Smart Home ≠ Safe Home

Ohne zertifizierte Gateways sind nur unsichere Smart-Home-Anwendungen auf dem Markt.

Als im April das erste Smart-Meter-Gateway die Baumusterprüfbescheinigung der PTB erfolgreich vorweisen konnte, schienen die letzten Schritte zur Markterklärung kurz bevor zu stehen. Gut eineinhalb Monate später hat jedoch immer noch kein Gateway-Hersteller die abschließende Common Criteria-BSI-Zertifizierung erfolgreich durchlaufen. Die letzten Meter gestalten sich also nicht als Sprint, sondern als ein Schneckenrennen. Das heißt, dass Stadtwerke und Versorger weiterhin keine innovativen Produkte, die durch die sichere Kommunikationsanbindung über das Gateway besonders vertrauenswürdig wären, in ihr Portfolio aufnehmen können. Dies ist aus Sicht der EVU bedauerlich, da es mittlerweile eine Vielzahl an Produkten auf dem Markt gibt, die Technikbegeisterte bereits heute nutzen wollen. Gerade Anwendungen im Bereich Smart Home sind besonders gefragt. Hier ist jedoch zu beobachten, dass ein Großteil dieser Produkte v.a. in Bezug auf den Datenschutz und Datensicherheit erhebliche Schwachstellen besitzt. So brachte jüngst eine vom Bildungsforschungsministerium beauftragte Studie* hervor, dass viele „smarte“ Produkte im Bereich Beleuchtung, Videokameras und Sprachassistenten keine, oder zumindest keine deutsch-sprachige, Datenschutzerklärung mit sich bringen.

Insgesamt wurden von verschiedenen deutschen Universitäten aus Münster, Hannover, Karlsruhe, Dortmund und München sowie dem Berliner Wissenschaftszentrum für Sozialforschung über 20 Smart-Home-Anwendungen von Herstellern wie Amazon, Bosch, Google, Osram oder Philips unter die Lupe genommen. Alle untersuchten Produkte sind bereits seit einiger Zeit auf dem deutschen Markt und sind damit bereits in einigen Haushalten vertreten.

Besonders kritisch ist zu sehen, dass beispielsweise bei Sprachassistenten und smarten Fernsehgeräten Benutzerprofile angelegt werden, die potentiell empfindliche Rückschlüsse auf die Lebensgewohnheiten der Anwender zulassen. Sollten unberechtigte Dritte sich Zugang zu den Daten verschaffen, können diese in die tiefste Privatsphäre der Kunden eindringen. Um dies zu verhindern, wurde bei der Planung und dem Design von den Smart-Meter-Gateways in Deutschland penibel darauf geachtet, dass die Daten nicht sekundenscharf gespeichert werden und nur an die explizit Berechtigten über eine komplexe und durch Kryptographie gesicherte Schnittstelle versandt werden. Die hohen Sicherheitsanforderungen scheinen den EVU nun aber zum Verhängnis zu werden, da die Hersteller der unsicheren Produkte einen Erstanbieter-Vorteil haben, sich also als Anbieter der ersten Stunde bereits erhebliche Marktanteile sichern können. So könnten im schlechtesten Fall Pfadabhängigkeiten und ein Lock-In-Effekt der inferioren Produkte entstehen: Kunden, die bereits ein Smart-Home-Produkt haben, werden nur begrenzt bereit sein, den Anbieter zu wechseln, obwohl sie dafür ein deutlich sichereres Produkt erhalten könnten.

Ähnlich diesem Szenario behauptet die Studie, dass der Markt derzeit darin versagt, vertrauenswürdige Smart-Home-Anwendungen bereitzustellen. Demnach sei es bei vielen dieser Anwendungen möglich, dass Kriminelle diese mit geringem Aufwand, voll-automatisiert und in großen Mengen kompromittieren könnten. Damit stellen diese Anwendungen als Teil von Botnetzen, also Netzwerke infizierter, internetfähiger Geräte mit automatisierten Schadprogramme, eine direkte Gefahr für Dritte dar. Spezifisch könnten dadurch bspw. massenhaft baugleiche smarte Produkte wie Kameras oder Fernsehgeräte durch einen Angreifer unbrauchbar gemacht werden. konsekwent berichtete bereits über ähnliche Cyber-Attacken in der Energiewirtschaft und wird Ihnen auch weiterhin die aktuellen Entwicklungen zusammenfassen.

*Die Studie steht hier zum kostenlosen Download zur Verfügung.