Kantoren kwetsbaar voor hackers door onbeveiligde gebouwsystemen

‘Geen enkele vorm van authenticatie’

Uit het onderzoek blijkt dat de systemen die zijn gebaseerd op deze standaard, vaak aan internet gekoppeld worden.
Doordat deze systemen echter geen enkele vorm van authenticatie bevatten, kunnen kwaadwillenden hiermee op afstand onder meer de beveiliging, verlichting, airconditioning en verwarming van huizen en kantoren bedienen.

In totaal zijn er 17.444 gebouwen met systemen die zijn gebaseerd op de KNX-standaard, daarvan bevinden zich er 1.322 in Nederland. Hiermee is Nederland na Spanje en Duitsland, het land met de meeste locaties die kwetsbaar zijn voor hackers, aldus Computest op haar website.

Computest vermoedt dat KNX-systemen doorgaans door installateurs aan het internet gekoppeld worden om netwerken op afstand te kunnen configureren.
Daarnaast wordt het protocol door sommige mobiele apps gebruikt om op afstand domotica-oplossingen te bedienen.

“Als er gebruikgemaakt wordt van een standaard, gaat men er doorgaans vanuit dat het met de security ook wel goed zit”, zegt ethisch hacker Daan Keuper. “Het ontbreken van authenticatie in de KNX-systemen laat zien dat dit een gevaarlijke aanname is.”

Wie is verantwoordelijk voor beveiliging van systemen?

De verantwoordelijkheid voor een goede beveiliging van de systemen ligt volgens Computest zowel bij de leverancier, de installateur als bij de consument. De consument moet de installateur kunnen aanspreken op de security van hetgeen wordt geïnstalleerd.
Het idee is dat deze installateur hetzelfde doet richting de leverancier en/ of andere partijen in de keten. Daarmee worden de leverancier en de installateur zelf ook kritischer in welke producten zij selecteren en zijn ze eerder in de positie om eisen te stellen en te kiezen voor partijen voor wie die de beveiliging van hun toepassingen een prioriteit is.