Nur drei von sieben Kits sind gegen Angriffe gut gerüstet

IT-Sicherheit im Smart Home ist oft unzureichend

Smart Homes sollen für glückliche Gesichter sorgen. Doch manche Lösungen lassen Hacker ins System. © Qivicon

Sicherheitslücken bei einigen Smart-Home-Lösungen hat AV-Test aus Magdeburg aufgedeckt.

Produkte für das Smart Home sollen nicht nur das Leben in Häusern und Wohnungen komfortabler, sondern auch sicherer machen. Das scheint nicht immer zu gelingen: Es gibt immer wieder Berichte, dass Produkte von Herstellern die Nutzer zwar vor geöffneten Fenstern oder vor einer Rauchentwicklung im Raum warnen, bei Hacker-Angriffen jedoch versagen.

Mitarbeiter des Magdeburger Unternehmens "AV-Test" haben im April 2014 sieben Starter-Kits für Smart-Home-Lösungen auf ihre IT-Sicherheit überprüft. "Dabei ging es um die Frage, ob die Hersteller ein Sicherheitskonzept eingearbeitet haben, das die Bezeichnung auch verdient", erläutert der Technische Geschäftsführer bei AV-Test, Maik Morgenstern.

Das ernüchternde Ergebnis: Nur drei von sieben Kits sind gegen Angriffe gut gerüstet, der Rest ist nur unzureichend geschützt. Geprüft wurde unter anderem, ob die Komponenten verschlüsselt kommunizieren und eine aktive Authentifizierung erfolgt, die eine Manipulation durch externe Angreifer verhindert. Denn alle Komponenten, die Zugang zum heimischen Netz und dadurch vielleicht Zugriff auf das Internet haben, sind potenziell angreifbar. "Melden sich ungeschützte Smart-Home-Geräte im Internet, kann das heimische Netz durch die Hintertür gekapert werden", warnt der AV-Test-Geschäftsführer.

Gut abgeschnitten haben laut den Magdeburgern die Produkte der Hersteller Gigaset (Elements), RWE (Smart Home) und Telekom (Qivicon). Die Sets dieser Anbieter böten eine gute Absicherung vor An- und Eingriffen. Die Komponenten von Icomfort und Taphome seien dagegen nur vor Angriffen von Außen sicher und im eigenen Netz ungeschützt. Iconnect und Xavax Max seien sogar sowohl gegen Angriffe im eigenen Netz und von außen nahezu machtlos. Die minimal geschützten Smart-Home-Geräte könnten mit Trojanern angegriffen werden, die sich  bei einem erfolgreichen Angriff nicht nur im PC, sondern auch etwa im Speicher des Rauchmelders verstecken könnten, erläutert Morgenstern die Gefahr im Gespräch mit EnBauSa.de.

Das Magdeburger Unternehmen hat den Sicherheitstest nicht im Auftrag einer einzelnen Firma, sondern in Eigeninitiative durchgeführt. "Die Zahl der Anbieter im Smart Home steigt rasant. Wir wollten sehen, wie sich das auf die Sicherheit der privaten IT-Netze auswirkt", erläutert Morgenstern.

Die getesteten Produkte decken unterschiedliche Einsatzszenarien ab: Das Starter-Kit von RWE Smart Home und Qivicon dient als Kontrollsystem für Strom, Heizung und Sicherheit, das von Gigaset Elements ist ein Überwachungssystem für Fenster, Türen und Wohnräume. Xavax Max (Hama) ist ein Schaltsystem für Licht, Heizung und Strom. Icomfort (REV Ritter), Taphome (Euroistyle) und Iconnect (Esaver) steuern Schaltsteckdosen.

Immer wieder schrecken Warnungen vor Sicherheitslücken Benutzer von Smart-Home-Komponenten auf. So hatte vor AV-Test Mitte Februar der Sicherheitsanbieter IOActive darauf hingewiesen, dass mehr als 500.000 Smart-Home-Geräte der Produktreihe Wemo von Belkin anfällig für Hackerangriffe seien. Gleich mehrere Sicherheitslücken sollen einen nicht autorisierten Zugriff auf Heimnetzwerke und die Steuerung der mit den intelligenten Steckdosen verbundenen Haushaltsgeräte ermöglichen.

Zwar verschlüsselt Belkin bei einem Firmware-Update den Datenverkehr zwischen seinen Servern und den Wemo-Geräten. Allerdings prüft es nicht die Gültigkeit des verwendeten SSL-Zertifikats, weshalb ein beliebiges Zertifikat für die Übertragung einer Firmware-Datei genutzt werden kann. Bei Veröffentlichung des Warnhinweises hatte der Hersteller die Sicherheitsprobleme mit einer aktualisierten Firmware zwar längst behoben, doch nur wenige Nutzer haben das bislang mitbekommen und die neue Software installiert.

Auch Heizungsbauer sind von Sicherheitslücken betroffen. Im Frühjahr vergangenen Jahres beispielsweise warnten IT-Experten vor einem Sicherheitsleck bei einem Mikro-Blockheizkraftwerk von Vaillant. Der Heizungsbauer hatte die Steuerung für die Wartung des Mini-Blockheizkraftwerks über das Internet mit einem Modul verknüpft, das nicht ausreichend gegen Zugriff von Fremden geschützt war.

"Das ist ein Problem, das immer dann auftaucht, wenn sich Hersteller von Haus- oder Haushaltstechnik der Probleme im Zusammenhang mit der IT-Sicherheit nicht bewusst sind, weil sie dafür keine eigenen Experten im Haus haben", sagt Wolfgang Klebsch, der das Thema Smart Home beim Verband der Elektrotechnik Elektronik Informationstechnik (VDE) koordiniert.

Die Warnung, dass eine mangelnde IT-Sicherheit bei Smart-Home-Komponenten nicht nur eine Gefahr für den Kunden, sondern auch für die eigene Reputation darstellen könne, sei inzwischen jedoch bei vielen Firmen angekommen, so Klebsch. Die Zahl der Hersteller, die sich inzwischen extern beraten und ihre Produkte prüfen ließen, habe zugenommen, sagt der VDE-Experte.

Der Verband entwickelt Testverfahren zur Prüfung der Interoperabilität und IT-Sicherheit der Systeme und führt solche Tests im Auftrag von Unternehmen durch. Dem AV-Chef reicht das nicht aus. Er will weitere Sicherheitstests bei Smart-Home-Komponenten durchführen und die Ergebnisse veröffentlichen. "Die Kunden können beim Kauf nicht erkennen, welches Produkt den Sicherheitsstandards entspricht und welches nicht", sagt Morgenstern. Hier wolle er Aufklärungsarbeit leisten. Zusätzlich arbeite das Unternehmen an einem Sicherheitszertifikat, welches Unternehmen für erfolgreich getestete Produkte – ähnlich dem VDE-Prüfsiegel – bei AV-Test erwerben können. von Hans Schürmann

Eine Verwendung dieses Textes ist kostenpflichtig. Eine Lizenzierung ist möglich.
Bitte nehmen Sie bei Fragen Kontakt auf.