Smart Home Datensicherheit slider

Smart Home? Na klar, aber sicher!

05.08.2020

Wer garantiert, dass in vernetzte Geräte keine Hacker eindringen können? Wer kontrolliert, ob private Nutzer- und Nutzungsdaten sicher vor Datenklau sind? Zwei Prüfinstanzen tun sich hier hervor.

Berichte zur Gefährdungslage von Smart-Home-Systemen und anderen online vernetzten Geräten lesen sich teils wie ein Horror-Roman. Ende 2016 etwa machte sich ein digitaler Wurm namens „Mirai“ auf, um hunderttausende unzureichend geschützte Telekom-Router zu kapern und von diesen kleinen, vernetzten Geräten aus alle möglichen Online-Server zu hacken – bis hin zum deutschen Regierungsnetzwerk. Glück im Unglück: Der Wurm war offenbar fehlerhaft programmiert und schaffte es in erster Linie nur, die betreffenden Router kurzfristig lahm zu legen.

31 Milliarden vernetzte Geräte

Die Wahrheit ist auch: Die Zahl der vernetzten Geräte – das „Internet der Dinge“ – wächst so exponentiell wie ein Virus. Gilad David Maayan, der Chef der Technologieagentur Agile SEO, schätzt, dass im Laufe dieses Jahres weltweit mehr als 31 Milliarden Geräte online sein werden – mehr als vier vernetzte Produkte pro Mensch, darunter etwa auch rund 90 Prozent aller neuen Autos. Gerade im Umfeld vernetzter Produkte, die keine Computer, Handys oder Netzwerkrouter sind, sei die Gefahr für die Informationssicherheit dieser Geräte besonders hoch, sagt Olaf Pursche vom IT-Sicherheitsinstitut AV-Test. Der Grund: Hersteller von Küchengeräten oder elektrischen Zahnbürsten sind nicht unbedingt auf IT-Sicherheit spezialisiert. Vernetzte Funktionen solcher smarter Geräte, wie sie in den letzten Jahren immer mehr auf den Markt kommen, werden von den Herstellern vielfach zugekauft.

Doch jedes Gerät, das direkt oder über eine zugehörige Smartphone-App, mit dem Internet verbunden wird, kann das Ziel einer Cyberattacke mit Schadsoftware wie Würmern, Viren oder anderer „Malware“ werden. Während für PCs mittlerweile die Installation eines Virenscanners zum kleinen Einmaleins der Computerpflege gehört, sind solche Prüfungen für vernetzte Hausgeräte oder Smart-Home-Devices nicht vorgesehen. Hier kommen spezialisierte Prüfer wie das VDE-Prüfinstitut oder die Firma AV-Test ins Spiel.

Alexander Matheus, VDE
Alexander Matheus, Senior Expert, Smarte Technologien und Informationssicherheit beim  VDE Prüfinstitut. (Foto: VDE Prüfinstitut)

Eine verpflichtende Prüfung vernetzter Geräte, etwa nach einer harmonisierten Norm, kann Minimalanforderungen zur Informationssicherheit abdecken. Das wäre ein wichtiger Schritt, der durch ständig aktualisierte Prüfungen wie etwa unsere Zertifizierung ergänzt wird.

Ihre Mission: IT-Datensicherheit vernetzter Produkte zu testen – und bei Erfolg für ihre Datensicherheit zu zertifizieren. Die beiden Prüfinstitute haben sich in diesem Bereich einen Namen gemacht, hier wie dort sitzen IT-Fachleute mit Hacker-Genen und fühlen IoT-Produkten auf den Zahn. Das VDE-Institut ist nach eigenen Angaben eng mit staatlichen Instituten wie der Deutschen Kommission für Elektrotechnik (DKE) und der DIN unterwegs. Letztere startete 2019 ein Initiative, um eine Norm für die IT-Sicherheit vernetzter Geräte zu etablieren. Das VDE-Institut unterstützt dies, AV-Test weniger (siehe Interview unten). Deren Tester pflegen die wahrscheinlich größte IT-Schädlingsdatenbank und haben ihr Ohr am Puls der Hacker-Szene.

