Wenn der Küchenlautsprecher auf Befehl das aktuelle Wetter verrät, wenn der Kühlschrank selbstständig die Milch nachbestellt und die Rollos und Markisen zu Hause automatisch rauf und wieder runterfahren, dann sprechen wir vom Smart Home. Es soll unser Leben bequemer machen – doch wer sich ein Smart Home einrichtet, sollte auch die Risiken kennen, sagt Sebastian Brose von VdS.

difue.de: Herr Brose, ein Smart Home ist praktisch – Dinge passieren automatisch und lassen sich aus der Ferne steuern. Warum aber ist genau das auch ein Risiko?

Sebastian Brose: Wenn man etwas aus der Ferne machen möchte, geht das ja nur mit einer Internetverbindung – und genau das ist das Risiko. Ich habe nicht mehr den Lichtschalter, der in der Wand eingebaut ist, sondern ich habe ihn, bildlich gesprochen, ins Internet gesetzt. Damit ist er weltweit erreichbar, ich kann also von überall aus mein Licht einschalten. Und was ich kann, können dann potenziell auch andere tun. Die Gefahr ist also, dass andere mein Smart Home hacken und Dinge tun, die ich nicht möchte.

Da könnte man erwidern: Warum sollte jemand ausgerechnet mein Licht an- und ausschalten wollen?

Es muss nicht sein, dass jemand bewusst mein Smart Home hackt und sagt: Ich möchte gerne bei Herrn Brose das Licht einschalten. Aber es kann sein, dass jemand versucht, irgendein Smart Home zu hacken und dann zufällig meins findet. Alles, was online ist, kann von Dritten genutzt werden, um über Schwachstellen Schadcode zu implementieren. Das bedeutet: Hacker wollen dann vielleicht gar nicht mein Licht ausschalten, sondern ein Smart-Home-Gerät unbemerkt etwa als Angriffswerkzeug im Internet nutzen, um anderen zu schaden.

Was ist ein Botnetz?

Als Bot (Kurzform für das englische „Robot“) bezeichnet man ein Programm, das ferngesteuert oder selbstständig – und oft unbemerkt – auf einem Computersystem arbeitet. In einem Botnetz sind sehr viele dieser Systeme zusammengeschlossen, häufig um gezielt Schaden anzurichten.

Das heißt, wenn ich nicht aufpasse, wird mein smarter Kühlschrank eventuell zum Teil eines großen Botnetzes. Gibt es noch andere Risiken?

 

Hinzu kommt natürlich der Datenschutz. Je nachdem, wie gut mein Smart Home gesichert ist, kann es sein, dass jemand Daten abgreift oder einfach nur guckt: Wie oft ist das Licht ein- und ausgeschaltet, was passiert dort sonst – oder eben auch nicht. Daraus kann man etwa schließen, ob die Bewohner zu Hause sind.

Oft hören wir das Argument: Warum sollten ausgerechnet mich die Hacker attackieren? Ich habe doch nichts zu bieten. Das zieht hier aber nicht?

Genau. Das ist wie beim Computer. Da gibt es auch immer das Risiko, dass jemand Ihnen ein Virus schickt oder eine Phishing-Mail. Das ist ein Grundrauschen im Internet, man muss damit rechnen, dass Angriffe stattfinden. Dagegen kann man sich schützen. Man kann die Technik so konstruieren, dass sie da relativ robust ist und mit anderen Maßnahmen die Sicherheit erhöhen. Aber das Risiko ist da.

Bleiben wir beim Lichtschalter-Beispiel. Manche fragen sich vielleicht: Warum sollte ich meinen Lichtschalter überhaupt mit dem Internet verbinden?

Das ist natürlich nur ein einfaches Beispiel. Aber es gibt tatsächlich auch Gründe dafür, etwa um zu simulieren, dass man Zuhause ist, indem man automatisiert das Licht ein- und ausschalten lässt. Das kann Einbrecher abschrecken. Es gibt auch andere denkbare Szenarien, etwa die Gartenbewässerung oder die Heizungssteuerung. Aber nicht für alle Szenarien brauche ich eine Internetverbindung. Es gibt auch Smart-Home-Systeme, die komplett ohne Internet arbeiten. Die kann ich dann aus der Ferne nicht steuern.

