Rauchmelder schlagen via Internet Alarm, ein Einbruch wird per SMS gemeldet, und Licht und Heizung werden via Smartphone-App gesteuert. Smart-Home-Komponenten vernetzen das Zuhause und bieten immer mehr intelligente Anwendungen. Mit den technischen Möglichkeiten zieht nun auch die Nachfrage nach diesen Lösungen an. Marktforscher erwarten einen weltweiten Umsatz mit Smart-Home-Produkten von über 15 Milliarden Dollar bis zum Jahr 2015. Die Technologie ist auf dem Vormarsch, und für den Handel ist es wichtig, bei diesem Thema mit Beratungskompetenz und Know-how zu punkten und sich zu positionieren. Dabei sollten Reseller gerade auf den Aspekt Sicherheit bei ihrer Beratung und der Auswahl passender Lösungen besonderen Wert legen. Denn alle Komponenten, die einen Zugang zum heimischen Netz und vielleicht dadurch Zugriff auf das Internet haben, sind potentiell angreifbar. Das bedeutet aber nicht, dass sie auch potentiell unsicher sind.
Sicherheitskonzept integriert
Der Smart-Home-Test des AV-Test-Instituts, einem Anbieter für Services im Bereich IT-Sicherheit und Anti-Viren-Forschung, belegt, dass einige Anbieter ihre Geräte nicht blindlings auf den Markt geworfen, sondern ein Sicherheitskonzept mit eingearbeitet haben. Jedoch kann leider kein Freifahrtschein gegeben werden: Nur drei von sieben Kits sind gegen Angriffe gut gesichert, weitere vier sind gegen interne und zum Teil auch gegen externe Angriffe schlecht geschützt. Das bedeutet: Melden sich ungeschützte Smart-Home-Geräte im Internet, kann das heimische Netz durch die Hintertür gekapert werden.
Geprüft wurden Smart-Home-Kits, die primär durch grosse Firmen vertrieben oder auch exklusiv angeboten werden. Es haben zwar nicht alle Kits die gleichen Aufgaben in einem Haushalt, aber vergleichbar sind sie dennoch. Getestet wurden iConnect von eSaver, Taphome von Euroistyle, Gigaset Elements von Gigaset, iComfort von REV Ritter, RWE Smart Home von RWE, Qivicon von Telekom und Xavax Max! von Hama.
Leistungen und Gefahren der Sets
Die Kits haben diverse Aufgaben in einem smarten Haushalt und lassen sich folgendermassen aufteilen:
• Kontrollsystem für Strom, Heizung und Sicherheit: RWE Smart Home und Qivicon
• Überwachungssystem für Fenster, Türen und Wohnräume: Gigaset Elements
• Kontrollsystem für Schaltsteckdosen: iComfort, Taphome, iConnect
• Schaltsystem für Licht, Heizung und Strom: Xavax Max!
Bei den verschiedenen Aufgaben lässt sich ein Horrorszenario bei der Übernahme von aussen schnell aufzeigen: Man könnte zum Beispiel eine gekaperte Heizungssteuerung so herunterregeln, dass im tiefsten Winter die Wasserleitungen einfrieren und platzen würden. Doch da Angreifer in der Regel hinter Geld oder wertvollen Daten her sind, sind andere Szenarien wahrscheinlicher. So lässt sich etwa anhand der aktuellen An- und Abschaltpläne der Geräte sehen, wann die Bewohner eines Hauses da sind und wann nicht. Lässt sich dann auch noch die Sicherheitsüberwachung für Fenster und Türen abschalten, hat ein Einbrecher leichtes Spiel.
Ebenfalls wahrscheinlich: Alle verbundenen Geräte greifen über das heimische Netz weitere Geräte an und nehmen sie als Geisel, sperren also den Zugriff darauf. Erst gegen eine Zahlung wird die Sperre vermeintlich aufgehoben.
Auf der Suche nach Schwachstellen
In der Sicherheitsuntersuchung fahndeten die Tester nach Schwachstellen. Daher untersuchten sie jedes Starter-Kit auf dessen Schutzkonzept. Dabei lag das Augenmerk auf der Verschlüsselung bei jeglicher Kommunikation, einer aktiven Authentifizierung, der Manipulation durch Externe und auf der gesicherten Fernsteuerung. Schliesslich lassen sich die Sets entweder per Smartphone App oder via Browser per WLAN oder aus dem Web ansprechen.
