Portweiterleitungen im Smart Home
Stell dir vor du hast ein Zuhause. Dein Zuhause findest du super toll und du fühlst ich wahnsinnig wohl. Doch du fühlst dich nicht nur wohl, sondern auch sehr sicher. Du fühlst dich sicher, weil kein Fremder einfach in dein Zuhause eintreten kann.
Denn du hast eine Haustür. Sie ist massiv und man kann sie nicht einfach öffnen ohne spezielles Werkzeug. Keine Chance.
Nun legst du einen Schlüssel für dein super sicheres Zuhause neben die Eingangstür. Damit du auch immer weißt wofür dieser Schlüssel ist, hängst du ein Zettelchen dran auf dem steht Schlüssel für die Haustür.
Clever gemacht, denn so vergisst du nie, wofür der Schlüssel war.
Doch nun kommt ein Unbekannter. Jemand, dem du niemals Zutritt gewähren würdest. Dieser Unbekannte sieht den Schlüssel und dank des Zettelchens weiß er sofort, was er mit dem Schlüssel anfangen kann.
Er nimmt den Schlüssel, steckt ihn ins Schloss und schließt die Tür auf, während keiner daheim ist. Auf deiner Sicherheitskamera kannst du nur hilflos zusehen, wie jemand in dein Zuhause geht und jede Menge teurer Gegenstände hinaus trägt.
Das Smart Home ist dein sicheres Zuhause
Dein Smart Home ist im Grunde nichts anderes, als der oben genannte Sachverhalt. Der einzige Unterschied besteht darin, dass es sich hierbei um Technik und oft keinen physischen Gegenstand handelt.
Doch die Sorgen sind auch hier groß. Und jede Menge Stellen im Internet schüren die Angst vor Hackerangriffen oder Zugriffen durch Unbefugte. Dabei sind viele Personen selbst Schuld, wenn es im Smart Home zu Datendiebstahl oder Ausspähung kommt.
Das Gute dabei ist allerdings, dass du mit oft einfachen Mitteln sehr viel bewirken kannst. Eines der Mittel, mitsamt einer Warnung, möchte ich in diesem Beitrag an dich weitergeben.
In den vergangenen Monaten habe ich viele Anleitungen zu unterschiedlichen Geräten gelesen. Viele Hersteller erklären darin, dass ein Zugriff von unterwegs problemlos eingerichtet werden kann. Das ist soweit auch richtig.
Allerdings ist das Problem, dass hierbei der Weg über Portweiterleitungen gegangen wird. Diesen Weg sollte man keinesfalls wählen. Jedenfalls nicht als Laie.
Portweiterleitungen – Der Schlüssel unter der Fußmatte
Hinter dem Begriff Portweiterleitung (oder auch Portfreigabe) verbirgt sich die Möglichkeit, einzelne Geräte oder Dienste (wie beispielsweise OpenHab) von außen erreichbar zu machen.
Jeder Internetnutzer erhält eine IP-Adresse von seinem Internetprovider, mit der er sich im Internet bewegt. Über diese IP-Adresse (quasi die Anschrift deines Netzwerks) können aber auch Anfragen eingehen. Das ist in etwa so wie das Versenden von Post. Du kannst Briefe von dieser Adresse versenden, aber auch gleichzeitig empfangen.
Im Normalfall ist in einem Heimnetzwerk kein Dienst freigegeben. Es gibt quasi keinen Briefkasten, in den die Briefe zugestellt werden und sie werden entweder wieder mitgenommen oder vernichtet.
Richtest du nun Portweiterleitungen ein, gewährst du Fremden (und dir) Zugriff auf dein Netzwerk. Es ist wie eine Art Tür, die von jeder Person geöffnet werden kann. Die Briefe werden quasi nicht in den Briefkasten zugestellt, sondern jemand betritt dein Zuhause und legt die Post auf deinem Küchentisch ab.
Für viele Fälle ist das sicherlich toll, wenn man jederzeit Zugang hat und so von jedem Ort der Welt schauen kann, ob das süße Kätzchen gerade trinkt, auf dem Sofa liegt oder Unfug treibt. Doch es gibt auch viele Bösewichte im anonymen Internet. Diese Bösewichte wollen nicht schauen, ob das Kätzchen gerade auf dem Sofa liegt, sondern sie wollen Daten stehlen oder die Geräte im Zuhause manipulieren.
Technisch gesehen hast du die Haustür für jeden geöffnet
Um Portweiterleitungen zu nutzen, benötigt der Fremde lediglich deine IP-Adresse, die du von deinem Internetprovider zugewiesen bekommen hast. Diese kann man erraten oder durch deine Besuche auf Websites herausfinden.
