Analyse und sicherheitstechnische Bewertung der Auswirkungen von unterschiedlichen Benutzerkonfigurationen von Smart Home Systemen

Alper Topaloglu

Kurzfassung

Mit der steigenden Anzahl von Internet of Things (IoT) Geräten in Haushalten entstehen neue Angriffsvektoren für potenzielle Angreifer. Smart Home Zentralen, die zur Bedienung und Verwaltung dieser Geräte genutzt werden, werden meist von den Benutzern selbst installiert und konfiguriert, wodurch diese unmittelbar die IT-Sicherheit des Systems beeinflussen können. Vor diesem Hintergrund ist das Ziel dieser Arbeit die Entwicklung einer übertragbaren Methodik zur Sicherheitsanalyse für IoT-Geräte sowohl zum Zweck der Evaluation der Gerätesicherheit des Zielsystems als auch des Einflusses des Benutzers auf die Sicherheit. Dazu werden die Einstellungsmöglichkeiten der Benutzer im Hinblick auf den Einfluss auf die Sicherheit des Systems analysiert und anschließend eine Analyse möglicher Schwachstellen basierend auf der Open Web Application Security Project (OWASP) Top 10 für IoT-Geräte durchgeführt. Diese Vorgehensweise wird im Kontext der vorliegenden Arbeit exemplarisch an drei marktüblichen Smart Home Geräten erprobt und die Ergebnisse der Sicherheitsanalyse vorgestellt sowie bewertet.

Schlagwörter: IoT, Smart Home, Informationssicherheit, Schwachstellenanalyse

Abstract

With the increasing number IoT devices in households, new attack vectors for potential attackers are emerging. Smart home controllers that are used to operate and manage these devices are usually installed and configured by the users themselves, which can directly affect the IT security of the system. Against this background, the aim of this thesis is to develop a transferable methodology for the security analysis of IoT devices with the purpose of evaluating both the security of the target system and the influence of the user on the security. At first, the user settings are analyzed regarding their influence on the security of the system and then an analysis of possible vulnerabilities based on the OWASP Top 10 for IoT devices is carried out. In the context of this thesis, the developed methodology is tested on three commercially available smart home controllers and the results of the security analysis are presented and evaluated.

Keywords: IoT, Smart Home, information security, vulnerability test