Es gibt kaum mehr ein elektronisches Haushaltsgerät, das nicht zumindest auf eine rudimentäre Art und Weise smart ist, also mit einer App verbunden werden kann. Sogar elektrische Zahnbürsten versprechen dank zugehöriger App «eine bessere Zahnputzroutine»! Smart Devices und Smarthomes sind längst zu einem Milliardengeschäft geworden. Der deutsche Statistikdienst Statista veranschlagt für das laufende Jahr einen weltweiten Smarthome-Umsatz von rund 102,5 Milliarden Franken und bis 2026 ein jährliches Umsatzwachstum von knapp 13 Prozent. Doch je mehr Verbreitung Smarthomes und das Internet of Things (IoT) finden, desto wichtiger werden Sicherheitsfragen. «Die Bedrohungslage im Cyberraum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie», liess zum Beispiel das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) verlauten. Meldungen über Cyberangriffe – wie unlängst auf das Bildungsnetzwerk Neuenburg – scheinen diese Einschätzung zu bestätigen. Eine aktuelle Umfrage von Swissmem, dem Verband der Schweizer Maschinen-, Elektro- und Metallindustrie, zeigt: In den vergangenen zwei Jahren wurden 70 Prozent der Schweizer Industriefirmen Opfer einer Cyberattacke, mit Schadensummen von einigen Tausend bis zu zwei Millionen Franken.
Lücken an allen Orten
Natürlich sind Herr Meiers smarte Haushälfte und Frau Müllers smartes Ferienhäuschen für Cyberangreifer nicht annähernd so attraktiv wie eine Universität, ein Spital oder eine Grossfirma. Dafür sind private Smarthomes in aller Regel sehr viel einfacher anzugreifen als professionell gesicherte Systeme. Es sei nur eine Frage der Zeit, bis Hacker Privatgebäude als lohnende Ziele ausmachten, meint deshalb die IoT Security Foundation. Geschehen ist dies zum Beispiel 2019, als Ring-Kameras, die zur Überwachung von Räumlichkeiten eingesetzt werden können, gehackt wurden. Bekannt wurde ein Fall, bei dem die gehackte Kamera im Kinderzimmer mit der Tochter der Familie zu sprechen begann. «Eine grosse Studie der Verbraucherschutzorganisation Euroconsumers aus dem Jahr 2021 brachte eine ganze Reihe von Sicherheitslücken bei Smarthomes an den Tag», sagt Olivier Steiger, Dozent und Forschungsgruppenleiter am Institut für Gebäudetechnik und Energie IGE der Hochschule Luzern (HSLU). In 16 vernetzten Smarthome-Geräten wurden 54 Schwachstellen gefunden, 62 Prozent davon waren schwerwiegend bis kritisch. Avast, ein Anbieter von Lösungen im Bereich Cybersicherheit, stellte in seinem Smart Home Security Report 2019 ebenfalls fest: Über 40 Prozent aller untersuchten Haushalte weltweit hatten mindestens ein Gerät mit einer bekannten Schwachstelle im Einsatz. Eine amerikanische Studie von 2021 gab ein Smarthome für Hackerangriffe frei. Innerhalb einer Woche wurden über 12 000 Cyberangriffe festgestellt. «Man kann also mit Fug und Recht sagen, dass ein Smarthome heute noch nicht als grundsätzlich sicher gelten kann», resümiert Olivier Steiger.
Systeme müssen sicher sein
Der Forschungsgruppenleiter unterscheidet zwischen einzelnen smarten Haushaltsgeräten und einem ganzen Smarthome-System. Denn wenn Schabernack mit der smarten Kaffeemaschine oder dem smarten Kühlschrank getrieben wird, ist das zwar ärgerlich. Der daraus entstehende Schaden hält sich unter dem Strich jedoch in Grenzen. «Dennoch darf man die Gefahr im privaten Smarthome nicht bagatellisieren», sagt der Experte. Das gilt besonders für Komponenten, die über Bus-Systeme und zentrale Steuereinheiten miteinander vernetzt sind. «Wird ein solches System gehackt und fallen dadurch Heizung oder Lüftung aus, kann das sehr unangenehm werden», so Olivier Steiger. «Ausserdem lassen sich dann persönliche Daten auslesen und das Nutzerverhalten analysieren.» Da eine erste Angriffswelle zumeist automatisiert mit Bots ausgeführt wird, ist auch der Aufwand für Angreifer zunächst nicht grösser als bei Angriffen auf andere IT-Systeme. ❭
Unsichere Cloud?
Viele Smarthome-Netzwerke nutzen auf die eine oder andere Weise Clouds. Ist dies eine offensichtliche Schwachstelle im System? «Das wirkt auf den ersten Blick so», sagt Olivier Steiger. «Allerdings werden die allermeisten Clouds mittlerweile sehr professionell betrieben.» Dies gilt gerade für die Cybersicherheit, die in aller Regel von Spezialisten gewährleistet wird. Würde ein professionelles Cloud-System gehackt, könnte dies schliesslich nicht nur zu erheblichen Schäden, sondern auch zu einem nicht zu unterschätzenden Reputationsverlust für den Betreiber führen. So gesehen können in Eigenregie aufgebaute Netzwerke sogar weniger sicher sein als eine Cloud, wenn sie lediglich mit technischem Halbwissen aufgesetzt und betrieben werden.