Einige Programme sind nun mit deiner IP-Adresse dazu in der Lage, unterschiedliche Ports (einfach gesagt Türen) zu testen, ob diese geöffnet sind. Meist passiert das, indem auf diesem Port ein Dienst antwortet. Der Angreifer weiß nun, welcher Port nach außen offen ist und durch die Antwort eventuell sogar auch, welches System sich dahinter verbirgt.
Nur in wenigen Fällen ist es den Leuten bewusst, was sie da angerichtet haben. Insbesondere Bastler oder technisch weniger versierte Personen können die Gefahren nicht überblicken und vermuten dahinter nichts schlimmes. Insbesondere dann nicht, wenn der Hersteller der Sicherheitskamera diesen Weg empfiehlt. Und man kann den Laien dabei auch keinen Vorwurf machen, denn nur durch Ausprobieren wird man an Wissen dazu gewinnen und eines Tages stolz erzählen können, was man daheim auf die Beine gestellt hat.
Doch es gibt viele andere Personen, denen man hierbei einen Vorwurf machen kann. So sollten Hersteller auf die Gefahren hinweisen oder für die notwendige Aufklärung sorgen. Denn in der realen Welt würde jeder Mensch darauf hinweisen was passiert, wenn man den Schlüssel für die Haustür außen am Haus platziert.
Im Klartext bedeutet das nun, dass viele Menschen im Internet sehr große Panik verbreiten und die Akzeptanz von Smart Home Geräten stetig sinkt. Denn die Menschen sind verunsichert und wollen keine bösen Überraschungen erleben. Doch warum setzt man statt auf Aufklärung lieber auf Panikmache? Weil die entsprechenden Personen meist selbst keine Ahnung haben. Nachplappern ist eben immer einfacher.
Wie kann man sein Smart Home sicher nutzen?
Der erste Schritt ist: jede einzelne Portfreigabe löschen und über die Schritte in der Anleitung schmunzeln.
Das sicherste Smart Home wäre wohl nicht mit dem Internet verbunden und würde sein eigenes Netzwerk nutzen. Gerade im Heimgebrauch ist das allerdings meist ein sehr großer Aufwand, welcher wiederum mit Kosten verbunden ist.
Allerdings kann man durch die Deaktivierung der Portweiterleitungen schon einmal ein gewisses Minimum an Sicherheit erreichen. Denn so versteckt sich jedes Gerät hinter der Firewall und ist vor Aufrufen aus dem Internet geschützt. Bei Portweiterleitungen hingegen würde die Firewall Zugriffe auf die Geräte ohne Nachfragen einfach zulassen.
Ohne Zugriff von außen haben es die Angreifer nun auch viel schwerer. Oft lohnt sich der Aufwand nicht mehr und die Angreifer suchen sich ein neues Ziel. Natürlich kann man mit großem Aufwand dennoch einbrechen und an die Geräte herankommen – das möchte ich keinesfalls verneinen. Man macht es den Angreifern jedoch nicht so einfach.
Zugriff von unterwegs
Wer dennoch auf den Komfort nicht verzichten möchte, dass man von außen nachschauen kann, was das süße Kätzchen macht, der greift auf eine sichere Verbindung zurück.
Diese sichere Verbindung nennt sich VPN (Virtual Private Network).
Bei einem VPN stellt ein Gerät (zum Beispiel das Smartphone) eine Verbindung zum Heimnetzwerk her und authentifiziert sich mit Hilfe von Benutzerdaten. So lässt das eigene Heimnetz nur eine Verbindung zu, wenn die Authentifizierung erfolgreich war. Es ist quasi der Schlüssel unter der Fußmatte, für den erst noch Rätsel gelöst werden müssen. (Ein etwas blöder Vergleich, aber irgendwie einleuchtend)
Diese Technologie wird auch von namhaften Unternehmen genutzt, um ihren Mitarbeitern den externen Zugriff aufs Netzwerk zu gewähren.
Es ist somit definitiv die bessere Variante des Zugriffs von unterwegs, auch wenn die Verbindung jedes Mal hergestellt werden muss. Doch wenn man die Wahl zwischen Sicherheit und Komfort hat, sollte man doch eher die Sicherheit wählen.
Weiterer Sicherheitseinwand – die Passwörter
Du hast nun in diesem Beitrag eine gute Grundlage dafür bekommen, wie du an dein Smart Home heran kommst, auch wenn du nicht zuhause bist. Außerdem weißt du nun, warum du keine Portfreigaben einrichten solltest und was – sofern du es dennoch tust – die Gefahren hierbei sind.
Allerdings darf man nicht vergessen, dass Portweiterleitungen nicht die einzigen Probleme für die Sicherheit im Smart Home sind. Oft liegt es (zusätzlich) daran, dass Anwender keine Passwörter oder nur sehr unsichere für ihre Geräte vergeben. Ich selbst kannte Geräte, die mit den einfachsten Kombinationen von Benutzername und Passwort ausgeliefert wurden. Und ich würde darauf wetten, dass der Großteil der Käufer die Daten nie geändert hat.
