Wie sicher ist Smart-Home- Technik? Diese Frage diskutierten wir mit Sebastian Schreiber, dem Geschäftsführer des Tübinger Unternehmens SySS. Es testet Hard- und Software im Auftrag der Hersteller.
Herr Schreiber, testen Sie ausschließlich Smart-Home-Systeme?
Wir testen alles, was sich hacken lässt: Datenbanken, SAP-Anwendungen, Küchengeräte, Banking-Systeme, selbst Autos und Schiffe und noch vieles mehr. Dafür beschäftigen wir Informatiker, Physiker, Mathematiker und Spezialisten für Funkprotokolle. Letztere spielen bei Smart-Home-Anwendungen eine große Rolle.
Wie muss man sich dieses Hacken vorstellen?
Zunächst überlegen wir uns, welche Wege es geben könnte, die Technik zu manipulieren. Wie könnte sie zum Beispiel ihre Arbeit versagen, sich fremdsteuern lassen oder dabei helfen, ihren Nutzer auszuspionieren. In ausführlichen Tests schauen unsere Experten dann, ob die Technik das tatsächlich zulässt. So etwas dauert normalerweise zwischen drei und zwölf Personentage.
Überprüfen Sie Smart-Home-Technik im Labor oder beim Nutzer zu Hause?
Den Nutzer wollen und dürfen wir gar nicht angreifen. Die Hard- und Software testen wir entweder bei uns im Labor oder bei unseren Kunden vor Ort. Über Mängel informieren wir die Hersteller. Sie beheben die Schwachstellen und lassen uns häufig im Anschluss nochmals zum Testen ran.
Und was haben Ihre Tests bei Smart-Home-Systemen ergeben?
Es gibt Licht und Schatten, allerdings lässt sich Smart Home unserer Meinung nach häufig leicht hacken. Das liegt daran, dass die Anwendungen offenbar aus einer Elektriker-Denke heraus entwickelt und gebaut werden. Sie müssen vor allem reibungslos funktionieren, der Sicherheitsaspekt spielt nur eine untergeordnete Rolle.
Oft kommt es zum Beispiel vor, dass Passwörter unverschlüsselt übertragen werden. Das erleichtert Hackern die Arbeit natürlich ungemein, da sie diese Daten problemlos abschöpfen können. Selbst Alarmanlagen können solche Schwachstellen aufweisen. Bei anderen nicht so sicherheitsrelevanten Anwendungen, wie der App-Steuerung von Rollläden, ist die Situation sogar noch schlimmer.
Woran kann ich mich als Käufer orientieren? Ist Technik von namhaften Herstellern sicher?
Nach dem Namen auf der Verpackung kann man sich leider nicht ausschließlich richten. Auch bekannte Hersteller fallen manchmal bei uns durch, teilweise ist die Technik dann schon im Handel erhältlich.
Tatsächlich ist es für den Endanwender schwierig, die Spreu vom Weizen zu trennen. Zwar gibt es Prüfsiegel, mit denen geworben wird, aber keines davon hat sich bei unseren Tests bisher als verlässlich erwiesen. Außerdem muss ein weiterer Faktor beachtet werden: Macht derjenige, der die Technik installiert, einen guten Job? Falls nicht, ist auch die beste Technik umsonst.
Worauf kann ich mich überhaupt verlassen?
Es ist schon mal ein Anfang, wenn man verschiedene Systeme kombiniert, also zum Beispiel die Alarmanlage von Hersteller x und das Schließsystem von Hersteller y. Das sind dann getrennte Systeme, was die Arbeit der Angreifer erschwert, da er ja beides knacken muss. Zudem sollte jeder sich die Frage stellen, welche Smart-Home-Technik er wirklich zu Hause braucht.
Sie meinen, je weniger davon, desto besser?
Nein, nicht unbedingt. Es geht eher darum, nicht unnötige Angriffsflächen zu bieten. Bei jemandem mit einem großen Haus können per App steuerbare Rollläden sinnvoll sein. Da spart er sich viele Laufwege. Bei einer übersichtlichen Wohnfläche hingegen ist so etwas eventuell Quatsch.
