Trend Smart Living Vernetzungsängste: Hat Smart Home ein Sicherheitsproblem?

Zugehörige Themenseiten:
Digitalisierung, Energieeffizienz, IT-Sicherheit, IT-Trends und Smart Home

Ein intelligent vernetztes Zuhause bietet viel Komfort - und Sicherheit. Doch dazu müssen die Smart Homes selbst sicher sein und Datenräuber ausschließen. Experten zeigen Schwachstellen auf und geben Tipps, wie sich diese beheben lassen.

Cyber-Sicherheit im Smart Home
Vernetzung erfordert ein sicherers Zusammenspiel aller Geräte und Systeme. - © Mike Fouque - stock.adobe.com
file_download Downloads zu diesem Artikel

Wenn ein Gewitter naht, schließen sich die Fenster, und wenn der Bewohner das Haus verlässt, gehen hinter ihm die Lichter aus: Ein schlaues Zuhause steht seinem Bewohner mit Rat und Tat zur Seite. Dennoch zeigt knapp die Hälfte aller Deutschen noch kein Interesse an vernetzten Geräten, wie eine Studie der Verbraucherzentrale Bundesverband - ganz im Gegensatz zu Ländern wie den USA, Großbritannien oder China.

Der Trend ist klar: Laut Navigant Research wird der globale Jahresumsatz mit Smart-Home-Plattformen voraussichtlich von 3,2 Milliarden US-Dollar im Jahr 2019 auf 14,3 Milliarden US-Dollar im Jahr 2028 steigen. Deutschland ist da nicht außen vor: Hierzulande fördert der Staat vernetzte Immobilien, deren Wert durch mehr Sicherheit und Smartness in die Höhe klettert. Dass die Bevölkerung trotz all der rosigen Zukunftsprognosen noch zurückhaltend ist, führt die Verbraucherstudie auf die verbreitete Angst zurück, dass Daten in fremde Hände gelangen könnten. Maik Morgenstern, Geschäftsführer und Technischer Leiter beim Forschungsinstitut AV-Test für IT-Sicherheit, bestätigt das: "Haben Menschen zuvor eher befürchtet, das intelligente Eigenheim würde ein Eigenleben entwickeln und sie der Kontrolle entheben, bangen die meisten heute um ihre Daten."

"Smart" wird der neue Zukunftsstandard

Ein Szenario, dem in Deutschland die Datenschutzgrundverordnung einen Riegel vorschieben soll. Doch sind auch Händler, Hersteller und Handwerker gefragt, die Zweifel der Bevölkerung ernst zu nehmen - nicht zuletzt, indem sie auf die Sicherheit ein wachsames Auge haben und Schutzmaßnahmen verstärken. Mit der Smart Home-Technik eröffnet sich auch ihnen ein lukrativer Markt - mit zahlreichen Vorteilen für die Bewohner. Insbesondere ältere oder durch Krankheit gehandicapte Menschen profitieren von der automatisierten Steuerung im Haus. Geräte im Haushalt können die verschiedensten Gewerke von Beleuchtung, Heizung, Schließsystemen, Türen und Fenster intelligent gesteuert werden. Mehr noch: Über Künstliche Intelligenz lernen die Systeme vom Verhalten der Bewohner und können sich selbstständig herunterfahren, wenn gerade keiner im Haus ist: Damit lässt sich viel Geld und Zeit sparen - und auch Energie: Der Umwelt zuliebe kann das Smart Home benötigte Energie-Ressourcen effizient und CO2 neutral steuern.

Obendrein - vorausgesetzt die Systeme sind vom Fachmann installiert - hilft die Technik das Haus sicher zu machen: Mit Alarmanlage und Meldern gegen Feuer und Überflutung ausgestattet, kann sich der Bewohner effektiv gegen Einbruch und Schäden wie zum Beispiel Wasserschaden schützen. Doch andererseits können die digitalen Signale - zumindest theoretisch - von Cyber-Kriminellen gehackt werden, um sich Zugriff zu Daten und Eintritt ins Haus zu verschaffen. Dann droht der Komfort der Sicherheit, der schlaue Häuser so attraktiv macht, ins Gegenteil umzuschlagen.

Viele Systeme, viele Risiken

Viele Experten sehen das Problem in der fehlenden Standardisierung und Kompatibilität der Hausautomationssysteme. Im Kampf um das Haus der Zukunft streiten sich zahlreiche Anbieter mit unterschiedlichen Standards. "Es fehlt nach wie vor die einfache Möglichkeit alle Funktionen in einem System integrieren und dabei erweiterbar zu halten", sagt Morgenstern. Bauherren haben grundsätzlich die Wahl zwischen Kabel und Funk. Hinzu kommen immer mehr Dienste, die wie Amazon Web Services oder Microsoft Azure vollständig Cloud-basiert operieren und die sensiblen Kundendaten auf externe Server hinterlegen.