Luxor VDE Prüfsiegel

VDE und AV-Test-Siegel haben gemeinsam, dass sie jeweils nur für ein Jahr gelten. Der schwäbische Hersteller Theben etwa hat sein Smart-Home-System Luxorliving im Dezember 2019 neu beim VDE-Prüfinstitut zertifizieren lassen. Die begehrten Logos gab es für die Zentrale, die Apps (iOS und Android) sowie  für das Backend-Programm, mit dem der Elektriker das System konfiguriert. (Bilder: Theben) 

Verschiedene Zertifizikate für Smart Home-Produkte

Auch in der Zertifizierung unterscheiden sich die Organisationen: Das VDE-Institut vergibt mehrere separate Siegel, AV-Test unterzieht alle Produkte einem umfassenden Test und vergibt bei Erfolg das schlichte Urteil: „Sicher“. Dennoch testen beide Firmen ähnliche Dinge, man könnte sagen, sie sind Konkurrenten um das Gute im Netz. So sieht das etwa die Firma eQ-3, die ihr System Homematic IP von VDE und AV-Test prüfen ließ. Doppelt hält besser.

Interview: „Datensparsamkeit ist ­eines unserer Prüfkriterien“

Olaf Pursche, AV-Test
Olf Pursche ist Prüfexperte bei AV-Test

Redaktion: AV-TEST untersucht die Datensicherheit von Smart-Home- und IoT-Produkten. Bei Erfolg lautet das Ergebnis „Sicher“.  Ist das so einfach?

Olaf Pursche: Im Ergebnis durchaus, allerdings ist der Weg zu diesem Urteil recht umfangreich. Das kann man zu allen bei uns geprüften Produkten in unserem Sicherheitsblog „iot-test.org“ nachlesen. Hier dokumentieren wir, welche Dinge uns bei den Systemen aufgefallen sind.

Redaktion: Wie kann man sich einen solchen Smart-Home-Test vorstellen?

Olaf Pursche: Wir prüfen alle Aspekte der Datensicherheit des
Systems, indem wir die Datenverarbeitung analysieren und gezielt versuchen, in sie einzudringen. Das betrifft überwiegend drei Bereiche: Die Hardware, die Apps und Programme sowie die zugehörigen Onlinedienste. Für alle Bereiche prüfen wir die Sicherheit gegen jede Art von Angriffen über das Internet oder auch über Schnittstellen an Geräten. Auch in den Apps geht es um Schnittstellen: Welche Daten beziehen sie aus dem Smartphone oder Tablet, wie gehen sie damit um? Wo und wie werden Daten gespeichert? Also Datensicherheit
wie auch Datenschutz.

Redaktion: Viele IoT-Produkte sind dafür da, um Nutzungsdaten zu sammeln. Ist das in der Zertifizierung ein Malus?

Olaf Pursche: Das ist ein wichtiger Punkt. Wir konzentrieren uns darauf, zu prüfen, ob und wie ein Produkt mit den Daten umgeht, diese überträgt und absichert. Wenn etwa ein Anbieter einen Smartspeaker an seine Kunden verschenkt und im Gegenzug die darüber bestellten Waren protokolliert und zu Werbezwecken auswertet, dann muss dies erstens in den Datenschutzbedingungen klar und verständlich dokumentiert sein. Zweitens muss die Datenübertragung ins Rechenzentrum des Anbieters absolut sicher verschlüsselt sein. Drittens darf niemand unbefugt Zugriff auf das Gerät, dessen Funktionen und die Daten bekommen. Zusätzlich prüfen wir, wie der Anbieter laut Datenschutzerklärung mit den Daten seiner Kunden umgehen will. Ob sich ein Serviceanbieter an die gesetzlichen Regeln und die eigenen Angaben hält, wenn er die Daten erst einmal hat, können wir allerdings nicht überprüfen. Das kann auch sonst niemand – außer dem Anbieter.

