Herstellerübergreifende Steuerung wird die Gefahren erhöhen

Smart-Home-Anbieter bauen Abwehrwälle gegen Hacker

Die Steuerung der Heizung erfordert Maßnahmen gegen Unbefugte. © Vaillant

Nach Sicherheitslücken bei einem Mini-KWK verstärken Smart-Home-Anbieter die Sicherheitswälle.

Seit vor wenigen Wochen bekannt wurde, dass eine Heizungssteuerung von Vaillant ein schweres Sicherheitsleck aufwies, ist die Verunsicherung groß. Viele Nutzer fragen sich: Wie sicher sind solche drahtlosen Haussteuerungen, die übers Internet oder WLAN mit Hilfe einer App aus der Ferne bedient werden können?

Die Meldung machte im Internet und in der Fachpresse schnell die Runde: Ein Sicherheitsleck in der Steuerung des Mikro-Blockheizkraftwerks vom Typ ecoPower 1.0 sorgte Anfang April dafür, dass Fremde die Anlage per Internet hätten manipulieren können. Hacker mit umfassenden IT-Kenntnissen hätten die Anlagen ein- und ausschalten sowie die Temperatur regeln können, erläutert Vaillant-Sprecher Jens Wichtermann den potenziellen Schaden. Etwa 120 Anlagen waren von dem Sicherheitsproblem betroffen.

Inzwischen ist das Problem gelöst, ein Software-Update hat das Loch geschlossen. Zusätzlich hat der Heizungsbauer eine VPN-Box an den Heizungen installiert, über die der Datenaustausch nun gesichert abgewickelt wird. Diese Maßnahmen seien vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) als ausreichend bewertet worden, so Wichtermann.

Obwohl kein wirklicher Schaden entstanden ist, hat dieser Vorfall doch die Anbieter von Technik für das Smart-Home aufgerüttelt. "Wir haben unsere Internetverbindung für die Heizungssteuerung von Anfang an so sicher gestaltet, dass bei uns so etwas nicht passieren kann", versichert Jörg Bonkowski, Sprecher von Bosch Thermotechnik in Wetzlar. Der Zugriff per App auf die Steuerung der Heizung erfolge über einen speziell gesicherten Server bei Bosch und ein Gateway an der Anlage beim Kunden. Dabei werde ein sicheres Authentifizierungsverfahren ähnlich dem beim Online-Banking eingesetzt, so Bonkowski.

Die anderen Wettbewerber unter den Heizungsbauern waren nicht so auskunftsfreudig. Sie hüllen sich in Schweigen, sehr wahrscheinlich sind sie hinter den Kulissen damit beschäftigt, herauszufinden, ob ihnen mit ihren Anlagen ähnliches passieren könnte. "Es gibt immer noch eine Vielzahl von Anbietern, die das Sicherheitsrisiko bei der Steuerung von Haustechnik per Smartphone oder IPad unterschätzten", weiß Patrick Franitza, Sprecher des IT-Dienstleisters Secunet in Essen. "Die Hersteller glauben zwar alles getan zu haben, um die Schnittstellen für die Datenkommunikation abzusichern, überprüfen das aber oft nicht, weil sie nicht über das nötige Equipment verfügen."

Um bei den Verbrauchern für Vertrauen zu sorgen, lassen sich daher immer mehr Anbieter von Smart-Home-Lösungen wie beispielsweise der Energieriese RWE die Sicherheit ihrer Kommunikationsschnittstellen von externen Prüfinstituten bestätigen. "Wir nehmen das Thema Sicherheit sehr ernst und wissen, dass hier das Schadenspotenzial sehr groß ist", sagt Holger Wellner, Leiter RWE Smart-Home, im Gespräch mit EnBauSa.de. Vom Zwischenstecker bis zum Backend muss alles sicher sein. "Das haben wir bei unserer Lösung für die Fernsteuerung per App vom TÜV-IT Nord untersuchen und zertifizieren lassen."

Für den mobilen Zugriff auf die drahtlose Haussteuerung "SmartHome" bietet die RWE-Tochter neben einer App für Apple-Geräte und Windows Mobile auch eine App für Smartphones und Tablet-Computer mit dem Betriebssystem Android. Damit können Nutzer das Licht, die Elektrogeräte und die Heizung in ihren vier Wänden steuern. Der Fernzugang zu der Haussteuerung erfolgt über den Internetserver des Dortmunder Unternehmens. "Dabei werden sämtliche übertragenen Daten durch umfassende Sicherheitsmaßnahmen vor Fremdzugriffen geschützt", versichert Wellner.

Wird das Smartphone oder Tablet daheim als Fernbedienung genutzt, verbindet sich die App über das WLAN mit der Kommunikationszentrale – dem Herzstück der funkbasierten Haussteuerung. Die Entwicklung der eigenen Lösung habe sehr viel Zeit und Geld gekostet, das sei aber notwendig gewesen, um eine möglichst sichere Kommunikation zu bekommen.