Als klassische Smart Home-Technik gilt der KNX-Standard. Viele namhafte Gerätehersteller wie Siemens, Jung oder Busch-Jaeger setzen auf das Kabel-Bus-System, das gängige Geräte wie Rollläden, Sicherheitskamera oder Heizung steuert. Sollen jedoch Sprachassistenten - etwa Amazons Alexa - angeschlossen werden oder die Kamera auch übers Smartphone gesteuert werden, so gelingen diese erweiterte Funktion nur über das Internet. Um "up-to-date" zu bleiben, könnten daher viele Um- und Nachrüstungen notwendig werden. "Am Ende betreibt man zig Systeme mit entsprechenden Nachteilen bei Benutzbarkeit und IT-Sicherheit", sagt der AV-Test-Experte.

IoT-Geräte sind anfälliger

Doch laufen die Bemühungen die Systeme miteinander kompatibel zu machen auf Hochtouren: Amazon, Google und Apple arbeiten gemeinsam mit der Zigbee-Alliance, wozu auch Ikea und Samsung SmartThings gehören, an einem neuen, einheitlichen Verbindungsstandard für Smart Home-Geräte. Das Projekt läuft unter dem Namen "Connected Home Over IP", kurz CHIP. Alexander Schneider-Schaper begrüßt diesen Vorstoß. Als Geschäftsführer und Mitgründer der SmartHome Initiative Deutschland beschäftigt er sich schon mehr als 20 Jahren mit vernetzten Gebäuden und Gewerken. Sein Anliegen ist es, den Dialog zwischen den Beteiligten innerhalb der Smart Home-Wettschöpfungskette zu fördern, um gemeinsam intelligente Vernetzung zu ermöglichen. "Smart Home-Systeme haben an sich nichts mit dem Internet zu tun", erklärt Schneider-Schaper, der auch Fachprojektleiter bei Porsche Engineering Services ist.

Während Bus-Systeme, die auf Kabel oder Funk basieren, lokal im Haus verankert sind und nach festen Wenn-Dann-Regeln basieren, fangen für den Smart Home-Experten die Probleme dann an, wenn IoT-Geräte wie Sprachassistenten sowie Entertainment- oder Beleuchtungsanlagen hinzukommen, die über ein Cloud-System funktionieren. Dort können die Daten leichter gehackt werden als wenn sie - wie im Fall von Kabel und Funk - in sicheren Rechenzentren hinterlegt sind. "Die Sicherheitslücken in der Cloud haben auf den Ruf des Smart Home abgefärbt", glaubt er. Im Klartext: Smart Home-Systeme an sich sind sicher und funktionieren erstmal alle völlig ohne Internet. Erst dann, wenn das Internet mit ins Spiel kommt, kann es unsicher werden.

Sicherheitslücken schließen

Für ihre Datenhacks ziehen Kriminelle immer häufiger eine Technik namens "Credential Stuffing" heran. Dabei setzen sie Zugangsdaten, die sie einem User zum Beispiel in einem Online-Shop oder Forum entwendet haben, in allen möglichen Web-Diensten ein, um sich dort entsprechend Zugang zu verschaffen. "Da quasi alle modernen Smart Home-Systeme mit einem Onlinezugang per App oder Webseite ausgestattet sind, sind sie natürlich für diese Art von Angriff anfällig", sagt Morgenstern. "Viele der zuletzt bekannt gewordenen Hacks von Smart Home-Lösungen gehen auf diesen Trick zurück." Laut einer aktuellen Studie des TÜV Rheinland sind neue smarte Geräte oftmals nicht ausreichend gegen Cyberkriminalität abgesichert. Je mehr Anbieter daher im Spiel sind, desto aktiver gilt es mit Verschlüsselung, Passwörtern und regelmäßigen Updates Hacking vorzubeugen.

Allerdings können auch Kabel-Systeme Defizite in der Sicherheit aufweisen, etwa wenn die Leitungen auch außerhalb des Hauses verlegt sind und Hacker physischen Zugang zum Kabel erhält. Daher sollten Installateure die Kabel möglichst hoch verlegen sowie auf eine verschlüsselte und geschützte Übertragung achten Wenn der Besitzer von unterwegs per VPN-Verbindung auf sein Haussystem zugreift, entsteht ebenso Angriffsfläche. Die Passwörter regelmäßig zu überprüfen, ist der beste Schutz vor einem Worst Case-Szenario. Zu den Daten, die den Bus nicht verlassen sollten, gehören Verbrauchsdaten von Heizung, Klima und Licht, weil sie Rückschlüsse über An- und Abwesenheit zulassen, der kommunikative Verkehr der Alarmtechnik, die physischen Adressen von Alarmanlagen und Bewegungsmeldern, Signalmeldungen von Türschlössern, Codes und Abgleiche von Fingerabdrücken bei Zutrittssystemen sowie Zugangsdaten zu Steuergeräten.

