IT-Sicherheit Mehr Regeln für den intelligenten Haushalt
Licht aus, Tür auf, Online-Bestellung raus – im vernetzten Eigenheim geht alles per Sprachsteuerung oder Smartphone-Knopfdruck. Aber wer welche Knöpfe drücken können soll, ist bislang wenig durchdacht.
Während ein Handy oder PC klassischerweise nur von einem Nutzer gesteuert wird, treffen im vernetzten Haushalt viele verschiedene Akteure aufeinander, die Geräte teilweise sogar gleichzeitig steuern wollen. Wie die Zugriffskontrolle für internetverbundene Haushaltsgeräte bestenfalls aussehen müsste, haben Forscher der Horst-Görtz-Instituts für IT-Sicherheit der Ruhr-Universität Bochum gemeinsam mit Kollegen der University of Chicago und der University of Washington untersucht. Sie befragten 425 Nutzerinnen und Nutzer in den USA nach ihren Wünschen und leiteten daraus Vorschläge für die Zugriffsverwaltung ab.
Die Ergebnisse stellte das Team im August 2018 auf dem Usenix Security Symposium in den USA vor. Das Wissenschaftsmagazin Rubin der Ruhr-Universität berichtet ausführlich über die Studie.
Nur Admin und Gast sind vorgesehen
Die Forscher recherchierten zunächst, welche Smart-Home-Geräte derzeit auf dem Markt sind, welche Fähigkeiten diese besitzen und wie sich Zugriffsrechte darauf verwalten lassen. „In seltenen Fällen gibt es neben dem Administrator oder Eigentümer, der alles darf, noch eine Gastgruppe mit anderen Zugriffsrechten“, resümiert Maximilian Golla, Doktorand in der Bochumer Arbeitsgruppe Mobile Security, die Prof. Dr. Markus Dürmuth leitet. In einem Haushalt treten aber wesentlich komplexere soziale Beziehungen auf.
Für ihre Onlinebefragung gingen die Wissenschaftler von sechs potenziellen Nutzergruppen aus: Ehepartner, achtjährige Kinder, 16-jährige Teenager, Familienmitglieder auf Besuch, Babysitter und Nachbarn. Sie wählten außerdem 22 Fähigkeiten aus, die Smart-Home-Geräte besitzen können, etwa Musik abspielen, online einkaufen, Licht anschalten oder Türschlösser steuern. Für jede Fähigkeit fragten sie die Teilnehmerinnen und Teilnehmer, ob die jeweilige Nutzergruppe darauf Zugriff haben sollte. Antworten konnten die Befragten: immer, manchmal oder nie.
Auf den Kontext kommt es an
Antwortete ein Proband mit „Manchmal“, musste er angeben, wovon es abhängt, ob die Person die Funktion nutzen können soll oder nicht. Aus diesen Antworten leiteten die Forscher eine Reihe von kontextbezogenen Faktoren ab, die die Zugriffsrechte beeinflussen, zum Beispiel das Alter, die Orte, an denen sich die Person oder das Gerät gerade befinden, die Tatsache, ob die Person das Gerät schon früher genutzt hat, die Tageszeit und die mit der Nutzung verbundenen Kosten.
Standardeinstellungen ableiten
Aus all den Daten der Befragung erstellten die IT-Forscher für jede Nutzergruppe ein Profil der Fähigkeiten, die diese Gruppe standardmäßig nutzen können sollte. Nach den Aussagen der Studienteilnehmer sollte der Ehepartner beispielsweise so gut wie alle Rechte haben, der Nachbar so gut wie keine. Für die anderen Nutzergruppen – Teenager, Kind, Familienbesuch und Babysitter – ergaben sich vier verschiedene Mischungen aus gewünschten und nicht gewünschten Fähigkeiten.
Wichtig dabei ist aber auch, dass das System nicht zu kompliziert wird, sodass die Nutzer von internetverbunden Haushalten keine Lust mehr haben, sich mit dem Wust an Zugriffsbeschränkungen auseinanderzusetzen. „Aus den erhobenen Daten kann man für die sechs ausgewählten Rollen Standardeinstellungen ableiten, die der Nutzer oder die Nutzerin dann nur noch im Bedarfsfall anpassen müsste“, erklärt Golla.
In Zukunft wollen die Forscher sich damit beschäftigen, wie man die Zugriffsbeschränkungen für Smart-Home-Geräte nutzerfreundlich über eine Regelsprache verwalten könnte.