Vernetzte Alarmsysteme vor unbefugtem Zugriff absichern

Alarmanlagen absichern

Alarmsysteme, die über das Internet angesteuert werden können und drahtlos mit Tür- und Fensterkontakten, Bewegungsmeldern und schaltbaren Alarmsirenen über ZigBee, Z-Wave oder ein proprietäres Übertagungsprotokoll kommunizieren, sind sehr beliebt. Denn sie sind im Vergleich zu ausgewachsenen Alarmsystemen deutlich preiswerter und lassen sich schnell und einfach montieren. Allzu sorglos sollte man dabei aber nicht sein, denn mitunter sind die Systeme nicht besonders gut vor unbefugtem Zugriff abgesichert. Wir zeigen, worauf man bei der Ersteinrichtung achten sollte, um Angreifern den Zugang zu den Anlagen zu erschweren.

1. Zentrale und Netzwerkkameras per Ethernet-Kabel anschließen

Die meisten Steuerungszentralen vernetzter Alarmsysteme werden per Ethernet-Kabel mit dem Router verbunden, um das System über das Internet auch aus der Ferne überwachen und steuern zu können. Das ist auch die sicherste Lösung. WLAN-Verbindungen lassen zwar eine individuellere Platzierung der Zentrale zu und man spart sich das Verlegen der Kabel, können aber auch einfacher angegriffen werden. Man sollte deshalb die Zentrale immer über ein Patch-Kabel mit dem Router verbinden und auf aktives WLAN am Router komplett verzichten. Auch den Anschluss über WLAN-Repeater sollte man vermeiden. Das gleiche gilt für WLAN-Überwachungskameras. Sie schließt man ebenfalls besser per Ethernet-Kabel an, auch wenn der Verkabelungsaufwand hoch sein kann.

2. Sichere Benutzernamen und Zugangspasswörter verwenden

Viele Sicherheitssysteme verwenden Apps und Cloud-Anbindungen zur Ansteuerung. Über die App lässt sich das System dann häufig komplett administrieren. Der Zugang erfolgt über einen personalisierten Account, der mit einem Passwort geschützt ist. Errät ein Angreifer das Passwort, kann er das Alarmsystem ausschalten. Entsprechend sollte ein sicheres Passwort gewählt werden. Neben einer Länge von mindestens acht, besser aber deutlich mehr Zeichen und Ziffern, muss ein sicheres Passwort Groß- und Kleinschreibung berücksichtigen sowie Sonderzeichen enthalten. Außerdem sollte es in keinem persönlichen Zusammenhang zum Benutzer stehen. Den Namen der Liebsten mit deren Geburtsdatum zu kombinieren, ist also keine gute Idee. Beim Anlegen des Accounts sollte man auch auf den Benutzernamen achten. Meist kann er frei gewählt werden. Eine kryptische Benutzerkennung oder die Wahl einer nicht öffentlich genutzten E-Mail-Adresse erschwert Angreifern zusätzlich den unbefugten Zugriff.

3. Admin-Panel absichern

Die wenigsten wissen es: Einige Zentralen von Alarmsystemen sind nicht nur über Apps administrierbar, sondern können auch über ein Web-Interface durch Eingabe der IP-Adresse erreicht werden. Mitunter sind diese Admin-Panel nur durch Standard-Logins wie beispielsweise Benutzerkennung „Admin“ und Passwort „1234“ geschützt. Diesen Zugang sollte man in jedem Fall sofort ändern, da Angreifer dieses Sicherheitsloch ausnutzen könnten. Leider sind solche Administrierungsoptionen nicht immer im Handbuch dokumentiert. Deshalb sollte man die IP-Adresse, über den die Zentrale angesprochen wird, über den Router herausfinden und in einen Browser eingeben. Ist ein Admin-Panel vorhanden, sollte man die Login-Daten ändern. Ist die Standard-Kennung nicht bekannt, sucht man im Internet über die Bezeichnung des Alarmsystems danach oder fragt den Hersteller.

4. Ungewöhnliche Port-Weiterleitung setzen

Damit ein Benutzer über das Internet auf ein Sicherheitssystem zugreifen kann, kommunizieren die Anlagen auf bestimmten Ports, die im Router bereits freigegeben sind. In der Regel werden dazu die Ports 80, 8080 oder 443 verwendet. Über einen Port-Scanner, der diese Standard-Ports im Netz durchforstet, kann ein Angreifer die Zentrale eines Alarmsystems entdecken. Von dort aus ist es dann nur noch ein kleiner Schritt, um sich des Systems zu bemächtigen. Um es Angreifern etwas schwerer zu machen, sollte man daher eine Port-Weiterleitung nach außen im Router einrichten. Mögliche Ports reichen von 0 bis 65535. In Frage kommen hauptsächlich ungewöhnliche freie Ports im oberen Bereich, die von Angreifern in der Regel nicht gescannt werden. Damit die Steuerungs-Apps weiterhin mit der Zentrale kommunizieren können, muss der Port im System eingetragen werden.

