Wie sicher ist das Smart Home?

© Denys Prykhodov - Fotolia.com

Langfinger tippen längst auch auf Tastaturen - trotzdem kein Grund, paranoid zu werden: Die polizeiliche Kriminalstatistik hat für 2012 ca. sechs Millionen Straftaten in Deutschland registriert. Wohnungseinbrüche machen davon mit 144.000 Fällen ca. 2,4 Prozent aus. 2012 wurden zudem 64.000 Fälle von Computerkriminalität gezählt. Das sind zwar 7,5 Prozent mehr als im Vorjahr, aber nur 27.700 davon fallen unter die Kategorie "Ausspähen und Abfangen von Daten und Computersabotage". Dabei handelt es sich fast ausschließlich um Ausspähversuche gegen Gewerbebetriebe. Wobei natürlich nur angezeigte Taten gezählt wurden, nicht unentdeckte.

10 Tipps für ein sicheres Zuhause

Die organisierte Kriminalität setzt immer dort an, wo es etwas zu holen gibt. Das sind eher große Firmenkonten als private Sparbücher. Privatleute brauchen Industriespione in der Regel nicht zu fürchten. Solche Spione wissen allerdings, dass Geschäftsführer oder Mitarbeiter sensible Akten auf dem Laptop mit nach Hause nehmen und den Rechner dann an ein schlecht gesichertes Heimnetzwerk anschließen. Da muss sich der Datenspion nicht die Mühe machen, eine teure Firewall im ausgespähten Unternehmen zu überwinden.

Computerbetrug wird hart bestraft. Übermütige jugendliche Hobbyhacker wissen dies jedoch oft nicht und wollen nur mal versuchen, per WLAN ins Nachbarnetz einzudringen - als Mutprobe. Wenn der Nachbar Anzeige erstattet, kann das jedoch böse enden.

Wer will mein Haus "übernehmen"?

Kriminelle können Aufwand und Nutzen gut abwägen. Es muss schon wirklich etwas zu holen sein, bevor ein Dieb sich die Mühe macht, in die Haustechnik oder das Netzwerk einzudringen, denn der technische Aufwand dafür ist hoch.

Die Kommissare des Bereichs Prävention und Opferschutz der Kreispolizeibehörde Paderborn sind sich der theoretischen Gefahr bewusst, geben aber Entwarnung: "Wohnungseinbrecher kommen durch die Tür, Hauseinbrecher durch ungesicherte Fenster und Terrassentüren. Ein elektronischer Einbruch dagegen hinterlässt Spuren und dauert viel zu lange. Wer die Technik beherrscht, eine Tür per Computer zu öffnen, kann damit mehr Geld verdienen."

Mehr Sicherheit dank Alarmanlagen und Rauchmeldern

Aber vielleicht möchten Kriminelle nur elektronisch herausfinden, ob man im Urlaub ist, um dann konventionell einzubrechen. Bei einem "unsmarten" Haus sind Urlaubsanzeichen unübersehbar: Mülltonnen werden nicht herausgestellt, der Briefkasten quillt über, Rollos verändern sich nicht. Da weiß der Einbrecher auf Spähtour gleich, wo er ungestört zu Werke gehen kann.

Anders bei einem Smart Home: Die Haustechnik startet mit der Urlaubsabwesenheit eine naturgetreue Anwesenheitssimulation. Wenn dann noch die eine oder andere IP-Kamera aufzeichnet, wer das Grundstück betritt, kann man beruhigt in den Urlaub fahren.

Sicheres Zuhause in der Urlaubszeit

Wer könnte sich noch für unser Haus und seine Daten interessieren? Gehen wir einmal davon aus, dass alle Geheimdienste die Möglichkeit haben, Firewalls zu überwinden und sich unsere Daten anzusehen. Wessen Daten sind dann überhaupt von Interesse? Wer ins klassische Raster von linken und rechten Gewalttätern oder Islamisten gehört, muss mit elektronischen Aufklärungsmaßnahmen rechnen. Aber in Deutschland muss ein Richter das Abhören im Einzelfall anordnen.

© Hersteller/Archiv

Wie kommt der Hacker rein?

