Am 20.02.2020 diskutierten im Deutschen Spionagemuseum Prof. Dr. Thomas Petri (Datenschutzbeauftragter des Freistaats Bayern), Ben Schlabs (SRLabs Berlin) Steven Heckler (BDI) und Michael Boos (BSI) über die Gefahren des Smart Home. Moderiert wurde von Lisa Hegemann (ZEIT Online).

Was ist Smart Home?

Direkt zu Beginn stellt sich die Frage worüber wir überhaupt reden, wenn wir über den Begriff Smart Home reden. Viele denken dabei in erster Linie an Geräte wie Amazon Alexa oder Google Home. Diese sind jedoch lediglich ein Teil des Ganzen. Smarte Türschlösser, Heizungsthermostate, Lampen, Jalousien oder sogar Herdplatten ergänzen das Bild. Michael Boos unterscheidet bei den Geräten vor allem zwischen Automatisierung und Entertainment, „der Sprachassistent hängt da so mitten drin“.
Für Ben Schlabs steht der Aspekt der Bequemlichkeit im Mittelpunkt. Zuhause ankommen und bereits die perfekte Temperatur im Wohnzimmer zu haben sei ein Beispiel dafür, wie Smart Home unser Leben angenehmer machen kann. Dabei gehören Smart Home Geräte noch lange nicht zum Standard in deutschen Haushalten, auch wenn Steven Heckler sich durchaus vorstellen kann, dass bestimmte Gerätegruppen dies bald werden. Untereinander vernetzte Rauchmelder könnten für mehr Sicherheit in den eigenen vier Wänden sorgen, indem die Geräte in allen Räumen gemeinsam Alarm schlagen und eben nicht nur in dem Raum, in dem sie ausgelöst werden.

Was passiert im Hintergrund?

Die eigentlichen Geräte sind dabei aber nur ein Teil des ganzen Konstrukts. Kein Gerät ist smart ohne ein technisches Gerüst im Hintergrund. Prof. Dr. Thomas Petri sieht in diesem Gerüst den Beginn einer problematischen Entwicklung. Geräte werden von Hilfsinstrumenten, die genau das ausführen, was der oder die Benutzer*in ihnen vorgibt, zu eigenständigen Akteur*innen, welche selbst Handlungsempfehlungen aussprechen. „Ich möchte auch mal etwas anderes hören, als das, was ich hören will“, sagt er. Viele Musik-Streaming Anbieter*innen bieten den Nutzer*innen Empfehlungen aufgrund des bisherigen Nutzungsverhaltens. Diese Empfehlungen können das weitere Nutzungsverhalten stark beeinflussen, man ist automatisch abhängig von einem Algorithmus. Beim Musikhören vielleicht noch ein kleines Problem, aber theoretisch auf andere Bereiche übertragbar.
Damit Algorithmen überhaupt Empfehlungen errechnen können, brauchen sie Daten und davon produziert das Smart Home eine ganze Menge. Macht es das für Angreifer attraktiv? Die Runde ist sich einig, dass die Daten des oder der Einzelnen sehr uninteressant sind. Aus Sicht eines Angreifenden ist das Smartphone das interessantere Ziel. Sensible Daten, wie zum Beispiel Kontozugangsdaten, lassen sich hier finden und nicht im Smart Home. Generell geht es meistens nicht darum, Daten abzugreifen, sondern darum Dinge im großen Maßstab kaputt zu machen oder zu klauen, sagt Bernd Schlabs. Natürlich müssen beispielsweise Türschlösser sicher sein, damit niemand einfach eindringen kann. Interessanter für Angreifer ist aber der massenhafte Zugriff auf mehrere tausende Geräte. Der und die Nutzer*in des Geräts muss davon nicht einmal etwas mitbekommen; durch gezielte Fernsteuerung können ganze Dienste lahmgelegt werden – Stichwort DDoS

Regulierungsbedarf

Für mehr Sicherheit würden Zertifikate und Standards führen, so die Meinung des Podiums. Dafür bedarf es aber einiger rechtlicher Anpassungen. Momentan ist es noch so, dass Zertifikate immer nur den Jetzt-Zustand eines Produkts berücksichtigen. Jedes Update der Software würde dazu führen, dass das Zertifikat seine Gültigkeit verliert. Aus gutem Grund, denn ein Update könne zwar vorhandene Sicherheitslücken schließen, aber auch neue auftun. Ein IT-Sicherheitslabel sollte daher auf Herstellererklärungen basieren, so Boos. Um das Siegel zu erhalten, muss der Hersteller dann einen gewissen Updatezeitraum zusichern. Kommen die Herstellenden dem nicht nach, hat man durch die Erklärung ein Instrument zur Sanktionierung. Man ist sich einig, dass solch ein Label direkt auf EU-Ebene eingeführt werden müsste. Alleine schon, weil es sich ansonsten um eine nicht zulässige Markteintrittshürde handeln würde, so Steven Heckler. Bisher liegt es in der Verantwortung des Nutzenden sich über Geräte und Updatezeiträume zu informieren. Und noch viel wichtiger, Updates auch zu installieren. Häufig fehlt die Bereitschaft dazu, stellt die Runde fest.

Einen Spion holt man sich also nicht ins Haus, vielleicht aber einen Saboteur.

 

Titelbild: Dennis Klut