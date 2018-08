Die Swisscom erkennt im Internet der Dinge unbegrenztes Potenzial. Der Schweizer Telecom-Branchenführer widmet dem Thema sogar eine eigene Unternehmenseinheit, die «Enterprise IoT», das «Internet of Things» für Geschäftskunden und schwärmt in Verkaufsbroschüren von ihrem «Weltklasse-Ökosystem.»

Privatkunden verkauft die Swisscom ebenfalls Dinge, die man ans Internet anschliesst. Nicht nur Handys, auch Smart-Meter, um etwa den Elektrizitätsverbrauch des Privathaushalts zu überwachen. Bei der Entwicklung dieser Dinge herrscht beim Telecom-Branchenkrösus aber offenbar ein anderer Qualitätsanspruch. Zumindest was die Sicherheit der Smart-Meter der Firma MyStrom angeht, einer Tochter der Swisscom. Deren Geräte sind seit 2011 auf dem Markt und kommen in Zehntausenden Schweizer Haushalten zum Einsatz. Nun zeigt sich, dass MyStrom-Produkte von Dritten infiltriert und ferngesteuert werden können.

Via den MyStrom-Smart-Meter könnten Cyberkriminelle sogar auf TVs, Handys oder Notebooks zugreifen, die im selben WLAN-Netz angeschlossen sind. Sie könnten Privatnutzer je nach System unbemerkt beim E-Banking beobachten, oder sie könnten Nutzer bei Privat-Chats abhören und allenfalls peinliches Material sammeln, um sie danach zu erpressen.

MyStrom erfuhr vor vier Monaten von den Lücken. Reagiert hat das Unternehmen erst diese Woche. Thomas Kienle, CEO von MyStrom, sagt: «Tatsächlich wurden wir von einem externen Sicherheitsexperten darauf aufmerksam gemacht.» Einige Löcher hätte umgehend geschlossen werden können. Das gravierendste Loch habe die Firma aber erst vor kurzem nachvollziehen und schliessen können.

Das Kapern geschieht komplett unbemerkt vom Kunden

Entdeckt hat die Sicherheitslücke Jan Almeroth, IT-Projektmanager und Mitglied des Chaos Computer Clubs, per Zufall. Der 32-jährige Deutsche hatte sich in seiner Freizeit mit den MyStrom-Smart-Meters auseinandergesetzt. Sie werden zu Hause in die Steckdose eingeführt und wählen sich ins lokale WLAN ein. Nun können die Geräte via Handy-App gesteuert werden. Zum Beispiel zur Abschreckung von Einbrechern während der Ferien. Die Technologie sorgt dafür, dass das Licht unterwegs ein- und ausgeschaltet werden kann.

Die MyStrom-Entwickler hatten allerdings geschlampt. Almeroth entdeckte im Quellcode der Software Logins und Passwörter zweier Entwickler. Und dass die Geräte dauernd Signale an eine Website schickten, die heute zum Verkauf steht. Wohl weil die Entwickler vergessen hatte, die Datenübertragung zu stoppen.

Der IT-Experte grub weiter und entwickelte eine Methode, um neu registrierte MyStrom-Geräte zu kapern. Er sagt: «Ich wäre in der Lage, jedes Neugerät der Typen WiFi Switch Generation 2, WiFi Bulb und WiFi Buttons fremdzusteuern.» Getestet hat Almeroth seine Entwicklung nicht. Hätte er fremde Geräte tatsächlich manipuliert, würde er sich strafbar machen.

Almeroth ist überzeugt: Jemand mit krimineller Energie würde genau das tun. Für MyStrom-Kunden, die sich mit der Technologie vor Einbrechern schützen wollten, ist die Situation ironisch: Sie wollten Eindringlinge abschrecken, laden aber Cyber-Eindringlinge förmlich ein, sie auszurauben.

Auf die Frage, ob es in den WLAN-Netzwerken von MyStrom-­Kunden schon zu verdächtigem Verhalten gekommen sei, sagt der CEO Thomas Kienle allerdings kategorisch: «Nein.» Komplett sicher kann sich Kienle allerdings gar nicht sein. Das Kapern der Geräte geschieht komplett unbemerkt vom Kunden. Von den Versprechungen der Swisscom im Geschäftskundenbereich, ein Weltklasse-Ökosystem anzubieten, ist die Swisscom-Tochter MyStrom deshalb weit entfernt.