Wohlüberlegte Funktionen

Dennoch sieht Schneider-Schaper das Einbruchszenario in einzelne Privathäuser als eher unwahrscheinlich. "Hacker sind vor allem im wirtschaftlichen Bereich unterwegs", sagt er. Nutzer hätten eher Angst davor, was die Hersteller mit ihren Daten machen. Zum Beispiel, dass der Krankenkassenbeitrag ansteigt, wenn die Daten der smarten Waage an die Krankenkasse weitergeleitet werden. Eine echte Bedrohungslage gibt es Schneider-Schaper zufolge jedoch nicht. Er verweist dabei auf das Landeskriminalamt Nordrhein-Westfalen, das Motive hinter kriminellen Aktivitäten untersucht. "In ein Smart Home einzubrechen ist für Hacker kein Geschäftsmodell." Bauherren und Handwerkern empfiehlt er auf Geräte renommierter Hersteller zu setzen, die durch den AV-Test geprüft sind. Ebenso bedeutet für ihn Smart Home nicht ein Haus voller Gadgets - sondern wohlüberlegte Funktionen. "Es geht bei Smart Home nicht in erster Linie um Super-Duper-Lösungen wie den Kühlschrank, der seinen Inhalt selbstständig bestellt, sondern um die vorausschauende Integration der jeweils geeigneten Funktionalitäten für den individuellen Kunden."

Ein Vorbild dafür ist der Fertighaus-Spezialist Weber Haus: Das Modell "Sunshine 220 – das Home-4-Future" hat beim diesjährigen SmartHome Deutschland Award
den zweiten Platz in der Kategorie "Bestes realisiertes Smart Home Projekt" erzielt. Das Herzstück bildet die Photovoltaik-Anlage auf dem Dach, die kostenlosen Strom liefert. Zudem wird die Raumtemperatur geregelt, eine automatisierte Beschattung sowie Fensterkontaktschalter sorgen für Energieeffizienz und Sicherheit. Die EnOcean-Funktechnologie, die mit mehr als 1500 Produkten von 150 Herstellern kompatibel ist, lässt sich auch mit Sprachassistenten wie Siri oder Alexa verbinden, sowie an das Apple Home Kit anschließen.

Jedem sein eigenes Smart Home

In dieser Hausautomationslösung sieht Schneider-Schaper einen guten Standard - aber kein Passepartout für jeden Endkunden. "Der Bedarf an Smart Home-Lösungen verändert sich mit dem Alter", sagt er. Das Motto "Jedem sein eigenes Smart Home" beschert letztlich auch den entscheidenden Vorteil in Sachen Sicherheit. "In einer Siedlung mit 5.000 Häusern findet sich selten dieselbe Technik zweimal." Das allein schütze vor seriellem Einbruch.

Bis die schöne neue Hightechwelt die Wohnzimmer erobert, ist aber noch viel zu tun: Erst wenn der Mehrwert eines intelligenten Zuhauses für den Kunden klar auf der Hand liegt und die letzten Sicherheitsbedenken schwinden, fällt der endgültige Startschuss für das smarte Wohnen in Deutschland. In der Pflicht stehen dabei die Hersteller, die den Nutzen der Technologie für den normalen Endverbraucher deutlich veranschaulichen müssen. Das Handwerk kann den Trend ebenfalls mitgestalten, empfiehlt Schneider-Schaper: "Wenn es sich mit dem Thema auseinandersetzt und sich auch hinsichtlich der Technik dahinter weiterbildet, kann es diese Lösungen empfehlen und umsetzen."

