Die Hacker kommen durch den Kühlschrank

Von Spähern und Spannern

08.07.2014
Von Thomas Kuhn

Geringes Bewusstsein für Risiken

Dem großen Interesse auf Käuferseite steht allerdings bei vielen Anbietern ein offenbar geringes Bewusstsein für die Risiken der Vernetzung gegenüber: Beispiele wie das von Insteon zeigten, so moniert Maik Morgenstern, "dass es manchem Hersteller zunächst wichtiger ist, Smart-Home-Technik schnell auf den Markt zu bringen, erst später denkt er an Sicherheit". Der 31-jährige Diplom-Ingenieur ist technischer Leiter beim Magdeburger IT-Sicherheitsberater AV-Test. Das Unternehmen überprüft für Softwarehersteller deren Schutzprogramme, Virenfilter und Firewalls auf Sicherheitslücken.

Basierend auf diesem Know-how, hat AV-Test exklusiv für die WirtschaftsWoche sieben aktuell in Deutschland verfügbare Smart-Home-Systeme auf Schwachstellen gegen Zugriffe von Fremden, Hacker-Attacken oder den Einbruch von Online-Spionen getestet.

Mit sehr durchwachsenen Ergebnissen: Während die Magdeburger drei der jeweils 90 bis 300 Euro teuren Einsteigerpakete eine "gute" bis "sehr hohe" Sicherheit gegen Hacker-Angriffe attestieren, bieten die vier übrigen Systeme nur "niedrigen" oder gar nur "sehr niedrigen" Schutz gegen Attacken.

Sehr hohen Schutz bieten sowohl Elements, das Überwachungssystem der Ex-Siemens-Tochter Gigaset, als auch das Smart-Home-Paket des Energieversorgers RWE. Das ermöglicht unter anderem, Licht, Heizung und Bewegungsmelder per App und über ein Online-Portal zu steuern. Mit "Gut" schneidet das Qivicon-System ab, das die Deutsche Telekom mit Partnern vertreibt. "Manipulationen durch Externe sind nach dem aktuellen Stand der Technik ausgeschlossen, der Durchgriff auf die Geräte im Haus nicht möglich", urteilen die AV-Tester.

Viele Unsichere Systeme

Und sie verweisen auf die Herkunft der Technik: "Es ist augenfällig, dass alle weitgehend sicheren Systeme in Deutschland konzipiert wurden", sagt Morgenstern. Offensichtlich spiegele sich das deutsche Verständnis vom Schutz der Privatsphäre auch in der Sicherheitsphilosophie wider.

Gigaset, RWE und Qivicon betonen denn auch, spezialisierte Dienstleister - eine Art guter Hacker - vor dem Marktstart wochenlang auf ihre Produkte angesetzt zu haben. "Auch Technik von Partnern haben wir erst nach ähnlichen Prüfungen freigegeben", sagt RWE-Manager Harald Fletcher. Um die Systeme gegen Zugriffe durch ausländische Spitzel zu sichern, laufen die Web-Dienste von Qivicon und Gigaset auf deutschen Servern der Telekom-Tochter T-Systems.

Solch ein Gefahrenbewusstsein fehlt den übrigen Systemen nach Ansicht der Tester. Dort passten die europäischen Anbieter in Fernost entwickelte Hard- und Software allenfalls an den hiesigen Markt an, hätten aber kaum Einfluss auf die Sicherheit.

"Teils nutzten Hersteller nicht einmal etablierte Standards zur Verschlüsselung der Verbindung", wundert sich Morgenstern. Zum Teil müssen sich Benutzer, wenn sie auf die Module zugreifen, nicht einmal authentifizieren - ähnlich wie bei Thomas Hatleys Insteon-System. Und selbst wenn das bei der Fernsteuerung übers Internet vorgesehen ist, wie beim Xavax-Max-System von Hama, werde das Passwort unverschlüsselt gesendet, kritisiert der IT-Experte. "Da kann jeder leidlich versierte Hacker mitlesen."

Zur Startseite