5. Firmware regelmäßig aktualisieren

Keine Firmware ist fehlerfrei. Zumindest bemühen sich einige Hersteller, bekannte Sicherheitslücken über Updates zu stopfen. Daher ist es meist besser, möglichst schnell neue Updates einzuspielen. Sofern eine Auto-Update-Funktion vorhanden ist, aktiviert man sie und muss sich um nichts weiter kümmern. Einige Anbieter von Sicherheitslösungen liefern Updates sogar automatisch per Fernwartung aus. Bei manchen Sicherheitssystemen muss man selbst aktiv werden und nach Updates auf den Herstellerseiten suchen, um sie händisch aufspielen.

6. Keine sichtbaren Aufkleber anbringen

Gelegenheitsdiebe sollen durch Aufkleber mit dem Namen des Alarmsystems abgeschreckt werden, die man auf Fensterscheiben oder Türen klebt. Viele Hersteller legen solche Aufkleber mit in das Paket. Das sichtbare Aufkleben kann aber auch nach hinten losgehen, nämlich dann, wenn ein Dieb dadurch weiß, welche Anlage verbaut ist und dann systemtypische Schwachstellen ausnutzt, um die Anlage außer Gefecht zu setzen. Auf das Anbringen solcher Aufkleber verzichtet man besser.

➦ Alarmsysteme bei notebooksbilliger.de

Das könnte dich auch interessieren:

avatar

Über Oliver Bünte

Als Journalist, Historiker und bekennender Technikfreund beschäftige ich mich seit über 30 Jahren mit Computern und habe die Entwicklung mobiler Technik von Handys und PDAs bis hin zu Smartphones und Tablets von Anfang an kritisch begleitet. Ich vermittele tagtäglich als Journalist und aktiver Blogger auf notebooksbilliger.de, notebookjournal.de, applebrain.de und vivacities.de alles, was den Anwender wirklich interessiert. Du findest mich auf Facebook, Twitter, Google+, LinkedIn und XING.
Dieser Beitrag wurde unter Allgemein, Smart Home abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten auf Vernetzte Alarmsysteme vor unbefugtem Zugriff absichern

  1. avatar Christian sagt:

    Wo ist der Vorteil von Tipp 1? Wer erstmal im WLAN drin ist, dem ist egal ob die zentrale über WLAN oder über Kabel angebunden ist. Und heute verwendet doch fast jeder WLAN. Wenn ich dort erstmal drin bin, bin ich auch ruck-zuck auf der Zentrale der Anlage. Der Tipp müsste viel mehr sein „Setzt generell kein WLAN ein. Wer das unbedingt doch will: verschlüsselt Euer WLAN ordentlich“, mit Tipps für den Verschlüsselungsstandard und Kennwortkriterien (Länge, Zeichenwahl usw.).

    Das Thema „Kameras über LAN anbinden“ ist übrigens gerade im Aussenbereich, zB in Carports zur Stellplatzüberwachung oder so, ein absolut contraproduktiver Tipp: nichts ist einfacher, als ein Kabel abzuschneiden und eine Dose aufzucrimpen, und schwupp bin ich drin. Wenn noch irgendwo Strom in der Nähe ist, klemmt man sich kurz n Accesspoint dran und setzt sich dann in aller Ruhe irgendwo ins Auto und schaut sich in aller Ruhe im Netz um, was da so an Kameras, Alarmzentralen, NAS-Speichern, Fritzboxen und wer weiß nicht was noch alles rumgeistert. Die Wenigsten setzen im Home-Bereich separierte Netze mit Firewalls, VLANs oder ähnliche Sicherungsmechanismen ein, um solche Dinge abzufangen.

  2. avatar Oliver Bünte sagt:

    Hallo Christian,

    ich habe im Text nochmal deutlicher gemacht, dass WLAN am Router dann komplett deaktiviert sein sollte. Die WLAN-Verschlüsselung spielt bei Deauthentication-Angriffen keine Rolle. Dein Hinweis, eine hohe Verschlüsselung beim WLAN einzusetzen, bringt daher nichts.

    Um eine per Ethernet angebundene Kamera zu deaktivieren, muss man physisch an die Kamera oder das Kabel herankommen und damit das Grundstück betreten. Die Kamera sollte den potenziellen Angreifer dabei erfassen. Ansonsten wäre die Überwachungskamera überflüssig. Ich gehe davon aus, dass keine Kabel lose und sichtbar verlegt werden. Bei einer per WLAN angebundenen Kamera kann ich ggf. einen Angriff außerhalb des Sichtfeldes der Überwachung starten und sie damit vor dem Betreten des Grundstückes ausschalten, sodass davon dann keinerlei Bildaufnahmen vorhanden sind. Insofern ist die Anbindung per Ethernet-Kabel dann doch etwas sicherer.

    Viele Grüße
    Oliver

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.