Den Saugroboter und das Licht per Smartphone-App einschalten, Musik per Sprachassistenten abrufen oder den Fernseher per Zuruf ausschalten: Im sogenannten Smart Home kein Problem mehr. Das „Intelligente Wohnen“ mit seiner modernen, vernetzten Heimtechnik gilt als Markt der Zukunft. Rund 43 Prozent der befragten deutschen Internetnutzer und Internetnutzerinnen glauben laut einer Umfrage der Gesellschaft für Konsumforschung (GfK), dass die Technologien des Smart Home in den kommen Jahren einen enormen Einfluss auf ihr Leben haben werden.
Doch das Smart Home bietet neben seinen komfortablen Eigenschaften im Alltag auch Gefahren. Denn neben den komfortablen Vorteilen haben moderne, vernetzte Systeme auch Nachteile und können beispielsweise ein Risiko für Privatsphäre darstellen.
Im Spannungsfeld stehen dabei die Datenautonomie und der Datenschutz. Wenn Waschmaschine, Lichttechnik und Heizungsanlage mit dem Internet verbunden sind, können private Geräte-, Nutzungs- oder Verbrauchsdaten möglicherweise gehackt oder ausgespäht werden und somit in die falschen Hände geraten.
Und: Mittlerweile sehen auch Sicherheitsbehörden einen Vorteil in dem Zugriff auf Daten aus dem Smart Home.
Geplanter Zugriff auf Daten aus Smart Home und Sprachassistenten
Wie das Redaktionswerk Deutschland unter Berufung der diesbezüglichen Beschlusslage berichtet, planen die Innenminister den Zugriff auf die Daten aus dem Smart Home und von digitalen Assistenten, welche als Beweismittel vor Gericht eingesetzt werden sollen. Begründet wird das Vorhaben darin, dass digitale Spuren eine immer größere Bedeutung bei der Aufklärung von Kapitalverbrechen sowie terroristischen Bedrohungen bekommen würden.
Sprachassistenten wie Alexa oder Google Home, aber auch Kühlschränke oder Fernseher, die mit dem Internet verbunden sind, sammeln nach Auffassung der Innenminister Daten, die für die Sicherheitsbehörden wertvoll sein könnten. Um diese bei Ermittlungen zukünftig verwenden zu können, sollen jetzt verfassungsrechtliche Bedenken ausgeräumt werden. Eine richterliche Zustimmung soll künftig ausreichend sein. Widerstand wird jedoch seitens der Datenschutzbeauftragten von Bund und Ländern erwartet.
Datenschutz bei digitalen Assistenten immer wieder im Fokus
Besonders bei digitalen Assistenten wie Alexa & Co. steht das Thema Datenschutz immer wieder im Fokus der Aufmerksamkeit. Bislang ging es dabei besonders darum, welche Daten bei den Anbietern eingehen und wie die digitalen Assistenten vor unzulässigen Angriffen geschützt sind. Erst im Dezember 2018 machte c’t – ein angesehenes Magazin für Computertechnik – einen Fall öffentlich, in dem höchst private Sprachaufzeichnungen von Amazon Echo-Geräten an fremde Personen gelangt waren. Im April 2019 wurde dann bekannt, dass Amazon seine Mitarbeiter die aufgezeichneten Sprachbefehle der User an die Assistenzsoftware Alexa abtippen lässt, um die Spracherkennung zu verbessern. Verbraucherschützer hatten sich gewehrt und forderten ein Ende dieser Praxis.
Dementsprechend sorgt die Tatsache, dass die Regierung in Bund und Ländern jetzt auf diese Daten zugreifen wollen, und dies gleich einer von mehreren Eingriffen in den Datenschutz darstellt, für Aufsehen.
Saugroboter Tesvor verrät Grundriss der Wohnung
Auch das Auslesen von Wohnungsgrundrissen gehört zu den Gefahren im Smart Home. Beispielsweise haben die Staubsauger und Wischroboter des chinesischen Herstellers Tesvor eine Software-Schwachstelle, die es Internetangreifern ermöglicht, den Gerätestatus sowie den Grundriss der Wohnung auszulesen.
Forscher des System Security Lab an der TU Darmstadt, welche auf Sicherheitsanalysen von IoT-Geräten spezialisiert sind, stellten bei der Untersuchung des Saugroboters Tesvor X500 erhebliche Sicherheitsprobleme fest. So beinhaltet die Gerätesoftware gleich zwei Sicherheitslücken, die alle Wisch- und Saugroboter von Tesvor angreifbar macht.
Zum einen erlangt ein Benutzer die Steuerungsberechtigung des Geräts, indem er lediglich die MAC-Adresse des Gerätes in der dafür vorgesehenen App des Herstellers angibt. Heißt, wer die MAC-Adresse des Gerätes kennt, authentifiziert sich schon für die Steuerung des Gerätes – eine weitere Sicherungsmaßnahme zur Authentifizierung gibt es nicht. Jedoch ist eine MAC-Adresse laut der Forscher kein sicheres Authentifizierungsmerkmal, denn bei bekannter Hersteller-ID lässt sich der verfügbare Adressraum durch einfaches Hochzählen bis zum Treffer austesten.
Die zweite grobe Sicherheitslücke liegt im Verzicht des Herstellers, seine Geräte bei der Auslieferung mit einem Zertifikat zu versehen, welches eine sichere Kommunikation mit der AWS-IoT-Cloud sicherstellt. Laut den Darmstädter Forschern fragt das Gerät bei der ersten Aktivierung den Server des Herstellers nach einem Zertifikat und verbindet sich darüber mit der AWS-IoT-Cloud. Da dieser Zertifikatsaustausch nicht authentifiziert ist, können Angreifer über eine Man-in-the-Middle-Attacke das Zertifikat abfangen. Damit ließe sich die Verbindung zur Amazon-Cloud mitlesen und manipulieren. Dabei könnte sich ein Angreifer selbst als Gerät ausgeben.
Die Darmstädter Forscher haben den Hersteller Tesvor bereits mehrfach schriftlich auf die gravierenden Schwachstellen hingewiesen, bisher jedoch ohne Antwort.
Auch andere Geräte für das Smart Home haben sich bereits als Einfallstor für Angreifer entpuppt. So zum Beispiel Haushaltsgerte von LG, die sich 2017 komplett fernsteuern ließen. Auch lieferte die Kamera eines betreffenden Saugroboters Fremden einen Video-Livestream aus dem Haus des Benutzers. Sicherheitsexperten gelang es außerdem im selben Jahr, das Verschlüsselungssystem des Saugroboters „Mi Robot Vacuum“ von Xiaomi zu knacken und fanden damals heraus, dass die Geräte großzügige Dateien in der Cloud speicherten.
Da stellen sich die Fragen: Lieber Smart Home oder Safe Home? Und was sind Ihnen Ihre Daten wert?