Smart bedeutet also nicht immer gleich auch online. Generell ist das Feld des Smart Home riesig und sehr divers. Was zählt alles dazu?

Es gibt den Entertainment-Bereich, also alles, was mit Musik, TV und Streaming zu tun hat. Smart bedeutet dann hier etwa, dass ich im Garten, im Wohnzimmer und im Badezimmer die gleiche Musik hören oder überall auf dieselben Datenquellen zugreifen kann. Ein zweiter Bereich ist das Thema Energiesparen. Hier soll ein Smart Home für mich Entscheidungen treffen, die dazu dienen, den Energieverbrauch zu reduzieren. Der dritte Bereich ist die Sicherheit. Da geht es etwa um Anwesenheitssimulation, Überwachung auf Einbruch, aber auch um die Überwachung etwa von Gas- und Wasserleitungen oder um Rauchmelder, die eine Warnung aufs Handy schicken.

Das heißt, die Frage „Internet ja oder nein?“ hängt vor allem von Nutzungsmodell ab?

Genau. Wenn ich mein Home Entertainment vernetzen und Inhalte streamen will, komme ich ums Internet nicht herum. Beim Thema Energiesparen ist das nicht unbedingt nötig. Hier gibt es gute Ansätze mit autarken Steuerungen, die nicht unbedingt mit dem Internet verbunden sein müssen. Das Netz kann hier nützliche, aber nicht notwendige zusätzliche Features bieten, etwa aktuelle Wetterinfos.

Und beim Thema Sicherheit?

Wenn ich mit einem Smart Home die Sicherheit in meinem Zuhause erhöhen möchte, will ich im Regelfall auch aus der Ferne den Status abfragen können und eine Meldung bekommen, wenn etwas ist. Die Frage ist nur, ob das immer sinnvoll ist, denn man ist ja nicht immer erreichbar und kann manchmal aus der Ferne gar nichts ausrichten. Bei diesen ganzen Fragen sollte man auch beachten: Was passiert, wenn ich mal keine Internetverbindung habe? Funktioniert dann gar nichts mehr, oder gibt es eine Art Notbetrieb? Das ist ein ganz wichtiges Kriterium.

Wir sollten uns in jedem Fall auf unsere Geräte verlassen können. Taugen da auch günstige No-Name-Produkte etwas, oder sollte man lieber Markenprodukte von etablierten Herstellern nehmen?

Der Preis ist nicht der einzige Indikator. Wichtiger ist, dass ich meine Erwartungen damit abgleiche, was ein Produkt zu bieten hat. Wir von VdS kommen aus einem professionellen Sicherheitsbereich und haben da ganz andere Ansprüche. Wenn wir Produkte prüfen und zertifizieren, müssen die natürlich höchsten Anforderungen genügen. Den Maßstab muss ich im Privatbereich aber nicht unbedingt anlegen. Es gibt aber Kriterien, die aus meiner Sicht unerlässlich sind. Zum Beispiel, dass ich eine Information bekomme, wenn in einem Sensor eine Batterie leer ist oder er keine Verbindung mehr hat. So etwa würde ich auch im Privatbereich voraussetzen. Wenn das fehlt, ist das ein absolutes No Go.

Worauf sollte ich beim Kauf von Smart-Home-Produkten noch achten?

Informieren Sie sich, wie ein Produkt funktioniert. Braucht es zwingend eine Internetverbindung oder nicht? Wenn ja, muss ich mich dann irgendwo registrieren? Werden Daten gespeichert? Wenn ja, welche und wie lange? Wer hat darauf Zugriff? Was passiert, wenn der Anbieter nicht mehr existiert und mein Gerät etwa an eine Hersteller-Cloud angebunden ist? Kann ich es dann noch weiter nutzen oder ist es es dann Schrott?