Der wohl direkteste Weg, Daten abzugreifen, geht über das Heimnetz. Einen Router hat jedes Smart Home. Schließlich wollen wir unser Haus auch von unterwegs per Smartphone steuern können. Vorsicht ist bei Gratis- Apps geboten, die sich das Recht nehmen, auf Ihren gesamten Datenverkehr zuzugreifen. Das Passwort für die Steuerungs-App Ihres intelligenten Zuhauses ließe sich so ziemlich einfach ausspionieren.

Denn das WLAN des Routers macht nicht an der Grundstücksgrenze halt. Ein Hacker könnte sich von der Straße aus einloggen. Heutige Verschlüsselungsmethoden verhindern allerdings zuverlässig den Datenzugriff durch nichtstaatliche Stellen. Dafür müssen sie aber auch genutzt werden. Daher sollten Sie grundsätzlich das Verfahren WPA oder WPA2 verwenden. Das ältere Verfahren WEP ist dagegen in spätestens zwei Stunden per Laptop geknackt.

Benennen Sie Ihr LAN auch nicht nach Ihrem Familiennamen. Die sogenannte SSID sollte keinen Rückschluss auf ihren Betreiber zulassen. "Müller-LAN" ist schnell zu knacken, wenn Sie Müller heißen. Da weiß der Eindringling sofort, wo er suchen muss. WPA-Schlüssel sollten unregelmäßig geändert werden und große sowie kleine Buchstaben, Ziffern und Sonderzeichen enthalten.

Ist der Hacker einmal drin, baut er ein Hintertürchen ein und kann dann nach Belieben ins Netzwerk gelangen. So schaut er etwa beim Homebanking zu und nutzt vielleicht sogar die Webcam. Der Hacker findet dann ganz sicher den Zugang zur Gebäudesteuerung und kann diese aus der Ferne bedienen. Ist die Haustür mit der Steuerung verbunden, könnte er sie öffnen. Er kann die Heizung abstellen, Licht ausschalten, die Tiefkühltruhe auftauen - kurzum: die komplette Haussteuerung steht ihm offen. Dieses Eindringen lässt sich nur durch konsequente Nutzung der vorhandenen Sicherheitseinrichtungen vermeiden.

Attacken auf den Bus

Man kann auch den Gebäudebus selbst angreifen. Bei drahtgebundenen Systemen wie KNX, LCN oder Powerline-Systemen wie X10 reicht dafür der Zugang zu den Leitungen. Liegt das KNX-Kabel oder die Datenader von LCN bis zur Gartenpforte, kann sich der Hacker dort direkt anschließen und das Gebäudenetz auslesen. Das Passwort-Knacken kostet allerdings Zeit.

Bei Funksystemen wie ZigBee, Z-Wave, eQ-3, RWE und EnOcean ist die Situation ähnlich. Zwar funken Sensoren und Aktoren nur dann, wenn sie etwas zu melden haben, dann lässt sich ihr Funktelegramm allerdings mit geeigneten Empfängern registrieren. Ein Ausspäher muss also viel Geduld haben und warten, bis ein Sensor sendet. Die Reichweite überschreitet selten 30 Meter, geeignete Richtantennen können die Signale aber noch aus 100 Metern empfangen.

Doch wessen Signale sind das? Fensterkontakt, Rollo-Aktor, Thermometer? Das ließe sich alles mit entsprechenden Fachkenntnissen herausfinden, allerdings steht dieser immense Aufwand in keinem Verhältnis zum gewünschten Ergebnis. Inzwischen senden die meisten Funk-Bussysteme außerdem sehr gut verschlüsselt.

Vorsicht ist allerdings bei Baumarkt-Billig-Funkschaltern geboten: Wenn Sie drei Steckdosen und einen Sender für 20 Euro bekommen, kann jedes Kind damit das Licht beim Nachbarn ein- und ausschalten.

