Categories: News

Smart-Home-Kits im Sicherheits-Check

Rauchmelder geben via Internet Alarm, ein Einbruch wird per SMS gemeldet und Licht und Heizung via Smartphone-App gesteuert. Smart-Home-Komponenten vernetzen das Zuhause und bieten immer mehr intelligente Anwendungen. Mit den technischen Möglichkeiten zieht nun auch die Nachfrage nach diesen Lösungen an. Marktforscher erwarten einen weltweiten Umsatz mit Smart-Home-Produkten von über 15 Milliarden Dollar bis zum Jahr 2015. Laut einer Studie von Fittkau & Maaß Consulting sind 78 % der Deutschen an der Smart Home-Technik interessiert. Die Technologie ist auf dem Vormarsch und für den Handel ist es wichtig bei diesem Thema mit Beratungskompetenz und Know-how zu punkten und sich zu positionieren. Die Sicherheit ist bei diesen Konzepten ein neuralgischer Punkt, der in jedem Beratungsgespräch besprochen werden sollte. Der unabhängige Sicherheitsexperte AV-TEST hat 7 Smart-Home-Starter Kits einem großen Security-Test unterzogen und das Ergebnis zeigt ein sehr durchwachsenes Bild. Bei 4 von 7 Sets sind dringend Nachbesserungen erforderlich. Ein Zertifikat für ihr Schutzkonzept konnte AV-TEST nur 3 Produkten ausstellen.

Die Grundidee hinter der Smart-Home-Technik ist gut: In Zukunft sollen sich alle Komponenten in einem Haushalt überwachen und steuern lassen. Alle Komponenten, die einen Zugang zum heimischen Netz und vielleicht dadurch Zugriff auf das Internet haben, sind potentiell angreifbar. Das bedeutet aber nicht, dass sie auch potentiell unsicher sind.

Der erste große Smart Home-Test des AV-TEST-Instituts belegt, dass einige Anbieter ihre Geräte nicht blindlinks auf den Markt geworfen, sondern ein Sicherheitskonzept mit eingearbeitet haben. Jedoch kann leider kein Freifahrtschein gegeben werden: Nur 3 von 7 Kits sind gegen Angriffe gut gesichert, weitere 4 sind gegen interne und zum Teil externe Angriffe schlecht geschützt. Das bedeutet: melden sich ungeschützte Smart-Home-Geräte im Internet, kann das heimische Netz durch die Hintertür gekapert werden.

Im Test waren Smart-Home-Kits, die primär durch große Firmen vertrieben oder auch exklusiv angeboten werden. Es haben zwar nicht alle Kits die gleichen Aufgaben in einem Haushalt, aber vergleichbar sind sie dennoch:
• iConnect von eSaver (erhältlich bei z.B. Brodos, N.T.P.)
• tapHome von EUROiSTYLE (erhältlich bei z.B. isupplies.de, Software Partner GmbH.)
• Gigaset Elements von Gigaset (erhältlich bei z.B. ALSO, NTplus, ENO, Herweck, Michael Telecom, Komsa)
• iComfort von REV Ritter (erhältlich z.B. bei DGH Großhandel)
• RWE Smart Home von RWE (erhältlich bei z.B. ALSO, NTplus)
• QIVICON von Telekom (erhältlich bei z.B. Herweck)
• XAVAX MAX! von Hama (erhältlich bei z.B. Hama oder Xavax.de)