Das wird aber kein Anbieter von sich aus erklären, was im Falle einer Pleite passiert …

Das stimmt, aber deshalb ist es wichtig, selbst vorab zu prüfen, ob etwa eine Cloud-Anbindung nötig ist oder nur ein Nice-to-have-Feature. Da entscheidet auch das Bauchgefühl, ob man einem Hersteller vertraut oder nicht. Natürlich ist bei einem Markenhersteller die Chance größer, dass er auch weiterhin existiert und das Produkt am Leben erhält, als bei einem No-Name-Anbieter. Da weiß ich dann vielleicht auch nicht: Wo werden die Server gehostet? In welchem Land steht das Rechenzentrum, wo werden die Daten gespeichert? In Deutschland, in der EU oder im außereuropäischen Ausland?

Was ist die DSGVO?

Die Datenschutzgrundverordnung (DSGVO) legt fest, wie Anbieter im Netz Daten verarbeiten und speichern dürfen. Sie gilt in der gesamten Europäischen Union. Die wichtigsten Fragen und Antworten zur DSGVO erklären wir hier.

Stichwort DSGVO – raten Sie grundsätzlich zu Herstellern, die Ihre Server in der EU haben?

 

Ja, das ist unsere Empfehlung. Wenn ich Daten speichern will oder soll, sollte sich das Rechenzentrum im Rechtsraum der EU befinden. Da haben wir klare gesetzliche Vorgaben zur Datenverarbeitung und können einigermaßen sicher sein, dass die auch eingehalten werden.

Gibt es Sicherheitsstandards oder Gütesiegel, auf die man beim Kauf achten sollte?

Es gibt nicht das eine Smart-Home-Siegel, dafür ist das Feld zu heterogen und divers. man sollte zumindest grob filtern, in welchem Themenkreis man sich bewegt: Entertainment, Energiesparen oder Sicherheit? Dann kann man unter Umständen Anhaltspunkte finden. Beim Entertainment sollten etwa aktuelle Streamingdienste unterstützt werden, zum Beispiel Spotify, YouTube oder Netflix. Im Sicherheitsbereich gibt es unser eigenes VdS-Logo. Wir prüfen und zertifizieren ja auch diese Produkte. Es gibt auch eine nationale Norm, die DIN VDE 0826-1, die sich mit Sicherheitssystemen auf Smart-Home-Basis befasst. Diese Anforderungen sollten eingehalten werden, am besten bestätigt durch ein unabhängiges Prüfinstitut.

Steht das dann auf der Verpackung oder in der Bedienungsanleitung?

Nein. Wir empfehlen, dass Sie einen Profi damit beauftragen, Ihr Smart Home einzurichten, zumindest im Sicherheitsbereich. Dem kann ich dann sagen: ich möchte ein Smart-Home-System, das dieser Norm entspricht. Und der kann das dann auch bestätigen. Wenn man so etwas selber macht, kann man viele Fehler machen und im schlimmsten Fall funktioniert so ein System dann nicht oder nicht richtig.

Wenn ich mich doch dazu entscheide, es selbst zu machen – welche Fehler sollte ich auf jeden Fall vermeiden?

Sichere Passwörter sind natürlich das A und O. Außerdem muss ich mein System aktuell halten, Updates installieren, nach neuer Firmware suchen und ab und zu mal das Passwort ändern. Die wichtigste Frage ist aber: Muss das Gerät überhaupt mit dem Internet verbunden sein? Nutze ich diese Funktion überhaupt? Wenn das nicht der Fall ist, kann ich diesen sprichwörtlichen Internetstecker auch einfach ziehen und bin schlagartig viele Probleme los. Nicht alles, was einen Internet-Stecker hat, muss auch mit dem Internet verbunden werden.

Was kann passieren, wenn ich beim Thema Sicherheit nachlässig bin?

Es gibt einen Fall einer Frau, die mit WLAN-Kameras ihr Zuhause sicherer machen wollte. Die Kameras waren aber schlecht abgesichert und das System wurde gehackt. Die Frau wurde heimlich dabei gefilmt, wie sie unbekleidet durch die Wohnung lief, die Aufnahmen wurden dann im Netz veröffentlicht. Das Dorf, in dem die Frau wohnte, bekam Wind davon, und die Frau wurde das Thema nicht mehr los, sie musste am Ende das Dorf verlassen und umziehen. Die Sicherheitskameras, die sich für ihre Sicherheit installiert hatte, haben also das Gegenteil bewirkt. Tatsächlich sind Sicherheitskameras in einer Studie aus dem Jahr 2019 zu den größten Schwachstellen im Smart Home auf Platz vier gelandet. Fast 12 Prozent der getesteten Geräte waren unsicher. Das ist schon gravierend.

