Smarthome: Was Installateure und Hausbesitzer für die Datensicherheit tun müssen

Smart Home holt die Bedienung der Haustechnik in die Hosentaschen. Möglicherweise auch in fremde? Smart Home-Systeme sind mittlerweile für viele selbstverständlicher Gebäudealltag - umso wichtiger ist das Thema Datensicherheit. Neben dem Bediener ist der Installateur die Schlüsselfigur, um den Zugriff von außen zu verhindern. Wir stellen die sechs häufigsten Fehler vor, die bei der Datensicherheit gemacht werden, und welche Auswirkungen sie haben können.

Früher gab es Heizungslecks, heute unter Umständen Heizungsleaks. Auf der einen Seite werden die Datenschutzbestimmungen immer strenger, auf der anderen Seite gehen viele User im Alltag sehr unbekümmert mit sensiblen Daten um, wenn sie sich in der digitalen Welt bewegen. Bequemlichkeit und Oberflächlichkeit sind hier die größten Achillesfersen. Das ist bei Endverbrauchern so, aber auch bei Profis.

Smart Home-Sicherheit aus Sicht von Experten

Seit Jahren schon ist der Verband der Elektrotechnik Elektronik Informationstechnik (VDE) auf dem Themenfeld Sicherheit von Smart Home Systemen aktiv. Auch die SmartHome Initiative Deutschland ist hier aktiv. Die Initiative wurde 2008 in Berlin gegründet und bezeichnet sich heute als größter Smart Home Verband Deutschlands, mit mehr als 100 Mitgliedern/Mitgliedsunternehmen aus verschiedenen Branchen. Haustec.de befragte beide Verbände, um von ihnen zu erfahren, was die häufigsten Fehler sind, die bei der Installation von Smart Home Systemen in der Praxis begangen werden und nachfolgend im laufenden Betrieb, die zu Datenlecks oder Hackerangriffen oder zum Eigenleben der Systeme führen können. 

Die sechs häufigsten Fehler beim Datenschutz

1. Planung und zertifizierte Bausteine

Ganz oben auf der Liste steht für Günter Martin, Geschäftsführer der CorDev GmbH und bei der SmartHome Initiative Beirat „Cyber Security“ das, was er wörtlich als „Elektroschrott“ bezeichnet: „Es werden Systeme oder Produkte verbaut, die nicht vom VDE, TÜV oder AVTEST auf Cybersecurity geprüft sind“, erklärt er. Martin empfiehlt, renommierte Anbieter zu wählen, „Elektroschrott“ zu vermeiden und auf das Label zu achten. „Wenn es nicht mal eine Datenschutzerklärung gibt, Finger weg davon“, sagt er.

Auch Alexander Matheus, Senior Expert Smarte Technologien beim VDE sieht das als Fundament eines später sicher laufenden Systems: „Eine sicheres Heimnetzwerk beginnt schon bei der Planung. Wenn man sich nicht gleich zu Beginn überlegt, was gebraucht wird und was überhaupt gesteuert werden soll, kann dies zu vielen Problemen und Sicherheitslücken führen.“ Ein Fehler in der Planung könne z. B. darin liegen, dass nicht genug auf die Kompatibilität der einzelnen Geräte geachtet werde. Genauso wie Günter Martin betont er, dass es wichtig sei, sich die Anbieter der Systeme genau anzuschauen. Matheus rät, sich immer diese Fragen vor einer Entscheidung zu stellen: Sind die Anbieter vertrauenswürdig? Gibt es Zertifikate? Wurde die Sicherheit von einer unabhängigen Institution geprüft und bestätigt?.