Das leisten die Sets und das sind ist die Gefahren

Die Kits haben diverse Aufgaben in einem smarten Haushalt und lassen sich folgendermaßen aufteilen:
• Kontrollsystem für Strom, Heizung & Sicherheit:
RWE Smart Home und QIVICON
• Überwachungssystem für Fenster, Türen und Wohnräume:
Gigaset Elements
• Kontrollsystem für Schaltsteckdosen:
iComfort, tapHome, iConnect
• Schaltsystem für Licht, Heizung und Strom:
XAVAX MAX!
Bei den verschiedenen Aufgaben lässt sich ein Horror-Szenario bei der Übernahme durch außen schnell aufzeigen: man könnte zum Beispiel eine gekaperte Heizungssteuerung so herunterregeln, dass im tiefsten Winter die Wasserleitungen einfrieren und platzen würden.
Doch da Angreifer in der Regel hinter Geld oder wertvolle Daten her sind, sind folgende Szenarien wahrscheinlicher: anhand der aktuellen An- und Abschaltpläne der Geräte lässt sicher ersehen, wann die Bewohner eines Hauses da ist und wann nicht. Lässt sich dann auch noch die Sicherheitsüberwachung für Fenster und Türen abschalten, hat ein Einbrecher leichtes Spiel.
Ebenfalls wahrscheinlich: alle verbunden Geräte greifen über das heimische Netz weitere Geräte an und nehmen sie als Geisel – sperren den Zugriff darauf. Erst gegen eine Zahlung, wird die Sperre vermeintlich aufgehoben. In dieser Art arbeitet etwa der BKA-Trojaner und sperrt PCs samt den darauf befindlichen Daten.

Der Test: Auf der Suche nach den Schwachstellen

In der Sicherheitsuntersuchung fahndeten die Tester nach den Schwachstellen. Daher untersuchten sie jedes Starter-Kit auf dessen Schutzkonzept. Dabei lag das Augenmerk auf der Verschlüsselung bei jeglicher Kommunikation, einer aktiven Authentifizierung, der Manipulation durch Externe und auf der gesicherten Fernsteuerung. Schließlich lassen sich die Sets entweder per Smartphone App oder via Browser per WLAN oder aus dem Web ansprechen.

Kriterium: Verschlüsselte Kommunikation
Bei der Nutzung im lokalen Netzwerk zur Steuerung und bei einem Firmware-Update sollte die Kommunikation verschlüsselt erfolgen. Ebenso bei der Steuerung der Komponenten via Internet oder dem direkten Firmware-Update via Web.
Die Sets Gigaset Elements, RWE Smart Home, iConnect und QIVICON erledigen die Kommunikation ohne Sicherheitsmanko. Die Konzepte von iComfort, tapHome und XAVAX MAX! versagen hier – es findet keine gesicherte Kommunikation statt.

Kriterium: Aktive Authentifizierung
Selbst eine eigentlich zu erwartende Authentifizierung beim Zugriff auf die Geräte ist kein Standard bei den Produkten. Das Kit iComfort verlangt weder beim internen noch beim Zugriff via Web eine Authentifizierung. Die Sets iConnect und XAVAX MAX! verlangen zwar beim Zugriff via Web eine Authentifizierung, aber intern gibt es keinerlei Barrieren.
Das Set von tapHome verlangt zwar einen Benutzernamen und ein Passwort, aber das ist fast wertlos, da die Kommunikation unverschlüsselt abläuft und so jeder die Zugangsdaten abgreifen kann. Nur die Sets Gigaset Elements, RWE Smart Home und QIVICON machen einen fehlerfreien Job wie bereits beim Punkt verschlüsselte Kommunikation.

Kriterium: Manipulation durch Externe
Da einige Geräte nicht verschlüsselt kommunizieren, lässt sich eventuell Schadcode injizieren oder noch perfider: den Geräten eine verseuchte Firmware unterschieben. In beiden Fällen hätten Hacker schnell Zugriff auf die Geräte und damit eine fest installierte Hintertür in das heimische Netzwerk. Die Sets iConnect und XAVAX MAX! zeigten im Test genau diese Schwächen. Alle anderen Sets hatten das Problem nicht.

Kriterium: Gesicherte Fernsteuerung
Der Fernzugriff ist gerade beim Smart-Home-Konzept eine wichtige Sache. Schließlich wollen Nutzer ihre Komponenten via Smartphone App oder Browser steuern. Wieder fielen im Test die beiden Kandidaten iConnect und XAVAX MAX! wegen deutlicher Schwächen durch. Die Kits von iComfort und tapHome sind nicht gefährdet, da sie keinerlei Fernsteuerung bieten.
Die drei Sets Gigaset Elements, RWE Smart Home und QIVICON arbeiten auch in diesem Bereich gesichert und belegen damit insgesamt ein fehlerfreies Schutzkonzept.