Interview: "Vom Gesetzgeber kann man gar nichts erwarten"

Im Interview: Martin Rost, Buchautor & Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz SH (ULD)

Gibt es schon Fälle, bei denen Hacker in Gebäudesteuerungen eingebrochen sind? Martin Rost: Ich weiß von keinen Fällen, in denen Hacker in die Gebäudesteuerung von Privatpersonen eingebrochen sind. Im Juni 2010 war es Hackern gelungen, die Steuerung von Urananreicherungsmaschinen im Iran zu übernehmen. Es ist also nachgewiesenermaßen selbst unter ungleich schwierigeren Bedingungen möglich, die Kontrolle über die Technik zu bekommen. Sicherheit hat bei Smart-Home- /AAL-Projekten noch immer eine gegenüber der reinen Funktionalität nachrangige Bedeutung. Wir haben es hier in der Regel mit zumindest einem hohen Schutzbedarf zu tun. Dies technisch umzusetzen ist alles andere als trivial. Wie steht es generell um die Datensicherheit solcher Systeme? Martin Rost: Ein Datenschützer bleibt nicht bei den Problemen der IT-Sicherheit stehen. Vielmehr widmet sich der Datenschutz den noch schwieriger zu beantwortenden Fragen nach den Risiken, die von denjenigen Organisationen ausgehen, die die technischen Systeme ganz legal nutzen. Wenn Dienstleister nun - etwa im Rahmen von Smart Home und AAL - viele intime Privatdaten on Menschen haben, dann weckt das naturgemäß große Begehrlichkeiten, diese Daten auch zu ganz anderen Zwecken zu nutzen. Die AAL-Dienstleister sind insofern die im Alltag weitaus gefährlicheren Angreifer als etwa Hacker. Deshalb muss aus Datenschutzsicht beispielsweise das Problem gelöst werden, wie sich eine Vollüberwachung von hilfebedürftigen Menschen vermeiden lässt, die nicht mehr mit der Würde des Menschen vereinbar wäre, aber trotzdem im Falle eines Notfalls so effektiv wie möglich Hilfe kommt. Sind flächendeckend verfügbare Smart Meters riskant? Martin Rost: In technischer Hinsicht steigert grundsätzlich jede weitere Schnittstelle das Risiko. Das Problem des Zusammenspiels von Kommunikationsschnittstellen für AAL, für eine Hausautomation sowie speziell für Smart Meter wird meines Wissens bislang nirgends wirklich angegangen. Hier wäre der Gesetzgeber gefragt, ein Rahmenwerk für eine sichere und grundrechtskonforme, allumfassende Hausautomation zu schaffen. Allerdings kann man von einem Gesetzgeber, der wie jüngst seine Inkompetenz darlegt und in Basta-Manier sein Desinteresse am Schutz der Bürger in einer erschütternden Weise kundgetan hat, in dieser Hinsicht realistisch gar nichts erwarten.

Smart Meter und AAL

Im Roman "Blackout - Morgen ist es zu spät" von Marc Elsberg dringen kriminelle Hacker über Smart Meters in die Netzwerke ein. Um genau dieses Szenario zu verhindern, hat der Gesetzgeber das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) beauftragt, ein passendes Schutzprofil für Smart Meters zu entwickeln. Dies liegt inzwischen vor und wird die deutschen elektronischen und vernetzten Zähler für Strom, Gas, Wärme und Wasser rundum sicher machen.

Telemonitoring von Gesundheitsdaten zu Hause (Ambient Assisted Living, AAL) wird sich in den nächsten zehn Jahren erheblich ausweiten. Auch dafür muss Sicherheit geschaffen werden. Experten schlagen vor, das BSI-Schutzprofil und das damit verbundene sichere Gateway auch für AAL-Daten zu verwenden. Diese Idee erscheint zumindest auf den ersten Blick pragmatisch, kostenbewusst und sicher zu sein.

Fazit

Allein durch Anwesenheitssimulationen ist ein smartes Haus sicherer als ein konventionelles und bietet zusätzlich viele Möglichkeiten zur Beweissicherung per Kamera. Zudem nutzen die meisten Einbrecher andere Wege als elektronische, um ins Haus zu kommen. Trotzdem sollte man alle Sicherheitsmöglichkeiten von Router und Home-Server nutzen.

Vorsicht ist bei kostenlosen Apps und Cloud-Lösungen von Betreibern außerhalb des deutschen Rechtsraums geboten. Kabelsysteme sind dabei nur bedingt sicherer als Funksysteme. Insbesondere sollte man darauf achten, keine Buskabel bis zur Grundstücksgrenze zu legen.

Alles in allem muss man sich klar darüber sein, dass es den perfekten Schutz auch im Smart Home vermutlich nie geben wird.