Hängt ein solches Gerät nun hinter einer Portfreigabe, so ist es natürlich ein leichtes den Zugriff zu bekommen. Denn die Standardkombinationen von Benutzername und Passwort stehen meist in den Anleitungen der Hersteller, die wiederum über deren Website frei verfügbar sind. Hier ist allerdings der Witz, dass explizit darauf hingewiesen wird, dass diese Kombinationen unsicher sind und geändert werden sollten.
Besser löst es in meinen Augen der Router-Hersteller AVM. Dieser vergibt für seine FritzBoxen lange Passwörter, die nicht für jeden Router gleich sind. Möchte man nun ein einfacheres Passwort haben, so muss man wenigstens aktiv diese Änderung veranlassen. Andernfalls ist das Passwort deutlich besser in puncto Sicherheit.
Übrigens stellt dieser Beitrag keine umfangreiche Beratung für die Netzwerksicherheit dar. Viel mehr ist es eine Erklärung für Laien, denen die Begrifflichkeit bislang unbekannt war. Daher sollte man nicht vergessen, dass es noch deutlich mehr Methoden zur Absicherung gibt.
8 Kommentare
Thomas · 19. Juni 2022 um 07:08
Moin Lukas. Wenn ich nun keine Fritzbox habe bzw mein Router kein VPN unterstützt, sondern ein eigenständiger VPN Server IM Netzwerk steht. Kann ich auf den nicht Portweiterleitung machen?
Lukas · 20. Juni 2022 um 00:09
Hallo Thomas,
solltest du einen VPN-Server hinter der Firewall betreiben, also als eigenes Gerät, musst du das sogar tun.
Das ist eine der wenigen Ausnahmen, bei denen es erforderlich sein kann.
Smarte Grüße
phil · 24. April 2020 um 15:40
Hi Lukas,
zum Thema Portfreigaben (welchem auch sonst…):
Ich habe auch ein paar Smart Home Geräte. Auf die kann ich auch von außerhalb meines Heimnetzes via Smartphone Steuerung zugreifen.
Allerdings ist auf meiner Fritzbox die Liste der Portfreigaben leer „keine Portfreigabe vorhanden“.
Wie passt das zusammen?
Lukas · 24. April 2020 um 16:35
Hallo Phil,
das ist tatsächlich interessant, denn du kannst auch ohne eine Portfreigabe auf deine Geräte zugreifen.
Hintergrund ist, dass deine Geräte einen Tunnel zu einem Server aufbauen und dann direkt von dort ihre Anweisungen beziehen.
Das bedeutet, diese Geräte brauchen keine explizite Portfreigabe.
Eine Portfreigabe ist immer dann von Nutzen, wenn man von außen auf ein Gerät im Netzwerk zugreifen will. Die Verbindung wird von außen aufgebaut.
In deinem Fall werden die Verbindungen allerdings von innen nach außen aufgebaut, weshalb die Firewall solche Zugriffe erlaubt.
Beispielsweise ist auch bei OpenHAB eine solche Vernetzung möglich. Die Sicherheit liegt dabei dann natürlich maßgeblich beim Betreiber des Servers, der dir diese Funktion zur Verfügung stellt.
Deine Sicherheitskamera in Alexa - Hobbyblogging · 28. März 2020 um 08:01
[…] deine Sicherheitskamera ein und gibst auch den Pfad zu deinem RTSP-Stream an. Du musst hierfür keine Portfreigaben einrichten, wodurch der komplette Datenverkehr ausschließlich in deinem eigenen Netzwerk […]
Plex Media Server im Heimnetzwerk zum Streaming - Hobbyblogging · 16. Februar 2020 um 08:55
[…] sehr vorsichtig sein und nochmal überlegen, ob sich das Problem nicht umgehen lässt. Denn eine Portfreigabe reißt eine Lücke in dein Netzwerk und kann im schlimmsten Fall dazu führen, dass du Hackern Tür und Tor […]
QNAP TS-453BE-2G - NAS im Test - Hobbyblogging · 22. Dezember 2019 um 06:48
[…] wie WordPress auf dem NAS gehostet werden und nach außen freigegeben werden. Hier gilt jedoch die Warnung bezüglich Portfreigaben zu […]
Satellitenfernsehen auf dem Tablet und PC - Hobbyblogging · 23. Juli 2019 um 22:20
[…] Hierfür und für die Verwaltung dieses Receivers, hast du eine Weboberfläche, die du bequem von deinem PC bedienen kannst. Wenn du eine VPN-Verbindung nutzt, kannst du auf diese Oberfläche auch von unterwegs zugreifen. Wichtig ist, dass du hierfür keine Portfreigabe erstellst! […]