September 2017 | Die Welt | Das intelligente Haus

Sicheres Smart Home

Vernetzte Haustechnik birgt Sicherheitsrisiken. Die Bundesregierung will nun die Hersteller in die Pflicht nehmen.

Illustration: Constanze Behr
Axel Novak / Redaktion

Smart Home ist eine phantastische Sache: Wenn Musik dem Zuhörer durch die Wohnung folgt, wenn die Heizung selbstständig angeht, die Lichter sich dem Bio-Rhythmus der Bewohner anpassen – und das Elektromobil in der Garage nicht nur nachts lädt, sondern auch noch als Speicher einen Beitrag zur Energiewende leistet. Außerdem sorgen Smart-Home-Systeme für Sicherheit, melden Bewegungen oder Einbrüche und schließen im Zweifel Türen und Fenster.
 

Ganz Deutschland ist auf dem Weg in diese sichere, digital vernetzte Welt. Der Markt für Smart-Home-Lösungen boomt. 2016 stieg der Umsatz allein in den ersten zehn Monaten mit solchen Produkten um zehn Prozent auf 3,1 Milliarden Euro, so das GfK Handelspanel. Bis zum Jahr 2020 werden voraussichtlich in einer Million Haushalte intelligente und vernetzte Sensoren und Geräte eingesetzt, prognostizierte der Digitalverband Bitkom vor einiger Zeit in einer Studie.

Vernetzte Elektronik wird vor allem zur Unterhaltung eingesetzt. Aber auch so genannte Communication & Control Devices sind der Renner: 1,2 Millionen smarte Steckdosen, Gateways oder Smart-Home-Steuerungsboxen, die zwischen Sensoren und Internetrouter geschaltet sind, wurden verkauft. Und bei Haushaltsgroßgeräten sind Waschmaschinen, die sich vernetzt steuern lassen, besonders beliebt. Visual Cams und Überwachungskameras sowie LED-Lampen oder vernetzbare Rauchmelder, Wassersensoren und Kohlenmonoxid-Sensoren runden die Produktpalette ab.

Doch Smart Home benötigt viele Daten, die von geringerem Interesse bis zu sicherheitsrelevant oder sehr persönlich reichen – wenn es sich beispielsweise um Informationen zur Gesundheit der Hausbewohner handelt. Aber was, wenn Hacker in die Systeme eindringen und technische Einstellungen verändern? Das kann schwerwiegende Folgen haben. Zum Beispiel, wenn Kriminelle die Alarmanlage ausspähen, um einen Einbruch vorzubereiten. Oder Heizsysteme im Winter herunterfahren, um Rohre platzen zu lassen und Wohnungen unter Wasser zu setzen. Und schließlich könnte Erpresser-Software die Systeme zum Erliegen bringen. Erst gegen Zahlung einer Geldsumme wären sie wieder verfügbar – und das Haus wieder bewohnbar.

Tatsächlich steht es um die Sicherheit mancher Lösungen nicht gut. Fachleute des Magdeburger Unternehmens AV-Test beispielsweise haben eine Reihe von Smart-Home-Kits getestet – und festgestellt: Gerade bei Smart-Home-Lösungen sind die Komponenten mit Zugang zum Internet potenziell angreifbar und gegen Angriffe schlecht geschützt. Melden sie sich im Internet an, kann das heimische Netz gekapert werden. Trojaner verstecken sich dann nicht mehr im PC, sondern beispielsweise im Speicher eines Rauchmelders.

„Gegenstände, die sendefähige Kameras oder Mikrophone verstecken und so Daten unbemerkt weiterleiten können, gefährden die Privatsphäre der Menschen“, sagt Jochen Homann, Präsident der Bundessnetzagentur. Dabei bezieht er sich auf den Fall der Kinderpuppe Cayla: Das Smart Toy verfügt über ein Mikrofon und einen Lautsprecher und kommuniziert über Bluetooth mit einer Smartphone-App – allerdings ohne jede Sicherheitseinstellung. So kann die Puppe leicht manipuliert und zur Wanze im Kinderzimmer werden. Für viele Eltern ein Horror, dem die Bundesnetzagentur Anfang des Jahres durch das Verbot der Puppe einen Riegel vorschob.

Die Bundesregierung hat mittlerweile auch andere Hacks in private Netzwerke nachgewiesen. Baby Phones, Smart Toilets, Nest-Thermostate, Alarmsysteme, Schlösser und ganze Smart-Home-Systeme wurden manipuliert. Auch Schalter, Lampen und Hub-Devices konnten gehackt werden. Sogar globale Bot-Netze sind entstanden, in denen bis zu 100.000 Hausgeräte zusammengeschaltet wurden, listet der Sachstandsbericht zur Marktentwicklung in der intelligenten Heimvernetzung auf, den das Bundesministerium für Wirtschaft und Energie Anfang des Jahres herausgegeben hat. Fazit der Untersuchung: Bis heute hat eigentlich kaum ein System eine ausreichende Datensicherheit vorzuweisen.

Dabei sind die Grundlagen für Sicherheit nicht so kompliziert. Fachleute raten zu einer Reihe von Sicherheitseinstellung, vor allem beim Zugriff über Smartphone-App oder Browser. So sollte die Kommunikation grundsätzlich verschlüsselt erfolgen – ob im lokalen Netzwerk oder bei der Steuerung über das Internet. Das gilt auch für Updates der Systemsoftware über das Web. Dann sollte eine sichere Authentifizierung erfolgen.

Noch aber liegen viele dieser an sich selbstverständlichen Sicherheitseinstellungen im Argen. Deshalb sieht sich sogar die Bundesregierung bemüßigt, die Hersteller der Lösungen zu mehr Sicherheit zu verpflichten. „Es kann sein, dass der Zeitpunkt kommt, dass die Öffentlichkeit darum bittet, dass wir bestimmte Sicherheitsvorkehrungen vorschreiben“, sagte Bundesinnenminister Thomas de Maizière jüngst. Daher will die Bundesregierung ein „Trusted IoT“-Siegel ins Leben rufen: Unter Federführung des Bundesamts für Sicherheit in der Informationstechnik (BSI) soll ein einheitliches Zertifikat entwickelt werden, mit dem Nutzer beim Kauf neuer IT-Produkte schnell und einfach feststellen können, welches Angebot sicher ist. Vor allem Smart TV und Smart-Home-Lösungen sollen als erste mit solch einem Siegel ausgestattet werden. Noch allerdings steckt diese Zertifizierung in den Kinderschuhen. Solange aber sind nicht nur die Hersteller, sondern auch die Nutzer in der Pflicht, für Sicherheit zu sorgen. Neue Passwörter oder regelmäßige Updates der Software erhöhen die Sicherheit der Systeme.