2. Lasche Router-Konfiguration

„Hacker kommen über das Internet meist über schlecht abgesicherte Router in das heimische Netz und damit ggf. auch ins Smart Home. Eine sichere Router-Konfiguration macht es Hackern sehr viel schwerer“, berichtet Günter Martin. Die zwei wichtigsten Punkte, um Hackern das Eindringen ins Netz zu erschweren, wären: Die Portweiterleitungen nicht zu aktivieren, wenn sie nicht wirklich unbedingt benötigt werden. „Eine Portweiterleitung bewirkt, dass Anschlusspunkte im heimischen Netz von außen aus dem Internet erreichbar sind. Das wird im Smart Home höchstens für Webcams, auf die man remote per App zugreifen will, benötigt“, erklärt er. Der zweite Punkt sei das Abschalten der Fernadministration, über die der Router remote gesteuert werden kann. Ausnahme: Die Fernadministration wird zwingend benötigt.

3. Simple, nicht sichere Passwörter

Das Thema und der Aufruf zu sicheren Passwörtern ist so alt wie die Digitalisierung des Lebensalltags selbst und inzwischen wohl eine Art Cyber-Evergreen, der auch heute noch immer und immer wieder gespielt bzw. angemahnt werden muss. Alexander Matheus macht da keine Ausnahme: „Ganz wichtig sind sichere Passwörter. Der größte Fehler liegt darin, hier die Werkseinstellungen beizubehalten. Es müssen nach der Installation unbedingt eigene Passwörter angelegt werden. Dabei muss jeder Service ein eigenes, stets neues Passwort erhalten“, mahnt er. Wiederverwendung von Passwörtern bei verschieden Systemen, zu kurze oder zu einfache Passwörter wären immer noch das Haupteinfallstor in Anwendungen und Systeme. Werde häufig das identische Passwort verwendet, könnten durch Phishing Passwörter abgegriffen und mit anderen Diensten genutzt werden.

Günter Martin sieht hier auch eine Verantwortung des Installateurs, falls dieser das Smart Home System einrichtet: „Mancher Installateur nutzt bei jeder Installation das gleiche Passwort. Oder es wird ein Passwort vergeben, das sich einfach ableiten lässt, z. B. der Kundenname oder das Installationsdatum. Dieses Vorgehen erleichtert später die Wartung ein wenig, weil man das Passwort gleich parat hat, ist aber ein hohes Sicherheitsrisiko“, sagt er.

4. Updates vernachlässigen

Das Thema Updates ist für Alexander Matheus ein weiteres Komponenten-Anbieter-Auswahlkriterium bereits in der Planung und Anschaffung, denn: „Bietet der Anbieter nicht regelmäßige Aktualisierungen der Software an, kann das ebenfalls zu großen Sicherheitslücken führen“, sagt er. Für Günter Martin spielen hier auch die automatischen Updates eine wichtige Rolle. Er empfiehlt, Firmware-Updates des smarten Geräts, des Gateways, des Routers und der App durchzuführen: „Das lässt sich meist so einstellen, dass es automatisch erfolgt“, sagt er.

5. Segmentierung

Ein ganz wichtiger Punkt in der Daten-Sicherheitsarchitektur ist für Günter Martin auch das Thema Segmentierung: „Was im Schiffsbau die Schotten sind, sind im Datennetz die Segmente“, beschreibt er und erklärt: „Die Segmentierung erhöht die Datensicherheit. Infektionen in einem Segment sollen sich nicht auf andere auswirken.“ Er empfiehlt, das Smart-Home-Gateway und die anderen IoT-Geräte möglichst in ein eigenes W-LAN oder LAN-Segment einzubinden.

6. Dokumentation der Installation

Nicht besonders beliebt ist laut Günter Martin die Erstellung der Dokumentation über die Installation. „Bei Bedarf wird im Haus nachgeforscht und gemessen, wie was installiert ist. Dabei stören Sicherheits-Funktionen, die das Eindringen erschweren. Je offener das System ist, umso einfacher lässt es sich auch ohne Dokumentation erschließen. Auf diesem Weg führt fehlende Dokumentation zu Problemen bei der Datensicherheit.“ 

Die Dokumentation sollte nicht nur erstellt, sondern anschließend auch sicher verwahrt werden. Denn sie enthält sensible Informationen wie Passwörter. „Dokumentationsschutz bedeutet, dass solche Daten beim Installateur in den Tresor gehören oder auf seinem Rechner gut geschützt sind“, empfiehlt er, auch dieses Thema nicht auf die leichte Schulter zu nehmen.