Bislang nutzt RWE ein proprietäres System, es soll aber im laufenden Jahr geöffnet werden. Dann sollen auch Geräte anderer Anbieter eingebunden werden können. Dazu habe das Unternehmen ein komplett neues Funkprotokoll entwickelt. Das solle künftig auch anderen Komponentenherstellern zur Verfügung gestellt werden, sagt Wellner. "Es ermöglicht die stabile Kommunikation bei hohen Datenübertragungsraten von bis zu 100 kbit/s und verfügt gleichzeitig über einen sehr hohen Sicherheitsstandard", so der Leiter von RWE Smart-Home.

So wie RWE-Smart-Home seien sich immer Anbieter der Herausforderung bewusst, die eine Absicherung der Datenkommunikation mit sich bringe, sagt Enrico Löhrke, Geschäftsführer der inHaus GmbH in Duisburg. Noch gebe es viele herstellergebundene Lösungen, bei denen der Schaden durch einen Hackerangriff begrenzt bleibe, "doch spätestens wenn die universelle Fernbedienung kommt, wird es ernst", so Löhrke.

Daher führe nach Ansicht des Smart-Home-Integrators langfristig kein Weg daran vorbei, dass die Sicherheitslösungen direkt in die Anwendungen und Steuerungen integriert sind. Bis dahin hätten die Hersteller aber noch genügend Zeit, die notwendige Technik und Protokolle zu entwickeln. Löhrke rechnet mit einem Massenmarkt für die Smart-Home-Technik nicht vor 2020.

An einer solchen Lösung, über die eines Tages alle Geräte im Haus bedient und gesteuert werden können, arbeitet die EE-Bus-Initiative, an der unter anderem auch der Elektrotechnik-Fachverband VDE beteiligt ist. Der EE-Bus sei die Verbindung von Bestehendem und Neuem, sagt Bernhard Thies, Sprecher der Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (DKE) im DIN sowie VDE und Gründungsmitglied des EE-Bus-Vereins.

Wie eine Übersetzungszentrale soll der Bus die Kommunikation zwischen den unterschiedlichsten Geräten in Haushalt und Industrie steuern. Der EE-Bus sei daher kein Kommunikationsbus im eigentlichen Sinne, sondern vielmehr ein Vernetzungskonzept, so Thies. "Er verknüpft die Energiewirtschaft mit intelligenten Abnehmern und vernetzt hierfür unterschiedlichste Technologien", so der DKE-Sprecher.

Hintergrund der Bemühungen um einen reibungslosen Datenaustausch zwischen dem Smart Meter und den Stromverbrauchern im Haus ist das Ziel, das schwankende Angebot von regenerativen Energien im Stromnetz besser ausgleichen zu können. Stromfresser wie Kühlgeräte, Wärmepumpen oder Trockner sollen dazu genutzt werden, Verbrauchs- und Produktionsspitzen im künftigen Stromnetz ausgleichen.

Verknüpft mit dem Smart Grid der Zukunft, könnten Geräte im Haus – so der Plan – nicht nur vom Computer des Bewohners, sondern auch von außen – vom Stromversorger – gesteuert werden. Beispielsweise dann, wenn durch starken Wind so viel Energie produziert wird, dass der Strom zwischengespeichert werden muss. Dann könnten Steuerimpulse über die Stromleitung übertragen werden, die dafür sorgen, dass die Tiefkühltruhe im Keller anspringt und mit besonders billigem Strom noch auf ein paar zusätzliche Minusgrade abgekühlt wird.

Um die Anforderungen für den Datenschutz zu definieren, haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die DKE einen Arbeitskreis gegründet. "Inzwischen sind wir so weit, dass verschiedene Sicherheitsmechanismen in die Datenmodelle integriert worden sind", erläutert der Gründer der EE-Bus-Initiative, Peter Kellendonk. Dazu gehöre unter anderem der "Three-Way-Handshake". Das bedeutet, dass üblicherweise beim Anmelde- bzw. Zutritts-Vorgang eine Dreifach- Authentifizierung vorgesehen ist. Zudem erfolge der eigentliche Anmeldevorgang über eine sichere "https"-Leitung wie beim Online-Banking.

Die Sicherheit könne noch über weitere Sicherheitsmechanismen gesteigert werden, so Kellendonk. Etwa über sich ändernde Zugangsdaten, die per Token sicher übermittelt werden.

Letztlich liege es aber am Hersteller eines konkreten Produktes oder einer Anwendung, wie er die zahlreichen Sicherheits-Schranken im konkreten Fall einsetzen oder kombinieren wolle. Denn es komme auch darauf an, dass neben einer möglichst großen Sicherheit die Anwendungen praktikabel und wirtschaftlich umsetzbar seien. "Dieser Spagat ist zwar in einigen Punkten schwierig, aber durchaus machbar", so Kellendonk.

Mit einem sogenannten Lösungsraum-Konzept versuche die EE-Bus-Initiative daher zusammen mit Herstellern und Partnern aus der Energie- und Elektrowirtschaft zentrale Sicherheitsfragen frühzeitig zu erkennen, zu diskutieren und praktikable Lösungen zu finden.
von Hans Schürmann / pgl

Eine Verwendung dieses Textes ist kostenpflichtig. Eine Lizenzierung ist möglich.
Bitte nehmen Sie bei Fragen Kontakt auf.