Smarthome Kennwort eingeben

Smarthome-Sicherheit: So gut wie Ihr Passwort

22.02.2017

Wieder einmal hat ein TV-Beitrag in drastischen Bildern den Eindruck vermittelt, als feierten Smarthome-Systeme Hackern gegenüber grundsätzlich eine Welcome-Party. Doch das ist längst nicht die Regel. 

Das ARD-Magazin Plusminus zeigte vor ein paar Tagen einen Beitrag, in dem Hacker scheinbar mühelos ein Smarthome-System mit elektronischem Türschloss knacken. Eine Reporterin konfrontierte in dem Beitrag außerdem wildfremde Menschen mit dem Zugriff auf ihr Smarthome-System oder die IP-Kamera im Büro. Das wirkt plakativ. Das macht Menschen Angst vor der Technik. Also lieber doch das Smarthome-System wieder abschaffen und Lampen von Hand einzeln ausschalten? Wir wagen hier den Faktencheck. Der Plusminus-Beitrag steht in der ARD-Mediathek zum Nachgucken bereit – sogar bis Februar 2018.

Ganz sicher: Smarthome geht auch offline

Die Plusminus-Redaktion zeigt in ihrem Beitrag mehrere erfolgreiche Versuche, in fremde Smarthomes einzudringen. Dabei nutzet die Redaktion im Beitrag sichtbar zwei Smarthome-Systeme, die zwar unkenntlich gemacht wurden, für Kenner der Szene aber leicht zu identifizieren sind: Komponenten, Apps und Bedienoberflächen von Homematic und Loxone Smarthome tauchen in den Bildern immer wieder auf. Beide Systeme haben ein paar Details gemeinsam: Sie funktionieren beispielsweise auch ganz ohne Internetverbindung, sind also auf den Zugriff via Internet nicht angewiesen. Werden sie offline betrieben, dann sind sie gar nicht erst für Hackerangriffe gefährdet.  

Jedes im Internet vernetzte Gerät ist sichtbar 

Natürlich bietet der Zugriff auf die Haustechnik über das Internet von außerhalb einen zusätzlichen Komfort, auf den die meisten Nutzer nicht verzichten wollen. Dazu nutzen die beiden genannten Systeme ebenfalls eine ähnliche Technik, nämlich einen virtuellen Daten-Tunnel (VPN, Virtual Private Network) beziehungsweise eine so genannte dynamische Adressweiterleitung (Fachbegriff: DynDNS) auf die jeweilige Smarthome-Zentrale. Loxone bietet dafür einen eigenen Dienst namens „CloudDNS“, bei Homematic verwendet man standardisierte Zugriffsmethoden, die auch etwa für IP-Kameras und andere vernetzte Geräte zum Einsatz kommen. Diese Technik ermöglicht es, dass man stets von außen auf ein Gerät im Heimnetzwerk zugreifen kann, auch wenn sich die Adresse des DSL-Routers immer wieder ändert, weil sich dieser beim Telekomanbieter regelmäßig abmeldet und dann wieder neu verbindet. 

Der Adress- oder Datentunnel aus dem Internet ist im geschilderten Fall aus „Plusminus“ der Zugangspunkt auf die Smarthomes. Darüber können die beiden  Smarthome-Systeme – beziehungsweise deren IP-Adressen –  tatsächlich mit speziellen Hacker-Suchprogrammen über das Internet gefunden werden. Das gilt übrigens analog für Abermillionen anderer vernetzter Geräte, die über ihre Geräteadressen mit dem Internet verbunden sind – zum Beispiel DSL-Router, IP-Kameras, Webserver, Firmenserver und so weiter. 

