Thought Leadership
Es klang alles so schön. Amazon, weltgrößter Online-Versender, schien die Lösung gefunden zu haben für Kunden, die oft nicht zu Hause sind und somit ihre Lieferung nicht persönlich entgegennehmen können: Amazon Key.
Dank eines Zahlencodes am smarten Türschloss, einer Kamera zur Überwachung und via App sollte der Paketzusteller einmaligen Zugang zum Haus oder der Wohnung haben und so das Päckchen abstellen können, auch wenn der Besteller nicht daheim ist. Nun stellte sich heraus: Das System kann überlistet werden. Internet of Things (IoT)-Experte Mirko Ross: „Ein erneutes Beispiel, wie komplexe Techniken nicht zu einem Nutzen, sondern zu einem Sicherheitsrisiko für Verbraucher werden!“
Mit dem Namen Amazon Key bietet Versand-Multi Amazon ein digitales Türschloss an, welches das klassische Schloss ersetzen soll. Der scheinbare Vorteil: Wenn ein Paketbote, Paketzusteller oder jeder andere Dienstleister vor der Tür steht, kann die Tür automatisch geöffnet werden – auch wenn der Besitzer des Hauses oder der Wohnung gar nicht daheim ist. Der Bote hinterlässt das Paket sicher in der Wohnung und schließt die Tür beim Verlassen hinter sich wieder. Um dem Sicherheitsbedürfnis vieler Menschen zu entsprechen, gibt es eine WLAN-Überwachungskamera gleich zum System dazu.
Damit soll sichergestellt werden, dass der Bote das Paket auch wirklich abstellt und nicht unterschlägt. Start des Dienstes, der zunächst nur in Nordamerika angeboten wird, war nun in 37 Städten in den USA.
Mit einfachem Tool Überwachungskamera eingefroren
Die Freude über das scheinbar revolutionäre und kundenfreundliche System hielt allerdings nicht lange an. Das Sicherheitsunternehmen Rhino Security hat die Technik genauer unter die Lupe genommen und warnt inzwischen vor Amazon Key. Den Experten gelang es mit einem einfachen Tool, die Sicherheitskamera außer Gefecht zu setzen. Das Problem: mit einem simplen Programm, das auf jedem Computer betrieben werden kann, ist man in der Lage, diese Kamera nicht nur zu deaktivieren, sondern auch einzufrieren. Ein Zuschauer, der seinen Live- oder aufgezeichneten Stream beobachtet, sieht im Ernstfall nur eine geschlossene Tür, selbst wenn seine eigentliche Tür geöffnet wird. Logische Konsequenz: der Bote kann das Bild mit dem abgelegten Paket einfrieren und dann die Lieferung unbemerkt mitnehmen. Zudem wird die Überwachung der geschlossenen Wohnungstür per Kamera wertlos. Während das eingefrorene Bild eine geschlossene Wohnungstür zeigt, können Einbrecher diese öffnen und sich unbemerkt Zutritt verschaffen.
Doch der Kamera-Hack ist nicht die einzige Möglichkeit, in eine mit Amazon Key ausgestattete Wohnung einzudringen. Auch der für das Schloss verwendete, drahtlose Zigbee-Standard ist unsicher. Ein Krimineller könnte den Code knacken. Oder, noch einfacher, jederzeit dem Amazon-Kurier folgen und sich mit etwas Geschick Zutritt in die Wohnung verschaffen. Beispielsweise dann, wenn der Paketzusteller in Eile ist und die Haustüre nicht komplett hinter sich verschließt.
Mirko Ross: Hier wird das IoT-Produkt zum Sicherheitsrisiko
„Smarte Türschlösser sind per se Unsinn! Jedes IoT Produkt ist angreifbar. Ein Türschloss ist sicherheitskritisch und mechanisch schon ein Meisterwerk der Sicherheit. Hier wird diese Sicherheit unnötig und fahrlässig ausgehebelt“, urteilt IoT-Experte Mirko Ross. Der 44-jährige, der jüngst durch die EU zum beratenden Experten für Sicherheit der European Union Agency for Network and Information Security (ENISA) berufen wurde, appelliert vor allem an die Vernunft der Verbraucher. „Jedes IoT-Produkt ist zunächst als unsicher zu betrachten. Bei sicherheitsrelevanten Neuheiten sollten immer zunächst unkritische Anwendungen gewählt werden”, empfielt der Experte.
Sicherheit oder Komfort? Der Verbraucher hat die Wahl
Wer sich aktuell für ein smartes Türschloss entscheidet, habe letztlich die Wahl zwischen Sicherheit oder Komfort. Das Beispiel Amazon Key zeige, dass eine scheinbar gute Idee noch kein Garant für ein sinnvolles Produkt sei. Völlig ungeklärt sei in diesem Zusammenhang auch, welche versicherungsrechtlichen Konsequenzen sich aus einem Einbruch über das smarte Türschloss ergeben. Ross: „greift eine Hausratversicherung, wenn der Bestohlene dem Dieb selbst per App und Zahlencode die Möglichkeit zum Einbruch gegeben hat?“
Wie die Testphase von Amazon Key in den USA ausgeht, ist momentan noch offen. Beruhigend findet Mirko Ross, dass die deutschen Verbraucher offensichtlich keine große Lust auf Experimente mit ihrer eigenen Sicherheit haben. Der Experte aus Stuttgart: „Eine aktuelle Umfrage hat ergeben, dass hierzulande nur wenige Menschen bereit wären, das herkömmliche Türschloss gegen eine smarte Lösung auszuwechseln. Das spricht für die Vernunft der deutschen Verbraucher, nicht jedem neuen Trend blind zu folgen“.
Mirko Ross, Geschäftsführer, digital worx GmbH
www.digital-worx.de