So wird das Smart Home sicher gegen Angreifer: Worauf Handwerker achten sollten

  1. Software sicher programmieren und stetig aktualisieren
    Hersteller, Handwerker, Groß- oder Fachhändler sollten grundsätzlich die aktuelle Soft- und Firmware anbieten, verwenden bzw. in Umlauf bringen und spätestens vor der Übergabe an den Endkunden die ggf. angebotenen Updates installieren. Prüfen Sie regelmäßig, ob Updates angeboten werden bzw. nutzen Sie die Funktion automati- scher Updates. Konfigurieren Sie die Update-Funktion stets so, dass Sie und/oder Ihr Kunde die Kontrolle behalten. Der Endkunde bzw. Anwender muss immer erkennen können, ob ein angebotenes Update lediglich neue Funktionen beinhaltet, auf die ggf. verzichtet werden kann oder ob es sich um ein sicherheitsrelevantes Pflichtupdate handelt.
  2. Grundlagen für ein sicheres Heimnetzwerk schaffen
    Mobile Endgeräte wie Mobiltelefone, Smartphones und Tablet-PCs, die über eine Wlan-Verbindung des Hausnetzes auf das Internet zugreifen oder über eine App Steuerungsfunktionen im Haus bedienen, sind - ungeschützt - ein offenes Tor für Angreifer. Daher sind Sicherheitsfunktionen auch auf allen Endgeräten und in der jeweiligen App vorzusehen und zu nutzen. Klären Sie den Endkunden darüber auf, dass jedes Endgerät mit einer aktuellen Firewall und stets aktuellem Virenschutz versehen sein muss, sofern das technisch umzusetzen ist. Konfigurieren Sie das Hausnetz so, dass der Wlan-Zugriff nur mit einem sicheren Passwort möglich ist, das der Kunde nur an berechtigte Personen weitergeben darf.
  3. Sichere Hardware verwenden
    Geräte-Hardware sollte bei erkannter Gefahr (unberechtigter Fremdzugriff, Manipulation, Sabotage etc.) automatisch eine physikalische Trennung vom Internet vornehmen und ggf. das Gerät herunter- fahren. Die Trennung sollte nach Ablauf einer vorgegebenen Zeit automatisch wieder aufgehoben werden, um berechtigte Zugriffe wieder zu erlauben. Bei häufigen und unberechtigten Zugriffsversuchen können auch einzelne Netzwerkteilnehmer gesperrt bzw. mit einer Zeitsperre belegt werden.
  4. Digitale Technik sicher planen und installieren
    Klären Sie bei der Planung mit dem Endkunden, welche Funktionen er jetzt oder ggf. später benötigt. Berücksichtigen Sie auch Aspekte des Alterns. So kann z. B. ein Dachfenster, das für junge Menschen noch gut zu bedienen ist, im Alter unerreichbar werden. Verlegen Sie Netzwerkkabel und andere sicherheitsrelevante Leitungen immer verdeckt und schützen Sie frei zugängliche Leitungen zum Beispiel durch Metallrohre. Vor allem im Außenbereich sollten keine Netzwerkanschlüsse zugänglich sein. Auch Bus-Leitungen der Gebäudetechnik sind im Außenbereich nach Möglichkeit zu vermeiden, um die Angriffsmöglichkeiten zu minimieren.
  5. Netzwerke sicher konfigurieren und erhalten
    In IT-Netzwerken hat jedes eingebundene Gerät eine sogenannte MAC-Adresse. Als Basisschutz eines Wlan-Netzwerkes sollte in der Firewall des Routers ein MAC-Filter eingerichtet werden. Dabei handelt es sich um einen Zugangsschutz, der nur Geräten mit vorab registrierter MAC-Adresse - also nur vom Nutzer freigegebenen Geräten - Zugang zum Netzwerk gestattet. Vergeben Sie stets feste IP-Adressen und weisen Sie diese jedem Endgerät zu.
  6. Sichere Passwörter erstellen und verwalten
    Viele Geräte sind schon mit Passwörtern gegen unberechtigte Zugriffe und Manipulation geschützt. Passwörter werden aber leider allzu oft als lästiges Übel betrachtet und aus Gründen der Bequemlichkeit zu kurz und zu einfach gewählt oder nicht sicher verwahrt. Sorgloser Umgang mit Passwörtern ist eine der größten Schwachstellen bei der Nutzung digitaler Geräte. Sichere Passwörter sind aus möglichst vielen Zeichen zusammengesetzt und verwenden Kombinationen von großen und kleinen Buchstaben, Ziffern und Sonderzeichen. Nutzen Sie für verschiedene Geräte und Zugänge auch unterschiedliche Passwörter. Ändern Sie besonders sensible Passwörter regelmäßig.
  7. Weiterbilden und Fachkompetenz erlangen
    Bieten Sie nur Produkte und Dienstleistungen an, mit denen Sie sich wirklich auskennen und die Sie Ihren Kunden mit gutem Gewissen verkaufen können. Wenn Sie mit einzelnen Produkten keine ausreichende Erfahrung haben oder für bestimmte Leistungen nicht die erforderliche Qualifikation besitzen, suchen Sie sich bitte kompetente Unterstützung. Der Experte sollte mehr können als Geräte mit "Plug & Play"-Funktionalität zu installieren. Plug & Play ist in der Regel auf maximale Kompatibilität und einfache Inbetriebnahme ausgerichtet. Dabei werden mitunter viele IT-Sicherheitsmechanismen nicht aktiviert und Sie haben keinen Überblick über die durchgeführten Einstellungen.
Quelle: Smart Home und Connected Home, Sicherheitsempfehlungen für Hersteller, Fachhändler und Handwerker (Ausschnitt), LKA Nordrhein-Westfalen