Passwort ändern – und das Smarthome ist sicher

Der Dreh- und Angelpunkt der fremden Zugriffe ist das Passwort im jeweiligen Smarthome-System. Mit ihm schalten ansonsten die Apps den Zugang zur Zentrale frei. Viele Systeme haben ein ab Werk gültiges Standard-Passwort. Wird das bei der Installation geändert, dann hat sich das Thema des aktuellen TV-Beitrags praktisch erledigt. Dann lässt sic zwar möglicherweise das eine oder andere Smarthome-System finden, aber nicht beeinflussen. Diese Erkenntnis ist nicht ganz neu. Bereits Mitte 2016 berichteten die Kollegen des Fachmagazins c't über mehr als 100 Smarthomes des österreichischen Herstellers Loxone ohne ausreichenden Schutz, die ein Computerspezialist  übers Internet aufgespürt hatte. Auch hier war der Grund für die ungewollte Offenheit, dass bei der Installation das Standard-Passwort nicht geändert wurde. 

Diese Regel gilt im Übrigen auch für alle andere vernetzten Geräte. Als vor einigen Wochen ein so genanntes Bot-Netzwerk die Funktion tausender Telekom DSL-Router lahm legte, hatten Hacker sich ebenfalls über nicht geänderte Zugangsdaten Eintritt in die Geräte verschafft und dort ihre Schadsoftware installiert. Der Plusminus-Beitrag geht auf solche Bot-Netzwerke ein und erklärt diese recht anschaulich - sagt aber eben nicht, wie einfach man solche Angriffe vermeiden kann: Passwort ändern – sicher.

Viele Smarthomes funktionieren über die Cloud 

Für viele Smarthome-Systeme erfolgt der Zugriff von außen indes nicht über einen direkten Datenkontakt vom Smartphone oder Tablet auf die Zentrale, sondern über so genannte Cloud-Dienste. Hier hat der Nutzer ein Onlinekonto auf einem speziellen Server des Smarthome-Anbieters. Der wiederum stellt den Zugang zu den Smarthome-Geräten zu Hause her. Dabei baut der Server des Anbieters eine verschlüsselte und somit abhörsichere Verbindung zu den einzelnen Geräten der Nutzer her. Oft wird in solchen Systemen ein Teil der Haus-Intelligenz, also Szenarien und Automatisierungen, gar nicht auf der Smarthome-Zentrale im Haus ausgeführt, sondern im Rechenzentrum des Anbieters. Steckt die Rechenleistung auf einem Server im Internet, dann spricht man von cloudgestützten Systemen. Macht der Anbieter alles richtig, und nutzt der Kunde auch hier  komplexe Benutzernamen und Passwörter, dann ist das System sicher. 

Systeme wie Telekom Magenta Smarthome oder Devolo Home Control nutzen eine solche cloudgestützte Smarthome-Steuerung, ebenso wie etwa die lernfähigen Tado Smart Thermostate. Nachteil der cloudgestützten Systeme: Fällt das Internet aus, dann hakt auch die intelligente Technik. Basisfunktionen wie Licht an/aus funktionieren dann meist weiterhin auf Basis der lokalen Steuerung, aber eben kein automatischer Rollladen bei Sonnenuntergang.

Smarthome-Hersteller wehren sich

Auch Smarthome-Hersteller betonen immer wieder, wie wichtig es ist, die Sicherheit in vernetzten Geräten ernst zu nehmen. Auf plumpe Panikmache reagieren einige Anbieter aber verärgert. Der Deutsche Smarthome-Anbieter Coqon etwa hat sich in einem offenen Brief an das Magazin Plusminus gewandt und widerspricht der pauschalen Aussage, Smart Homes seien alles andere als sicher“. Geschäftsführer Andreas Kadler schreibt: „Ihre Darstellung ist [...] einseitig. Der Bericht basiert auf einem Test mutmaßlich von Produkten lediglich eines Herstellers, der damit stellvertretend für eine ganze Branche dient. Im Umkehrschluss diskreditieren Sie mit dem Beitrag all jene Hersteller und Installateure, die sich sehr wohl der Gefahren bewusst sind und deshalb von vornherein andere Ansätze zur Anwendersicherheit bei vielen Tausend Kunden in Deutschland anbieten oder bereits verbaut haben."