Das Fazit: 3 mal sicher versus 4 mal unsicher
Hohe Sicherheit ist Trumpf! Ein unsicheres Smart-Home-Kit kann für das heimische Netzwerk Securityfalle werden. Daher ist es unerlässlich, dass die Produkte ein hohes Maß an Sicherheit erfüllen. Leider gibt es noch keinen Sicherheits-Standard, wie er etwa bei anderen Netzwerkgeräten, etwa bei WLAN oder Routern, der Fall ist.

Die Sets iComfort und tapHome sind vor Angriffen im eigenen Netz ungeschützt. Die Kits iConnect und XAVAX MAX! sind gegen Angriffe im eigenen Netz und von außen recht machtlos. Diese Hersteller bzw. Vertreiber müssen ihre Produkte in Sachen Sicherheit überarbeiten, um sie auf einen guten Stand zu bringen.

Die Sets Gigaset Elements, RWE Smart Home und QIVICON boten im Test eine gute Absicherung vor An- und Eingriffen. Die Ergebnisse der Untersuchung lassen kein anderes Fazit zu, als dass im Moment nur diese aktuell empfehlenswert sind. Die drei Produkte erhielten von AV-TEST das Zertifizierungssiegel, das sie fortan weltweit führen dürfen und das Händlern und Verbrauchen Orientierung gibt.

Smart Home – dort geht die Reise hin

Bei keinem der Sets ist momentan die Übertragung von Bild und Ton Teil der Ausstattung. Die Tester haben aber beim umfangreichen Test bereits die Vorbereitungen von Schnittstellen für Webcams mit Mikrofon gefunden. Auch der Zugriff auf passend ausgestatte Küchengeräte wie ein Kühlschrank oder eine Kaffeemaschine wird nicht lange auf sich warten lassen. Schließlich ist die Technik dazu leicht in der Lage. Die Nachfrage nach Smart Home-Lösungen steigt, das Marktpotential ist gewaltig. Laut einer aktuellen Studie des Nürnberger Marktforschungsinstituts GfK von 2014 haben rund 40 Prozent der deutschen Haushalte ein konkretes Interesse an der Vernetzung ihres Eigenheims – im Besonderen gilt die Nachfrage Lösungen zum Energiesparen und zur Sicherheit. Der Gedanke, dass ein Fremder auf alle vernetzten Geräte Zugriff bekommen kann, löst bei manchem Nutzer kalte Schauer aus und führt gerade das Bedürfnis nach neuen Lösungen für mehr Sicherheit im Eigenheim ad absurdum. Auf den Aspekt Sicherheit sollten Reseller deshalb bei ihrer Beratung und der Auswahl passender Lösungen besonderen Wert legen.

Dr. Jakob Jung

15 Jahre Erfahrung in der Channel Berichterstattung. Seit Oktober 2010 tätig für ChannelBiz. Vorherige Stationen CRN, Informationweek und Heise Resale sowie ZDNet (USA).

Recent Posts

5 Autotypen im Überblick – Worauf man achten sollte und wie man sie finanziert

Die Entscheidung für den richtigen Autotyp gleicht der Wahl eines treuen Begleiters im Alltag. Ob…

4 Monate ago

Online-Shopping und mehr: Wie Bewertungsportale Vertrauen schaffen

Bewertungsportale spielen für viele Konsumenten eine zentrale Rolle bei der Entscheidungsfindung. Sie bieten Einblicke in…

6 Monate ago

CIAM: Der Schlüssel zu digitalem Vertrauen und Umsatzsteigerung für Reseller

Mit fortschrittlichen Customer Identity und Access Management (CIAM) Lösungen definiert Nevis Security neue Standards in…

9 Monate ago

Highend E-Commerce-Projekte realisieren: Worauf es hinsichtlich der Konzeption ankommt

Im digitalen Zeitalter ist der Online-Handel zu einem der wichtigsten Wirtschaftszweige geworden.

9 Monate ago

Partner-geführt ist besser als Partner-mit

Partnerschaften sind am effektivsten (und angenehmsten), wenn sie auf einer Grundlage von gegenseitigem Respekt und…

2 Jahre ago

Sinequa wird adesso-Technologiepartner im Bereich Enterprise Search

adesso baut derzeit mit Hilfe des führenden Enterprise-Search-Anbieters Sinequa ein neues Competence Center für Enterprise…

2 Jahre ago