringen
Gelegenheitsdiebe sollen durch Aufkleber mit dem Namen des Alarmsystems abgeschreckt werden, die man auf Fensterscheiben oder Türen klebt. Viele Hersteller legen solche Aufkleber mit in das Paket. Das sichtbare Aufkleben kann aber auch nach hinten losgehen, nämlich dann, wenn ein Dieb dadurch weiß, welche Anlage verbaut ist und dann systemtypische Schwachstellen ausnutzt, um die Anlage außer Gefecht zu setzen. Auf das Anbringen solcher Aufkleber verzichtet man besser.