Anfällige Smart-Home-Konstellationen im Alltäglichen

Gibt es konkret bestimmte Smart-Home-Konstellationen im Alltäglichen, die für Angriffe von außen besonders anfällig sind? Manche sind heute keine banalen mehr. Dazu Günter Martin von SmartHome Deutschland:

1. Benutzerkreis ist zu groß

Jeder in der Familie oder der Wohngemeinschaft, einschließlich ehemaliger Bewohner, hat die Smart Home-App mit allen Berechtigungen auf seinem Smartphone. Das muss kein böser Wille sein, aber wenn jeder nach Belieben und ohne erforderlich Kenntnis alles darf, dann ist auch die Sicherheit gefährdet. Den Kreis der Berechtigten, die das Smart Home umkonfigurieren dürfen, klein halten. Zum Beispiel Kinder fernhalten, ehemalige Bewohner ausschließen. Wenn der Wohnungsschlüssel abgegeben wird, muss auch das Smart Home Passwort geändert werden.

2. Zusammengewürfelte Installationen (historisch gewachsen)

Welche Protokolle und Netze kommen zum Einsatz? Welche Schnittstellen werden benötigt? Die Grundregel einer professionellen Planung, Systembrüche zu vermeiden, hilft auch der Datensicherheit. Jedes Interface, das zwischen zwei Systemwelten vermitteln muss, ist ein potenzielles Risiko. Best Practice ist nur ein Funkprotokoll für Smart Lighting, das auch weitere smarte Komponenten per Funk bedient, sofern diese nicht über Kabel direkt per IP angeschlossen werden können. Kein Elektroschrott im System.

3. Veraltete Systeme

Irgendwann reicht dann die Leistungsfähigkeit der Hardware nicht mehr aus oder die Software wird nicht mehr gepflegt. Dann muss die Hardware gewechselt werden. Spätestens wenn es soweit ist, sollte über ein grundsätzliches Redesign nachgedacht werden, um nicht nur einzelne Komponenten, sondern das gesamte System auf den neuesten technischen Stand zu bringen.

4. Smartphone verloren

Wenn das Smartphone mit der Smart Home App verlorenging, sofort App-Passwort ändern. Das gilt auch für andere Apps, außerhalb des Smart Home Themas. Liste machen „Bei Handy-Verlust“, was man alles unternehmen sollte, wenn Handy verlorengeht und vorher mal ausprobieren, wie Handy-Ortung funktioniert (falls man das nutzen möchte).

5. Verdacht ignorieren

Wenn man das Gefühl hat, jemand anderes hat oder will die Kontrolle über mein Smart Home übernehmen, den RJ-45 Stecker zwischen Smart Home Gateway und Router ziehen. Das Smart Home sollte weiter funktionieren (ggf. ohne App), aber keiner mehr reinkommen. Je nach technischem Verständnis empfehlen sich gelegentliche Kontrollen. So lassen sich auf der Admin-Seite des Routers das übertragene Datenvolumen über die Zeit und die angeschlossenen Geräte anzeigen. Erscheinen die Angaben plausibel und einigermaßen kontinuierlich? Gibt es die angezeigten Geräte tatsächlich? 

Beim Auftreten von (vermeintlichen) Störungen könnte das System durch Viren infiziert sein. Die meisten Störungen sind allerdings nur Bedienfehler, gefolgt von Fehlern bei der Installation oder im Produkt. Trotzdem sind Hacker-Angriffe nicht auszuschließen, besonders dann nicht, wenn das System schlecht geschützt ist.