Smart-Home-Nutzung in Deutschland

Laut einer repräsentativen Bitkom-Studie nutzten zuletzt vier von zehn Befragten Smart-Home-Geräte, Tendenz steigend (von 28 Prozent im Jahr 2018 auf 41 Prozent im Jahr 2021). Bei den Nutzungsarten steht die Beleuchtung steht auf Platz eins (29 Prozent), gefolgt von Videoüberwachung (23 Prozent) und Alarmanlagen (21 Prozent). Als Gründe für die Nutzung von Smart-Home-Geräten gaben die meisten „mehr Komfort und Lebensqualität“ an, gefolgt von „mehr Sicherheit“ und „energieeffizienter leben“.

Wie kann ich denn die guten von den schlechten Kameras unterscheiden?

 

Eigentlich muss man einen Schritt weiter vorn ansetzen. Was bringt es mir, wenn ich in meinem Haus Kameras aufhänge? Eigentlich nichts. Wenn ich mich vor Einbruch schützen will, muss ich Türen und Fenster mechanisch stabil absichern, damit Einbrecher nicht reinkommen. Dann kann ich vielleicht außen eine Kamera anbringen, um im Nachhinein etwas nachvollziehen zu können. Wenn ich das trotzdem will, muss ich mich absichern mit Benutzernamen und einem guten Passwort. Außerdem sollte ich alles abschalten, was ich nicht nutze und regelmäßig Updates installieren. Gerade bei den Sicherheitskameras ist aber die Halbwertszeit relativ kurz. Ob ein Hersteller noch nach ein, zwei Jahren Sicherheitsupdates anbietet, ist keineswegs gewiss. Da gibt es dann längst ein Nachfolgemodell und Ihre Hardware wird nicht mehr supportet. Dann sitzt man auf dem Trockenen.

 

Das bedeutet dann: Im Zweifel lieber abschalten, als ein unsicheres Produkt zu haben, das eigentlich für meine Sicherheit sorgen soll. Sind Smart-Home-Geräte mit Internetverbindung immer auch ein Privatsphäre-Kompromiss?

 

Ja, wahrscheinlich ist das so. Egal, was ich aufnehme, ob Bild- und Tondaten oder Metadaten, das Verhalten betreffend – es sind immer personenbezogene Daten, und eine hundertprozentige Sicherheit, dass sie nicht missbraucht werden, gibt es nicht. Es gab mal eine Bande, die es auf die installierte Kamera in Smart TVs abgesehen hatte. Die haben damit einen Blick ins Wohnzimmer bekommen und konnten dann sehen: Lohnt es sich, da einzubrechen? Ist jemand Zuhause? Es gab auch diesen berühmten Fall von Samsung, die ja in den Nutzerbedingungen für ihre Smart TVs sinngemäß geschrieben hatten: „Achtung, alles was ihr vor eurem Fernseher besprecht, wird durch die Spracherkennungssoftware aufgezeichnet. Achtet darauf, dass ihr keine privaten Dinge sagt. Da muss man sich doch fragen: Was tue ich denn vor einem Fernseher, wenn ich zu Hause sitze? Natürlich bespreche ich Privates. Da muss man sich genau überlegen, ob man das wirklich möchte.

 

Welche Punkte sollten unsere Leser:innen aus dem Gespräch mitnehmen?

 

Wenden Sie sich an ein Fachunternehmen. Machen Sie sich Gedanken: Was möchte ich eigentlich mit der smarten Technik bewirken? Schauen Sie regelmäßig nach Updates, aktualisieren Sie Ihre Geräte und überlegen Sie, ob Sie die Internetkonnektivität wirklich brauchen. Sicherheit kann ich durch viele Dinge erreichen. Ich kann auch komfortable Sicherheit bekommen. Aber ich sollte die Sicherheit nicht hinter den Komfort stellen. Wenn ich ein Smart-Home-System betreibe, muss die Sicherheit vorne stehen. Sonst habe ich hier ganz schnell ein ganz großes Eigentor geschossen.