Smart Home – IT-Experte sieht existenzgefährdende Sicherheitslücken

„Das Bewusstsein ist nach wie vor nicht groß für Risiken und Gefahren bei Smart Home und IoT“, erklärt ein Cybersicherheitsexperte. Was man dennoch tun kann, erklärt er im Interview.
Die Smart-Home-Technologie hält Einzug in die Wohnungen.
Die Smart-Home-Technologie hält Einzug in die Wohnungen.Foto: iStock
Von 13. Oktober 2022

Wir sprachen mit dem Gründer und Geschäftsführer der deutschen Firma VTRUST, Bastian Heilos, über die Sicherheit im Bereich Smart Home. Die Firma betreibt Produktentwicklung in Form von Software- und Hardwareentwicklung und ist spezialisiert auf Sicherheits- und Datenschutz.

Ihr geschäftsführender Partner bei VTRUST, Herr Steigerwald, sprach 2018 bei einem Vortrag sehr detailliert über die Sicherheitsrisiken bei chinesischen Smart-Home-Produkten z. B. der Firma Tuya. Sein Bericht hat große Wellen in der Computer- und Cybersecurity-Community geschlagen. Was hat sich seitdem geändert?

Nun ja, Tuya hat deutlich mehr in IT-Sicherheit und Datenschutz investiert, sich hier diverse Technologiepartner gesucht und auch die PR-Tätigkeiten in diesen Bereichen deutlich erhöht. Inwieweit das zu besseren oder sichereren Produkten geführt hat, kann man global nicht sagen. Dafür müsste man sich diese Produkte im Einzelfall genauer ansehen.

Der Vortrag selbst hat schon den ein oder anderen wachgerüttelt, sowohl privat als auch Unternehmen. Aber der Effekt lässt mit der Zeit nach. Deshalb ist die Aufklärungsarbeit und Sensibilisierung, wie wir sie zum Beispiel auch bei VTRUST durch unsere Security Research und unsere Veröffentlichungen betreiben, nach wie vor sehr wichtig, damit die Themen IT-Sicherheit und Datenschutz weiter im Fokus bleiben.

Das BSI erklärte mir auf Anfrage: „Dem BSI sind die von Ihnen genannten IT-Sicherheitsvorfälle aus dem Jahr 2018 bekannt. Erkenntnisse daraus sind in den vom BSI maßgeblich mitgestalteten Sicherheitsstandard ETSI EN 303 645 eingeflossen.“ Was halten Sie vom ETSI-Standard?

Grundsätzlich ist der ETSI-Standard zu begrüßen, auch wenn er aus unserer Sicht umfangreicher gestaltet sein könnte. Das IT-Sicherheitskennzeichen kann ein Anhaltspunkt für die Verbraucher sein und Vertrauen aufbauen. Allerdings müssten sich dann die Verbraucher auch damit auseinandersetzen, was dieser Standard oder das Kennzeichen (und andere auch) überhaupt abdecken.

Wir bei VTRUST begrüßen Standardisierung, aber diese ist nur ein Teil einer vernünftigen IT-Sicherheits- und Datenschutzstrategie. Zu solch einer gehören sicherlich auch kontinuierliche Tests der Produkte aus Angreifer- oder Hackerperspektive (wie es zum Beispiel die VTRUST tut) und das Zurückfließen dieser Erkenntnisse in die Entwicklung und Produktion solcher Produkte.

Was sind die größten Gefahren in Bezug auf IoT [Internet der Dinge], die Sie aus sicherheitstechnischer Sicht sehen?

Die größte Gefahr, die wir sehen, ist, dass neben den vielen Vorteilen vernetzter Technologie die Gefahren und „Nebenwirkungen“ übersehen oder falsch eingeschätzt werden. Hier mangelt es ganz klar an Bewusstsein zum einen bei den Kunden/Konsumenten, aber auch bei den Herstellern und Inverkehrbringern smarter Produkte oder Systeme. Hier ist vielen nicht klar, welche Auswirkungen vor allem leichtsinnige, teils aus Unwissenheit entstandene Sicherheitslücken haben, die teils existenzgefährdende Ausmaße annehmen können.

