Technik für das Smart Home erfreut sich zunehmender Beliebtheit. Intelligente Heizkörperthermostate oder digitale Sicherheitssysteme können dem Anwender viel Nutzen bieten. Sie helfen beim Einsparen von Kosten oder schützen das Haus, wenn der Eigentümer auf Reisen ist. Doch wenn durch die Geräte ein Schaden verursacht wird, steht der Verbraucher damit möglicherweise alleine da. Das Problem: Derzeit ist unklar, ob bei Fehlern in der Software, mit denen die Geräte arbeiten, die sonst übliche Produkthaftung greift. „Die Produkthaftungsrichtlinie ist 30 Jahre alte. Und das merkt man“, sagt Florian Stößel, Referent für die Themen Recht und Handel beim Verbraucherzentrale Bundesverband (vzbv). Denn rein rechtlich zählt Software nicht als ein Produkt. Somit sei es derzeit umstritten, ob die Richtlinie auf Software-Fehler anzuwenden ist. Hinzu kommt, dass ein Verbraucher gar nicht erkennen kann, ob ein Smart-Home-Gerät fehlerhaft ist. „Der Verbraucher kann ja nicht in den Code schauen“, so Stößel. „Selbst mit dem entsprechenden Expertenwissen lässt sich die Funktionsfähigkeit nicht nachvollziehen.“
Das bedeutet: Wenn es zu einem Ausfall des Geräts kommt, kann der Nutzer nicht nachweisen, dass der Schaden aufgrund eines Software-Fehlers entstanden ist. Und er bleibt möglicherweise auf seinen Kosten sitzen. Der vzbv fordert daher bei Smart-Home-Technik eine Beweislastumkehr. Will heißen: Nicht der Verbraucher muss beweisen, dass ein Produkt fehlerhaft war, sondern der Hersteller muss widerlegen, dass ein Software-Fehler den Schaden verursacht hat. „Hersteller sollten für Schäden immer dann haften, wenn beim bestimmungsgemäßen Gebrauch ein Schaden durch das Produkt verursacht wird“, sagt Stößel. Dem Verbraucher dürfe kein Nachteil dadurch entstehen, dass das System so undurchsichtig ist. Auch Alexander Matheus sieht es kritisch, dass die Beweislast beim Verbraucher liegt, wenn es um Software-Fehler in Smart-Home-Geräten geht. Doch das Gleiche gilt seiner Meinung nach auch für den Hersteller. Auch für diesen sei es im Nachhinein schwierig zu erkennen, ob der Fehler in der Software schon bei der Auslieferung vorgelegen hat oder nicht. „Die Komplexität von Fehlern in der Software ist um einiges höher als dies bei Hardware der Fall ist“, sagt Matheus, Experte für smarte Technologien und Informationssicherheit beim VDE-Institut.
Grundsätzlich kann ein Fehler in einem Smart-Home-Gerät auch dazu führen, dass dieses gehackt werden kann. Ein Gerät, das sich mit dem Internet verbindet, ist immer auch ein potenzielles Ziel für Cyber-Kriminelle. Doch auch in diesen Fällen hinkt der Gesetzgeber laut Stößel der technischen Entwicklung hinterher. In der aktuell gültigen Produkthaftungsrichtlinie gebe es nur bei der Verletzung von Leib, Leben und körperlichem Eigentum einen Anspruch auf Schadensersatz. Für den Verlust von Daten gelte dies nicht. „Wir würden uns wünschen, dass diese Lücke geschlossen wird“, so Stößel. Dass die Gefahr real ist, zeigt der Fall eines Ehepaars aus Göttingen, über den die Hannoversche Allgemeine berichtet hat. Über die Internetverbindung der Eheleute war Geld von einem gehackten Konto abgebucht worden. Zugang hatten sich die Cyberkriminellen über ein Smart-Home-System verschafft. Dank einer Sicherheitslücke in der Software konnten sie die private IP-Adresse ausspähen und für ihren Betrug nutzen. Immerhin gibt es Sicherheitsprüfungen für Smart-Home-Geräte, welche die Hersteller für ihre Produkte in Anspruch nehmen können. Anbieter sind Dienstleister wie etwa der VDE (Verband der Elektrotechnik, Elektronik und Informationstechnik). In diesen wird zum Beispiel geprüft, ob die persönlichen Daten geschützt sind oder ein Gerät zu leicht gehackt werden kann „Das senkt die Gefahr nicht auf null“, sagt Matheus, „aber es reduziert das Risiko eines erfolgreichen Angriffs deutlich.“ In diesen Prüfungen wird laut Matheus auch gefordert, dass ein Gerät eine gewisse Resilienz gegenüber Ausfällen besitzt – also zum Beispiel auch nach einem Stromausfall wieder automatisch funktioniert. Verbrauchern, die sich Smart-Home-Technik zulegen möchten, bietet dies zumindest eine gewisse Orientierung. Und die Entwicklung geht weiter. Laut Matheus hat das Europäische Institut für Telekommunikationsnormen (ETSI) im Juni dieses Jahres eine Norm für IoT-Geräte verabschiedet – also für Geräte im Internet der Dinge, zu denen auch Smart-Home-Technik zählt. Dort werden grundlegende Anforderungen aus Sicht der Informationssicherheit für die Geräte definiert. Dazu zählt etwa, dass Passwörter vom Verbraucher selbst vergeben werden müssen. In der Norm ist auch festgelegt, dass Hersteller dem Nutzer darlegen müssen, wie lange die Software gewartet wird. Updates sorgen schließlich dafür, eine Software auf dem aktuellen Sicherheitsstand zu halten. Doch bisher ist diese Norm für die Hersteller noch nicht bindend . Das Gleiche gilt für die Sicherheitsprüfungen. Anders als bei Hardware mit CE-Kennzeichnung sind diese bei Software bisher nicht verpflichtend. Bliebe noch die Möglichkeit, selbst für die Sicherheit eines Smart-Home-Geräts zu sorgen – so wie man dies als Nutzer etwa auch beim eigenen Smartphone oder Laptop macht. Doch das ist nach Meinung von Matheus schwierig. Die Geräte haben häufig weder Monitor noch Tastatur, mit denen der Anwender sie konfigurieren könnten. „Somit bleibt dem Nutzer häufig nichts anderes übrig, als dem Hersteller zu vertrauen“, sagt Matheus.
Markus Strehlitz