Proprietär oder offen?
Smarthome-Systeme lassen sich in zwei grundsätzliche Kategorien einteilen: Offene Systeme wie KNX erlauben es dem Nutzer, Geräte unterschiedlichster Hersteller in sein Smarthome zu integrieren. Proprietäre Systeme sind – auch wenn sie zuweilen ber KNX-Schnittstellen verfügen – auf die Komponentenauswahl des jeweiligen Herstellers beschränkt. Sind sie dadurch automatisch sicherer? «Das kann man pauschal nicht behaupten», so Olivier Steiger, der offenen Smarthome-Systemen den Vorzug gibt. «Offene Systeme sind transparenter. Wer das Wissen hat, kann nachvollziehen, wie es um die Sicherheit steht und wie dieses Thema gelöst ist», sagt er. Zudem könne sich die technisch bewanderte Community zum System äussern und so dabei helfen, es weiterzuentwickeln. Nicht zuletzt gewährleisten offene Systeme Nutzerinnen und Nutzern eine gewisse Anwendersicherheit: Verschwinden einzelne Komponenten vom Markt, kann man sie in der Regel schnell gleichwertig ersetzen. Verschwindet der Anbieter eines proprietären Systems, muss ein neues Smarthome-System aufgesetzt werden. «Zudem muss man bezüglich Cybersicherheit auf die Angaben und Massnahmen des Herstellers vertrauen, weil die Funktionen solcher Systeme der Community nicht zugänglich gemacht werden.» Bei der Wahl des Smarthome-Systems steht man zudem vor der Frage: drahtgebunden oder drahtlos. «Kabel scheinen sicherer zu sein, aber das stimmt nur bedingt», weiss Olivier Steiger. Denn auch Kabel können abgehört werden. Zudem haben heute fast alle drahtgebundenen Systeme eine Schnittstelle zum Internet – und die ist das Tor für Cyberangriffe, wenn sie nicht ausreichend geschützt ist.
Netzwerke separieren
Ist das Netzwerk eines Smarthomes unsicher, werden auch eigentlich sichere Einzelkomponenten angreifbar. Für Stefan Vogel, CEO des Netzwerkspezialisten Powersolutions, steht deshalb fest: Funktionen gehören getrennt. «Bei uns ist es Standard, dass wir alle Komponenten der Haussteuerung und -automation in ein separates Netzwerk auslagern», so Stefan Vogel. Somit bekommt das Smarthome einerseits den üblichen Internetzugang, andererseits mindestens zwei, oft drei Netzwerke, die als eigene Bubbles funktionieren. «Auf diese Weise können Nutzer in einem Netzwerk arbeiten, Videos streamen, spielen, fernsehen und Musik hören; im technischen Netzwerk befindet sich nur die Haussteuerung.» Wird eine Überwachungsanlage gewünscht, wird diese in ein weiteres separates Netzwerk verlegt. Dieses Vorgehen stellt einerseits sicher, dass die wichtigen Komponenten des Smarthomes nicht von der Freizeitauslastung des Netzwerks beeinträchtigt werden. «Sie befinden sich sozusagen auf einer Autobahn, auf der wenig Verkehr herrscht», so Stefan Vogel. Andererseits trifft ein Cyberangriff aus dem Internet nicht automatisch das gesamte System. «Knifflig wird es, wenn die Netzwerke untereinander kommunizieren sollen», weiss Stefan Vogel. «Diese übergreifenden Zugänge müssen limitiert und professionell gesichert werden.»
Nutzerverhalten ist wichtig
Wie immer im digitalen Bereich ist die technische Seite nur die halbe Wahrheit bei Sicherheitsfragen. Die andere Hälfte müssen Smarthome-Besitzer selbst beisteuern. Die Erfahrung zeigt, dass dies oft nicht ausreichend geschieht und mit Sicherheitsfragen unsorgfältig umgegangen wird. Default-Passwörter werden nicht geändert, unsichere Passwörter werden gesetzt, Updates werden ignoriert. «Gerade bei Systemupdates kann es ratsam sein, auf die Dienste der Spezialisten zurückzugreifen, die das System installiert haben», sagt Stefan Vogel. Denn es könne passieren, dass nach einem Update Nachprogrammierungen nötig sind, damit das System wieder einwandfrei funktioniert. «Da Smarthome-Steuerungen oft über das Smartphone abgewickelt werden, sollte man aber auch dort darauf achten, bei Betriebssystemen und Apps stets auf dem neusten Stand zu sein», sagt der Experte. Eine hundertprozentige Sicherheit kann dies alles zwar nicht garantieren, doch die Gefahr, im Smarthome Opfer eines Cyberangriffs zu werden, verringert sich deutlich.