Aus sicherheitstechnischer Sicht sind das vor allem unbemerkter Datendiebstahl (personenbezogene, aber auch interne Unternehmensdaten), Ausfälle von sicherheitskritischer Infrastruktur bis hin zu entstehenden Abhängigkeiten, unter anderem Erpressbarkeit. Größter Knackpunkt vernetzter Technologie ist, dass selbst eine Sicherheitslücke in einem vermeintlich harmlosen, vernachlässigten Netzwerkteilnehmer (zum Beispiel eine smarte Glühbirne) das gesamte System in Gefahr bringen kann, wie Herr Steigerwald in seinem Vortrag sehr deutlich aufgezeigt hat.

Wie hoch schätzen Sie das Bewusstsein bei Privatanwendern als auch bei Unternehmen für Risiken und Gefahren bei Smart Home und IoT ein, gerade in Bezug auf Datenverbindungen mit chinesischen Servern?

Das Bewusstsein ist nach wie vor nicht groß, zumindest in der breiten Masse, oder es ist den Konsumenten aufgrund fehlender Alternativen schlicht egal. Oft fehlt aber Transparenz oder auch technisches Verständnis. Es ist ganz oft gar nicht oder nicht direkt ersichtlich, welche Technologien und welche Player an einem Produkt beteiligt sind, d. h. vielen ist gar nicht klar, dass chinesische Technologie oder chinesische Server beteiligt sind.

Wobei man auch aufpassen muss – nicht alles aus China ist per se schlecht oder gefahrenbehaftet. Im Gegenteil, China ist im Bereich IoT teils ein Vorreiter, was Innovation und Time-To-Market angeht.

Falls das Bewusstsein in Ihren Augen niedrig ist in Bezug auf die Risiken und Gefahren bei Smart Home und IoT, woran sehen Sie das (wie zeigt sich das)?

Zum einen erfahren wir das täglich in unseren Gesprächen mit Konsumenten smarter Technologie, aber auch mit potenziellen Kunden, die teils sehr schockiert sind, wenn man ihnen die ein oder andere Sache transparent und verständlich erklärt oder zeigt. Zum anderen sehen wir das daran, dass die Bereitschaft, proaktiv in die Sicherheit der eigenen Produkte und Systeme zu investieren, nach wie vor nicht groß ist. Oft kommen wir mit unseren Kunden erst dann ins Geschäft, wenn das Kind bereits in den Brunnen gefallen ist und bereits ein Sicherheits- oder Datenschutzvorfall vorliegt.

Des Weiteren zeigen das die hohen Absatzzahlen smarter Produkte, die teils haarsträubende Sicherheitslücken aufweisen. Der Markt für smarte Technologie wächst immer weiter trotz der vielen Berichte über teils gravierende Sicherheitslücken.

Wie sehr sehen Sie die Politik oder Wirtschaft gefordert, (durch zum Beispiel gesetzliche Standards oder gemeinsame Normen oder Sicherheitszertifikate) Missbrauch und Risiken vorzubeugen oder sie zu minimieren?

Natürlich sind auch Politik und Wirtschaft gefordert, hier Standards oder Normen zu etablieren beziehungsweise Aufklärungsarbeit zu leisten. Allerdings muss man auch ehrlich sagen, dass die smarte Technologie quasi Politik und Wirtschaft überrollt hat. Globalisierter Handel und immer kürzere Time-to-Market-Zeiten tun da ihr Übriges. Sie können diesen stark wachsenden globalisierten Markt quasi kaum kontrollieren, das heißt am Ende muss der Konsument entscheiden und abwägen, wenn er es denn kann.

Was kann der Endverbraucher tun, um die Risiken und Gefahren seitens Smart Home und IoT zu minimieren?

Er kann sich informieren (zum Beispiel beim BSI) und sich an möglichst namhafte Hersteller halten, die zwar durchaus ihren Preis haben, aber die auch greifbar und ansprechbar sind. Vor allem haben diese namhaften Unternehmen normalerweise etwas zu verlieren und setzen somit meist auf ein höheres Sicherheitslevel.

Ansonsten kann er natürlich die transparente Beratung im Fachhandel suchen und darauf achten, dass er Standard-Passwörter vermeidet, die smarten Geräte in einem eigenen Netzwerkbereich betreibt und wo möglich Sicherheitsupdates regelmäßig durchführt.