Welche Schadensbilder entstehen können

Welche Schadensbilder entstehen können, wenn Fehler bei der Installation und/oder des Gebrauchs von Smart Home bzgl. der Datensicherheit gemacht werden, auch dazu Günter Martin von SmartHome Deutschland:

1. Kontrolle über das Haus

Ein Angreifer könnte aus der Ferne z. B. das Licht, die Rollläden und die Heizung im Haus steuern und damit wahre Horror-Szenarien für die Bewohner auslösen: Das Licht geht permanent an und aus, die Rollläden rauf und runter und die Heizung bleibt kalt. Besonders kritisch wäre das Eindringen in Alarm- oder Schließanlagen. Tatsächlich wird sich aber kein echter Hacker diese Mühe machen. Das ist dann eher der beleidigte Ehemann, der ausgezogen ist und seine Frau tyrannisiert oder die Kinder, die die Eltern ein wenig ärgern wollen. Hierzu muss nicht gehackt werden. Die Akteure haben die App mit allen erforderlichen Rechten (noch) auf ihrem Smartphone. Abhilfe schafft hier schon die Änderung des Passworts.

2. IoT-Botnet

Hier werden unsichere Smart-Home-Geräte durch eine Malware infiziert und zentral ferngesteuert, um gemeinsam und massiv Unternehmen oder die öffentliche Infrastruktur anzugreifen. Am bekanntesten ist ein Fall aus dem Jahr 2016, bei dem rund 500.000 fast ausschließlich privat genutzte Webcams über das Internet mit einer Malware infiziert wurden, ohne dass deren Besitzer dies bemerkt haben. Die infizierten Webcams funktionieren aus Nutzer-Sicht normal weiter (also keine Gefahr für den Nutzer) und haben dann alle jeweils gleichzeitig Server großer Unternehmen an der Ostküste der USA aufgerufen. Vor diesem geballten Zugriff konnten die Server nur in die Knie gehen. So waren die Server großer Unternehmen wie Amazon, Spotify, Twitter, Netflix oder PayPal über Stunden nicht erreichbar. 

Das kann mit Geräten passieren, die vom Hersteller schlampig programmiert sind, also dem "Elektroschrott", vor dem bereits oben im Text gewarnt wurde. Aufpassen auch vor Falschmeldungen: Im Februar dieses Jahres wurde berichtet, dass drei Millionen smarte Zahnbürsten durch Hacker zu einem Botnet zusammengeschaltet wurden, das Firmen angriff und erheblichen wirtschaftlichen Schaden erzeugt habe. Tatsächlich war es eine Falschmeldung und nur ein fiktives Szenario.

3. Angriff auf Home-IT

Der PC zuhause oder die Netzwerkplatte mit allen Urlaubsfotos wird gehackt. Unter anderem sind alle Urlaubsfotos verschlüsselt und werden nur gegen Lösegeld wieder freigeschaltet. Ein Verschlüsselungs-Trojaner (Ransomware) kann grundsätzlich über das Smart Home eindringen und die IT befallen (und umgekehrt). Bekannt ist ein Fall, bei dem es einem Hacker gelungen ist, über das Thermometer im Aquarium eines Kasinos in Las Vegas in die Kundendatenbank des Kasinos einzudringen. Abhilfe schafft hier nur die bereits genannte Segmentierung.

Fazit: Sicherheit liegt in der Hand von Installateur und Nutzer

Es gibt genug Hinweise, Möglichkeiten und das Wissen, ein Smart-Home-System/IoT-Systeme größtmöglich sicher gegenüber Angriffen und Missbrauch von außen zu machen. Die größten Sicherheitshürden scheinen dabei nicht bei Hard- und Software an sich zu liegen, sondern vielmehr bei denen, die sie installieren und danach benutzen. Bequemlichkeit scheint hier nach wie vor das größte Sicherheitsrisiko, aber auch mangelndes Bewusstsein. Das wird umso sträflicher, je mehr IoT zum Alltag eines jeden wird.

Dittmar Koop ist Journalist für erneuerbare Energien und Energieeffizienz.