Der Informatiker Peter Schulik ist wissenschaftlicher Mitarbeiter am Institut für innovative Sicherheit der Hochschule Augsburg. Schulik befasst sich mit dem Schutz von Betriebssystemen und Netzwerken, insbesondere in der digitalen Forensik. RE/MAX Germany hat den IT-Experten zur Sicherheit der Smart Home Technik befragt.

Ein Gespräch mit dem IT-Sicherheitsexperten Peter Schulik.

Herr Schulik, ist die Datenverschlüsselung der Systeme wirklich so sicher, wie von den Herstellern suggeriert wird?
In unserem Hochschullabor simulieren wir Angriffe auf die Smart Home Technik. Ziel ist es, neue Angriffstechniken und Detektionsmechanismen zu identifizieren. Das Ergebnis: Je nach Produkt sind die Geräte mehr oder weniger sicher. Sie zu hacken, erfordert also mehr oder weniger Aufwand und Know-how des Angreifers. Aber möglich ist es.
Ist diese nur relative Sicherheit auch dem Konkurrenzdruck auf dem Markt geschuldet?
 Ja, Sicherheit kostet Zeit und Geld. Der Druck mit neuen Funktionen auf den Markt zu kommen, bevor die Konkurrenz es tut, wirkt sich negativ aus. Es bleibt weniger Zeit, die Software genau zu überprüfen und zu schauen, wie gut der Code abgesichert ist. Das heißt, ob zum Beispiel Passwörter unverschlüsselt übertragen werden oder Schwachstellen in der Software sind.
Was macht das intelligente, vernetzte Zuhause anfällig für Angriffe von außen?
Die Aktoren und Sensoren an Fenstern, Türen oder an der Heizung sammeln Informationen über ihre physikalische Umgebung. Auch die Sound-Anlage, die etwa dafür sorgt, dass Sie Zuhause Ihre Lieblingsmusik empfängt, kennt das Benutzerprofil. Konzerne und gegebenenfalls auch Einbrecher können so erfahren, ob und wann Sie zu Hause sind. Es ist in vielen Fällen eben nicht transparent, was mit den Daten passiert.

Gefahrenquellen bei Smart Home Systemen

Eine weitere Gefahrenquelle sind virtuelle Einbrüche. Auf den Geräten sind ja sensible Informationen wie z. B. Kreditkartendaten hinterlegt. Wie kann der Nutzer selbst zur Sicherheit beitragen?
Es passiert leider häufiger, dass Käufer von Smart Home Technik (z. B. Überwachungskameras) es vernachlässigen, den Standard-Benutzernamen zu ändern und ein eigenes Passwort einzugeben. Solche Geräte können dann im Internet gescannt und „übernommen“ werden. Mit einer Vielzahl anderer Geräte wie Kühlschränke oder Heizungen werden sie zu Botnetzen zusammengeschlossen. Sie bilden ein großes Netzwerk von ferngesteuerten Systemen, welches mit Schadsoftware infiziert wurde. Die meisten Bots können dann über einen Kommunikationskanal überwacht werden und Befehle empfangen.
Können Sie uns ein konkretes Beispiel geben?
Nehmen wir z. B. eine Mutter, die eine Kamera mit Sprachfunktion nutzt, um ihr Baby übers Internet zu überwachen. Wenn diese dabei Standardbenutzernamen und -passwort verwendet, kann ein Unbefugter Zugriff auf die Kamera und Sprachsteuerung bekommen. Das kann dazu führen, dass auf einmal eine fremde Stimme im Raum zu hören ist oder Videomaterial vom Kinderzimmer erstellt wird. In den USA hat ein getrennt lebender Mann seinen Zugriff auf die Smart Home Komponenten im ehemals gemeinsam bewohnten Haus genutzt, um seine Ex zu terrorisieren …
Es kommt allerdings auch vor, dass Smart Home-Systeme nur Türöffner oder Sprungbretter sind, um weitere Daten des Netzwerkes abzugreifen. Diese sind entweder auf der Festplatte des Computers bzw. Notebooks oder im Firmennetzwerk gespeichert.
Wie können sich Käufer von Smart Home Systemen schützen?
Neben mehr Komfort und Energieeffizienz ist es ja eigentlich der Zugewinn an Sicherheit, der Käufer dazu motiviert, in ein Smart Home System zu investieren. Wie lassen sich die genannten Unsicherheitsfaktoren minimieren?
Vor dem Kauf sollten Sie auf jeden Fall Zeit investieren und sich mit dem Sicherheitskonzept des Anbieters befassen. Was für Features gibt es? Wie funktioniert die Verschlüsselung? Wichtige Aspekte bei der Auswahl sind: Wie lange bekomme ich Sicherheitsupdates und gibt es die überhaupt? Kann ich das Passwort ändern – gute Hersteller fordern dazu auf – und werden die Daten verschlüsselt übertragen? Funktioniert das Einspielen von Updates automatisch und ist es konfigurierbar? Einen guten Anhaltspunkt bietet die herstellerunabhängige Plattform av-test.de.
Es gibt auch Smart Home Komponenten ohne Internetzugang und Kommunikation mit dem Anbieter. Im Zweifelsfall also lieber diese wählen. Worauf Sie achten sollten, erfahren Sie auch auf der Smart Home-Seite des Specials „BSI für Bürger“. Dies ist eine Seite des Bundesamts für Sicherheit in der Informationstechnik.
In welche Richtung geht die künftige Entwicklung der Technologie?
Derzeit arbeiten die Hersteller daran, Komponenten, die derzeit noch isoliert arbeiten, zu kombinieren. Dadurch sollen bestimmte Abläufe erzeugt werden. Der Befehl „Alexa, starte das Morgenprogramm!“ würde dann genügen, um das Bad aufzuheizen, die Rollos hochfahren zu lassen, Kaffee zu kochen und den Lieblingsradiosender zu suchen. In der Zukunft können Sie solche Abläufe dann auch vom Auto auslösen. Wenn ich also auf dem Heimweg noch einkaufen will, kann ich fragen, was noch zu Hause im Kühlschrank ist.
Sehr praktisch. Wie intelligent ist denn Ihr eigenes Zuhause?
Trotz der vielen komfortablen Funktionen, die ein intelligentes Zuhause bietet, ist meins eher klassisch gehalten. Ich setzte bei der Sicherheit noch auf den mechanischen Einbruchschutz.
Vielen Dank für das informative Gespräch, Herr Schulik!