Ein anderes Beispiel: Muss die Garage sich per App öffnen lassen oder steige ich doch lieber aus dem Auto aus, um das Garagentor hochzufahren? Wenn die Vorteile nicht überwiegen, sollte man auf so etwas verzichten. Entscheiden muss das jeder für sich selbst. Aber ich muss auch ganz klar sagen: So viel Schaden können Hacker über Smart Home beim Otto-Normal-Wohnenden gar nicht anstellen.
Weil es da nur wenig zu holen gibt?
Es bedeutet einen gewissen Aufwand, sich in Systeme zu hacken. Der steht selten in Relation zur Beute, die bei einem ganz normalen Haushalt zu erwarten ist. Ganz anders ist das natürlich bei Unternehmen, Museen oder staatlichen Einrichtungen. Da kann das Überwinden smarter Technik einiges bringen.
Auch wer als Privatperson einen van Gogh zu Hause hängen oder einen Sportwagen in der Garage stehen hat, ist für diese Art von Einbrechern sicherlich interessant. Obwohl: Niemand lässt ja hoffentlich sein Auto unverschlossen in der Garage stehen. Mit Türschloss, Alarmanlage und Wegfahrsperre hätte der Kriminelle weitere Hürden zu überwinden, die ihn abschrecken oder an denen er scheitern kann.
Andere Gefahren sind durch Hacker für mein Heim nicht zu erwarten?
Wenn sich jemand bei mir einhackt und dann die Jalousien hoch- und runterfahren lässt, das Licht an- und ausschaltet oder die Sauna auf Hochtouren laufen lässt, ist das zwar ärgerlich, doch ein Schaden entsteht mir dadurch nicht. Zumal solche Angriffe leicht zu unterbrechen sind: Bei den Jalousien zum Beispiel kann ich ganz einfach die Sicherung rausdrehen. Und nach allem, was wir wissen, kommen solche Attacken kaum bis gar nicht vor.
Was ist mit Hackern, die Geräte kapern, um Attacken übers Internet zu führen?
Smart Home steht eher im Fokus solcher Leute als von Einbrechern. Die Hacker schließen die gekaperten Systeme, mitunter Tausende von Geräten, zu einem Netzwerk zusammen und bombardieren mit dieser geballten Kraft zum Beispiel Internetseiten mit Anfragen, bis diese zusammenbrechen. Allerdings bekomme ich es normalerweise gar nicht mit, dass meine Technik gekapert wurde. Hier ist man also nicht selbst der Geschädigte, sondern ein Dritter. Das sollte man natürlich dennoch nach Kräften unterbinden.
3 Tipps für mehr Online-Sicherheit
1. Sichere Passwörter finden
Kaum zu glauben, aber wahr: Zu den beliebtesten Passwörtern der Deutschen zählten im Jahr 2018 laut dem Hasso-Plattner-Institut in Potsdam unter anderem „123456“, „ficken“ und „Passwort“. Diese Zeichen- und Buchstabenfolgen sind alles andere als sicher.
Viel besser sind lange Reihungen, die keine Wörter bilden und bei denen Groß- und Kleinschreibung sowie Zahlen, Buchstaben und Sonderzeichen durcheinandergehen. Beim Generieren und Merken solcher Passwörter helfen Passwort-Manager-Apps.
2. Passwörter ändern und Updates aktivieren
Wer sichere Passwörter gefunden hat – am besten ein eigenes für jede Anwendung –, sollte diese regelmäßig ändern. Das gilt auch für vom Werk voreingestellte Passwörter bei Geräten wie zum Beispiel DSL-Routern.
Zudem sollte immer, egal ob bei der Smart-Home-Basisstation, dem Smartphone oder dem Notebook, die automatische Update-Funktion aktiviert sein. Die Geräte suchen dann von selbst nach Software-Updates, die bekannt gewordene Sicherheitslücken schließen.
3. Zugriff auf App unterbinden
Smart-Home-Anwendungen lassen sich in der Regel über Apps auch von unterwegs steuern. Daher sollten Smartphone oder Tablet optimal abgesichert sein: Sie sind der Schlüssel zum Smart Home.
Eine gute Maßnahme ist es, die Gerätesperre zu aktivieren. Um das Gerät zu benutzen, muss dann zunächst eine PIN-Nummer oder ein bestimmtes Muster eingegeben werden. Aktuellere Geräte erkennen auch Fingerabdrücke und Gesichter. Solche Sicherheitsvorkehrungen sind für Hacker schwer zu überwinden.