Was wir aber prüfen: Welche Daten sammelt, verarbeitet und speichert ein vernetztes Gerät? Eines unser Prüfkriterien ist das Prinzip der Datensparsamkeit. Wir untersuchen, ob ein Gerät Daten erfasst und weiterleitet, die für die Funktion unnötig sind. So muss zum Beispiel eine vernetzte Zahnbürste, die dem Nutzer sagt, wie lange er seine Zähne mit welchem Druck putzen sollte, für eine optimale Funktion nicht notwendigerweise den Namen, die Adresse und Telefonnummer seines Besitzers kennen.

Redaktion: Wie stellen Sie sich auf sich weiterentwickelnde Risiken ein? Ändern sich die Prüfkriterien über die Zeit?

Olaf Pursche: Wir passen unsere Prüfkriterien ständig an die aktuelle Gefährdungslage an. Deshalb gilt ein AV Test Zertifikat auch nur für ein Jahr und muss dann erneuert werden. AV-TEST pflegt in diesem und vielen anderen Bereichen die wohl größte Datenbank an IT-Bedrohungen wie Viren, Malware oder Botnetze. Wir sind seit Jahren Mitglied im Expertenrat „Lagebericht IT-Sicherheit“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und arbeiten in den Sicherheitsgremien von Branchenverbänden wie eco und Bitkom mit. Wir orientieren uns an Ergebnissen von Hackerforen wie Defcon. Mit dort definierten Anforderungen und eigener Forschung werden die Tests weiterentwickelt und in unserem IoT-Blog dokumentiert.

Redaktion: Die DIN arbeitet an einer Datensicherheits-Norm, die auch eine verpflichtende Prüfung für vernetzte Produkte werden könnte. Was halten Sie davon?

Olaf Pursche: Im Prinzip eine gute Sache, allerdings ist die Frage, wer die Prüfmuster dafür festlegt. Heute sind das die klassischen Geräte-Prüfer. Die haben allerdings überwiegend wenig mit IT- und IP-Sicherheit zu tun. Hier müssten viele verschiedene Experten ihre Kenntnisse zusammenführen. Im Einschleusen und der Prüfung von Schadprogrammen und in puncto IP-Netzwerksicherheit etwa ist AV-TEST sicher führend. In der Prüfung von WLAN-Sicherheit und anderen Funk-Protokollen sind das andere Labore, die aber auch bisher nicht an der Standardisierung beteiligt sind. Damit eine Prüfnorm wirklich alle wichtigen Bereiche abdeckt, müsste sie auch alle möglichen Gefährdungen abdecken – und sich ständig aktualisieren. Datensicherheit ist etwas anderes als etwa die CE-Sicherheit gegen Feuer oder elektrische Kurzschlüsse. Darum wird eine solche DIN für IT- und IoT-Sicherheit stets der Lage hinterherhinken und damit nur grundlegendste Dinge abdecken können. Gegen reale Angriffe ist so eine DIN nicht tauglich. Unsere ständig aktualisierten Tests decken das dagegen ab.

Systeme

Die Zertifikate

Homematic AVTest

Sicher: Für das AV-Test-Prüfsiegel müssen vernetzte Produkte – wie hier Homematic IP – zum Hacker-Test.VDE Siegel

Geprüft: Das VDE-Institut vergibt mehrere Prüfsiegel: Für Geräte, Apps, das Online-Backend, Funk- und Kabel-Übertragungsprotokolle.

Expertensuche

Fachbetriebe zum Thema in Ihrer Nähe

 

Das könnte Sie auch interessieren

Doorbird startet einen Onlinekonfigurator, in dem man vernetzte Türsprechanlagen nach Maß in individueller Gestaltung bestellen kann. Über eine Augmentes Reality Funktion lässt sich die gewählte Konfiguration direkt am Einbauort betrachten.
Nuki entwickelt sein Smartlock weiter. Zum Herbst 2020 gibt es das Schloss auch in Weiß und mit einem Akku-Powerpack, der ein ganzes Jahr Stromversorgung ohne Nachladen verspricht. Außerdem bietet die Firma künftig einen Installationsservice zum Fixpreis an.
Sicherheit steht bei Systemen wie my-Gekko an oberster Stelle auf der Prioritätenliste – egal ob mit oder ohne Internetanbindung des Smart Home-Systems.