On privacy in home automation systems

Home Automation Systems (HASs) are becoming increasingly popular in newly built as well as existing properties. While offering increased living comfort, resource saving features and other commodities, most current commercial systems do not protect sufficiently against passive attacks. In this thesis we investigate privacy aspects of Home Automation Systems. We analyse the threats of eavesdropping and traffic analysis attacks, demonstrating the risks of virtually undetectable privacy violations. By taking aspects of criminal and data protection law into account, we give an interdisciplinary overview of privacy risks and challenges in the context of HASs. We present the first framework to formally model privacy guarantees of Home Automation Systems and apply it to two different dummy traffic generation schemes. In a qualitative and quantitative study of these two algorithms, we show how provable privacy protection can be achieved and how privacy and energy efficiency are interdependent. This allows manufacturers to design and build secure Home Automation Systems which protect the users' privacy and which can be arbitrarily tuned to strike a compromise between privacy protection and energy efficiency.Hausautomationssysteme (HAS) gewinnen sowohl im Bereich der Neubauten als auch bei Bestandsimmobilien stetig an Beliebtheit. Während sie den Wohnkomfort erhöhen, Einsparpotential für Strom und Wasser sowie weitere Vorzüge bieten, schützen aktuelle Systeme nicht ausreichend vor passiven Angriffen. In dieser Arbeit untersuchen wir Aspekte des Datenschutzes von Hausautomationssystemen. Wir betrachten die Gefahr des Abfangens von Daten sowie der Verkehrsanalyse und zeigen die Risiken auf, welche sich durch praktisch unsichtbare Angriffe für Nutzende ergeben. Die Betrachtung straf- und datenschutzrechtlicher Aspekte ermöglicht einen interdisziplinären Überblick über Datenschutzrisiken im Kontext von HAS. Wir stellen das erste Rahmenwerk zur formellen Modellierung von Datenschutzgarantien in Hausautomationssystemen vor und demonstrieren die Anwendung an zwei konkreten Verfahren zur Generierung von Dummy-Verkehr. In einer qualitativen und quantitativen Studie der zwei Algorithmen zeigen wir, wie Datenschutzgarantien erreicht werden können und wie sie mit der Energieeffizienz von HAS zusammenhängen. Dies erlaubt Herstellern die Konzeption und Umsetzung von Hausautomationssystemen, welche die Privatsphäre der Nutzenden schützen und die eine freie Parametrisierung ermöglichen, um einen Kompromiss zwischen Datenschutz und Energieeffizienz zu erreichen

Hausautomationssysteme im Datenschutzrecht

Hausautomationssysteme erfreuen sich immer größerer Beliebtheit. Eine mittlerweile gängige Praxis ist, die gesammelten Daten im Rahmen einer Cloud-Anwendung an den Anbieter der Hausautomationslösung zu übertragen. Neben den Komfortfunktionen wie visueller Aufbereitung und Benachrichtigungen ermöglichen diese Daten dem Anbieter aber auch Rückschlüsse über das Verhalten der Bewohner, die zu detaillierten Profilen verknüpft werden können. Unser Beitrag erörtert die Frage, welche Probleme diese Entwicklung aus rechtlicher Sicht mit sich bringt und kommt zu dem Ergebnis, dass trotz dieser Probleme ein legaler Einsatz möglich ist

Extrapolation and Prediction of User Behaviour from Wireless Home Automation Communication

Wireless home automation systems are becoming increasingly popular. They can help users save energy and increase the comfort.However, this increased convenience also comes with new attack vectors. Many available systems provide little to no security. In this paper, we explore the possibilities of passive attacks against these systems. We exemplarily investigate two real-world installations of off-the-shelf home automation systems to see what amount of information can be obtained by a passive adversary.Our results show that the systems provide no privacy. They leak information about the users' habits as well as their presence and can be abused to plan burglaries. Furthermore, we conclude that even encrypted communication does not fully protect against the attack presented here. In particular, it is still possible to predict user presence and absence even if individual actions cannot be identified

Energy-Efficient Dummy Traffic Generation for Home Automation Systems

Home and Building Automation Systems are becoming more and more popular these days. While they increase the comfort of living, they may also leak private information such as user presence to passive observers. In this paper we investigate approaches for the generation of dummy traffic in Home Automation Systems (HASs).We discuss fundamental requirements and their impact as well as two concrete dummy traffic generation algorithms.We measure the impact of Constant- Rate Dummy Traffic (CRDT) on the responsiveness and energy efficiency of Home Automation Systems. As an alternative, we present the Naive Exponential Dummies (NED) generation scheme in which the balance between privacy guarantees and energy efficiency can be arbitrarily moved. We formally prove its privacy guarantees and evaluate it against realistic sample data