Sonst bleibt dem Endverbraucher nur übrig, seinem Technologiedienstleister zu vertrauen. Die Unternehmen sind hier besonders gefordert, das Vertrauen vor allem über Transparenz aufzubauen, zu pflegen und zu bestätigen, auch im Umgang mit Sicherheitslücken.

Auf der IFA 2022 in Berlin sprach ich mit dem Geschäftsführer einer großen deutschen Firma, die Smart-Home-Produkte anbietet, aber auch mit Mitarbeitern französischer oder chinesischer Firmen. Keiner konnte mir die Frage angemessen beantworten, in welchem Land sich die Cloud-Server zu ihren Smart-Home-Produkten befinden und wie es mit der Datensicherheit aussieht. Sehen Sie allgemein ein Transparenzproblem bei den Unternehmen, was den Umgang mit persönlichen Daten und auch dem Wissen dazu angeht, oder waren das nur Einzelfälle?

Nun, ein Geschäftsführer sollte schon wissen, welche Cloud-Server er betreibt und wo die Daten hinfließen – alleine schon aus dem Grund, da er datenschutzrechtlich verantwortlich ist. Deshalb gehen wir davon aus, dass sie einfach nicht genau sagen wollten, wo sie die Daten verarbeiten und was genau sie damit machen.

Sicherlich gibt es hier ein großes Transparenzproblem, wobei wir auch das Gefühl haben, dass die Unternehmen „Angst“ haben, ihren Kunden reinen Wein einzuschenken und die Kunden entscheiden zu lassen. (Vielleicht stehen die Server auch im Ausland.) Das sind aber alles hausgemachte Probleme, da es durchaus gute Möglichkeiten gibt, smarte Technologie sicher und datenschutzkonform zu betreiben, auch mit Cloud-Servern in Europa oder Deutschland.

Wie würde aus Ihrer Sicht das sicherheitstechnisch perfekte Smart-Home-Netzwerk aussehen?

Das ist eine schwierige und vielleicht auch nicht allgemein beantwortbare Frage. Zu Beginn steht immer die persönliche Nutzen-Risiko-Abschätzung. Was möchte ich erreichen? Wie soll mein Smart Home aussehen und was brauche ich dafür wirklich? Wenn man sich hier Gedanken macht und entsprechend sein Smart Home aufbaut, kann man ein gutes Sicherheitslevel erreichen.

Sehen Sie die Gefahr, dass sich der Mensch durch KI, IoT und Smart Home, immer abhängiger macht und seine Souveränität verliert?

Das ist eine sehr breite und auch sehr philosophische Frage, über die man diskutieren kann, wie man es generell bei jedem Fortschritt tun kann. Im Prinzip stellt sich diese Frage auch nicht, da unsere Welt längst digital und vernetzt ist. Die Frage ist nur, wie wir damit umgehen und wie wir das ganze transparent und reguliert gestalten.

Natürlich muss es immer eine Fallback-Lösung geben, auch zu smarten Lösungen, und vernünftige Produkte und Systeme sind so auch gebaut, zumindest wenn es um Internet und cloudbasierte Steuerung geht. Bei einem Stromausfall wird das Licht nicht brennen, egal ob smart oder mit normalem Schalter.

Dieser Artikel erschien zuerst in der Epoch Times Wochenzeitung, Ausgabe Nr. 65, vom 8. Oktober 2022.

Immer mehr Geräte sind mit der Smart-Home-Technologie per App steuerbar. Foto: iStock



Kommentare
Liebe Leser,

vielen Dank, dass Sie unseren Kommentar-Bereich nutzen.

Bitte verzichten Sie auf Unterstellungen, Schimpfworte, aggressive Formulierungen und Werbe-Links. Solche Kommentare werden wir nicht veröffentlichen. Dies umfasst ebenso abschweifende Kommentare, die keinen konkreten Bezug zum jeweiligen Artikel haben. Viele Kommentare waren bisher schon anregend und auf die Themen bezogen. Wir bitten Sie um eine Qualität, die den Artikeln entspricht, so haben wir alle etwas davon.

Da wir die Verantwortung für jeden veröffentlichten Kommentar tragen, geben wir Kommentare erst nach einer Prüfung frei. Je nach Aufkommen kann es deswegen zu zeitlichen Verzögerungen kommen.


Ihre Epoch Times - Redaktion