Eintrittspforte für Hacker und Co. Babyphone, Überwachungskamera, Hundemonitor - So sicher sind sie wirklich

Heizungen, die sich auf dem Heimweg schon anschalten lassen, Steckdosen mit Fernbedienung, Türen, die per Smartphone geöffnet werden können, Kameras für die eigenen vier Wände oder für die Überwachung von Haustieren aus der Ferne: Mit etwas Aufwand und Zeit lassen sich Wohnungen und Häuser zu sogenannten Smart Homes aufrüsten. Die Nachrüstlösungen kosten oft nicht einmal besonders viel Geld. Allerdings hat die intelligente Haustechnik einige Schwachstellen, die Hacker oder Einbrecher nutzen könnten.

Immer häufiger sorgen Meldungen für Aufsehen, nach denen Hacker dank einer Sicherheitslücke in Überwachungskameras in fremde Wohnzimmer spähen können. Andere konnten über das Internet den Strom abschalten oder die Rollläden öffnen. Ein Beitrag des ZDF-Magazins WISO zeigte, wie ein Sicherheitsexperte die Technik eines Smart-Home-Gebäudes gleich ganz übernahm. Er hatte sich über eine Verbindung zu einem Bewegungsmelder im Vorgarten Zugang zur Technik im Haus verschafft.

Maik Morgenstern vom unabhängigen Sicherheitsinstitut AV-Test aus Magdeburg sieht zwei Wege, über die Fremde Smart-Home-Technik von außen steuern könnten: "Da gibt es zum einen den Hacker, der im Internet schaut, welche Systeme nach außen offen sind und wo er eindringen kann." Schließlich seien viele der Steuergeräte mit dem Internet verbunden, um eben ihren Nutzern auch den Zugriff per Browser oder Smartphone zu ermöglichen. "Zum zweiten sehen wir noch den Hacker in der Nähe des Hauses, der in die Funknetze eindringen kann", ergänzt der AV-Test-Geschäftsführer.

Sven Hansen vom Computermagazin c't sieht das ähnlich: "Der Funk, der alles verbindet, ist derzeit eine Schwachstelle, weil der zum Teil unverschlüsselt erfolgt". Dann können Hacker mitlesen, mit welchen Nutzerdaten sich die Wohnungsbesitzer einloggen und damit dann Türen oder Rollos von außen steuern. Das erleichtert einen Einbruch. "Wir glauben allerdings, dass das Einbruchsszenario weniger relevant ist. Stattdessen könnte das in Richtung Erpressungstrojaner gehen", sagt Maik Morgenstern. Damit würden vor allem Smartphones und Computer gekapert und erst gegen ein Lösegeld freigegeben. Das gleiche Szenario sei auch für Smart-Home-Technik denkbar.

Experten raten, für jeden einzelnen Account ein anderes Passwort zu nutzen - auch wenn das noch so aufwändig ist. Bildrechte: colourbox

Derzeit achten viele der Hersteller von Smart-Home-Technik aus Sicht der Experten nicht gut genug auf die Sicherheit oder machen dabei Fehler. "Wir haben mittlerweile um die 20 solcher Systeme getestet und mindestens die Hälfte hat schwerwiegende Lücken", so Morgenstern. So kann zum Beispiel die Software auf den Steuergeräten - die sogenannte Firmware - mangelhaft sein. Dann können Hacker Schadcodes auf die Geräte aufspielen. Viele Geräte werden zudem ab Werk auch mit schwachen Passwörtern wie "1234" ausgeliefert. Wer das Standardpasswort kennt, hat dann auch Zugriff.

Häufig werden die Nutzer auch nicht explizit darauf hingewiesen, dass sie die Standard-Passwörter beim Einrichten der Smart-Home-Technik ändern sollten. Sven Hansen sieht hier die Hersteller in der Pflicht: "Da wäre ein sorgfältigeres Vorgehen hilfreich und die Geräte sollten standardmäßig von Leuten überprüft werden, die sich damit auskennen, um den Nutzern den größtmöglichen Schutz zu bieten." Die Kritik der Experten an den Herstellern gilt gleichermaßen für Nachrüstlösungen und beim Hausbau verbaute Smart-Home-Technik. Bei letzterer "fällt zwar der Funk weg, aber die Steuergeräte sind übers Internet erreichbar und damit angreifbar", erklärt Maik Morgenstern.

Leider gibt es derzeit noch kein einheitliches und verlässliches Gütesiegel für Smart-Home-Geräte, die zuverlässig gegen Angriffe von außen gesichert sind. Zwar wird in dem Zusammenhang oft mit dem Standard "Zwave+" geworben. "Zwave+ macht aber nur eine Aussage dazu, wie die Sensoren mit Steuergerät kommunizieren und dass man diesen Weg dann nicht umgehen kann", warnt Maik Morgenstern. Das Ganze gebe aber keine Hinweise darauf, wie gut abgesichert der Zugang übers Internet sei.

Auch Sven Hansen von c't rät Nutzern, nicht allzu viel auf beworbene Gütesiegel zu geben. "Die Anzahl der Aufkleber sagt nichts über Qualität aus." Er rät Nutzern von Smart-Home-Technik, grundsätzlich alle Passwörter der Geräte zu ändern. Das erschwere Fremden zumindest etwas den Zugriff von außen. Maik Morgenstern hat noch einen zusätzlichen Tipp: "Wenn man von unterwegs die Technik zu Hause steuern will, sollte man das nicht über ein öffentliches WLAN machen." Häufig würden die Nutzerdaten derzeit noch unverschlüsselt übertragen, die könnten Hacker im gleichen WLAN abgreifen.

Bei Smart-Home-Technik wird noch zu wenig auf die Sicherheit gegen Angriffe von außen geachtet. Die Hersteller müssten dringend nachbessern, so die Experten. Außerdem fehle ein allgemein gültiges Gütesiegel. Auf die Steuerung von Licht, Rollläden oder Schließanlagen können Hacker vor allem zugreifen, weil die Geräte nicht gut genug gegen Angriffe übers Internet abgesichert sind. Die Gefahr von Einbrüchen in eine Wohnung oder ein Haus steige durch Smart-Home-Technik aus Sicht der Experten aber nicht an.