Das Smarthome-System Coqon nimmt für sich in Anspruch, die Online-Kommunikation mit einer Technik zu verschlüsseln, die der in Bankautomaten entspricht. Zudem nutzt das System für sicherheitsrelevante Daten neben DSL eine hochverschlüsselte Mobilfunk-Verbindung, so dass die Kommunikation auch dann noch steht, wenn das stationäre Netz ausfällt. Und Coqon funktioniert laut Kadler auch ohne aktive Netzwerkankopplung. 

Fazit: So sicher wie der Nutzer – oder sein Experte

Keine Frage, Sicherheitsbedenken im Smarthome darf man nicht auf die leichte Schulter nehmen – genauso wenig wie bei Passwörtern für E-Mail-Konten, beim Onlinebanking oder auf Facebook. Auch wer ein Smarthome-System von einem Experten planen und installieren lässt, sollte dem Fachmann nach dessen Sicherheitskonzept befragen. Und es wäre sicher kein Fehler, wenn eine technische Vorrichtung Nutzer und Systemintegratoren in allen Smarthome-Geräten dazu zwingen würde, bei der Installation das Standard-Passwort gegen ein komplexes Passwort abzuändern. Doch mit Beiträgen, die auf Basis von eindeutigen Nutzer-Fehlern eine generell Bedrohung konstruieren, ist ganz sicher niemandem geholfen.   

Weitere Tipps für Datensicherheit im Smarthome finden Sie auch in diesem Beitrag.

Geprüfter Schutz

Auch das wurde im Plusminus-Beitrag nicht gesagt: Eine Reihe Prüfinstitute und Organisationen bewerten schon heute die Sicherheit von Smarthome-Systemen. Allerdings gibt es dafür keinen einheitlichen Standard.

VDE Smarthome geprüfte Informationssicherheit

Der Verband der Elektrotechnik, Elektronik und Informationstechnik e.V. (VDE) untersucht in seinem VDE Prüfinstitut die Datensicherheit von Smart Home Produkten, und führt noch weitere Tests und Zertifizierungen für vernetzte Produkte und Geräte durch. 

VDE Informationssicherheit geprüft

AV-Test-Prüfsiegel

AV-Test unterzieht Netzwerk-, IT- und Smarthome-Produkte Stresstests in Sachen Datensicherheit und untersucht damit etwa den Schutz gegen Hackerangriffe. Neben Geräten und Systemen zertifizieren die Magdeburger Experten auch Antivirensoftware, Apps und industrielle Prozesse. Die Prüfung muss regelmäßig erneuert werden, um das Siegel nutzen zu können, deshalb zeigt es in oder Regel auf Produkten den Monat und das Jahr der letzten Untersuchung.

AV-Test_Logo

Syss Approved Security

Die Firma Syss prüft Smarthome-Systeme mit Hacker-Methoden und zertifiziert Systeme, in welche die IT-Techniker nicht eindringen konnten.

Syss approved Security Logo

Expertensuche

Fachbetriebe zum Thema in Ihrer Nähe

 

Das könnte Sie auch interessieren

Bringt das Smarthome mehr Sicherheit oder eher Gefahren? Smarthome-Experte Dr. Klaus Gütter zeigt, dass sich intelligente Haustechnik und die Angst vor Hackern und Datenklau nicht widersprechen.
Das kompakte Holzhaus erfüllt alle Anforderungen eines modernen, energieeffizienten Smarthomes. Eine umsichtige Planung ermöglichen gehobene Ansprüche an den Schutz des Hauses und der Privatsphäre.
Der Rauchwarnmelder Twinguard von Bosch Smart Home gibt nicht nur bei Rauch Alarm, sondern ist zusätzlich auch ein Luftgütesensor, der die Qualität der Raumluft misst. Künftig soll er seine Werte auch an das zugehörige Smarthome-System melden.