Kriterium: verschlüsselte KommunikationBei der Nutzung im lokalen Netzwerk zur Steuerung und bei einem Firmware-Update sollte die Kommunikation verschlüsselt erfolgen. Ebenso bei der Steuerung der Komponenten via Internet oder dem direkten Firmware-Update via Web.
Die Angebote Gigaset Elements, RWE Smart Home, iConnect und Qivicon erledigen die Kommunikation ohne Sicherheitsmanko. Die Konzepte von iComfort, Taphome und Xavax Max! versagen hier – es findet keine gesicherte Kommunikation statt.
Kriterium: aktive Authentifizierung
Selbst eine eigentlich zu erwartende Authentifizierung beim Zugriff auf die Geräte ist kein Standard bei den Produkten. Das Kit iComfort verlangt weder beim internen Zugriff noch über das Web eine Authentifizierung.
Die Sets iConnect und Xavax Max! verlangen zwar beim Zugriff via Web eine Authentifizierung, aber intern gibt es keinerlei Barrieren. Das Set von Taphome verlangt zwar einen Benutzernamen und ein Passwort, aber das ist fast wertlos, da die Kommunikation unverschlüsselt abläuft und so jeder die Zugangsdaten abgreifen kann. Nur die Sets Gigaset Elements, RWE Smart Home und Qivicon machen einen fehlerfreien Job.
Kriterium: Manipulation durch Externe
Da einige Geräte nicht verschlüsselt kommunizieren, lässt sich eventuell Schadcode injizieren oder den Geräten eine verseuchte Firmware unterschieben, wie die Untersuchung von AV-Test offenbart. In beiden Fällen hätten Hacker schnell Zugriff auf die Geräte und damit eine fest installierte Hintertür in das heimische Netzwerk. Die Sets iConnect und Xavax Max! zeigten im Test genau diese Schwächen. Alle anderen Sets hatten das Problem nicht.
Kriterium: gesicherte Fernsteuerung
Der Fernzugriff ist gerade beim Smart-Home-Konzept eine wichtige Sache. Schliesslich wollen Nutzer ihre Komponenten via Smartphone oder Browser steuern. Wieder fielen im Test die beiden Kandidaten iConnect und Xavax Max! wegen deutlicher Schwächen durch. Die Kits von iComfort und Taphome hingegen sind nicht gefährdet, da sie keinerlei Fernsteuerung bieten.
Die drei Sets Gigaset Elements, RWE Smart Home und Qivicon arbeiten auch in diesem Bereich gesichert und belegen damit insgesamt ein fehlerfreies Schutzkonzept.
Drei Smart-Home-Sets überzeugen
Ein unsicheres Smart-Home-Kit kann für das heimische Netzwerk zur Sicherheitsfalle werden. Daher ist es unerlässlich, dass die Produkte ein hohes Mass an Sicherheit erfüllen. Leider gibt es noch keinen Security-Standard, wie er bei anderen Netzwerkgeräten, etwa bei WLAN oder Routern, bekannt ist. Die Sets iComfort und Taphome sind vor Angriffen im eigenen Netz ungeschützt. Die Kits iConnect und Xavax Max! sind gegen Angriffe im eigenen Netz und von aussen recht machtlos. Diese Hersteller müssen ihre Produkte in Sachen Sicherheit überarbeiten, um sie auf einen guten Stand zu bringen.
Die Sets Gigaset Elements, RWE Smart Home und Qivicon boten im Test eine gute Absicherung vor An- und Eingriffen. Die Ergebnisse der Untersuchung lassen kein anderes Fazit zu, als dass im Moment nur diese aktuell empfehlenswert sind. Die drei Produkte erhielten von AV-Test das Zertifizierungssiegel, das sie fortan weltweit führen dürfen und das Händlern und Verbrauchen Orientierung gibt.
Katharina Scheurer ist freiberufliche Autorin und Kommunikationsberaterin und arbeitet seit über zwölf Jahren im IT-B2B-Sektor.
