10 Tipps, die das Smarthome sicher machen. ©digitalzimmer

10 Tipps, die das Smart Home sicher(er) machen

Kaum ein Monat vergeht ohne spektakuläre Hacks oder Datenlecks. Im Fernsehen demonstrieren Sicherheitsexperten, wie sie übers Internet in Gebäude eindringen, Videokameras übernehmen und Garagentore öffnen. Botnetze verwandeln IoT-Geräte in willenlose Helfer, die Konten ausspähen oder Webserver attackieren.

Da entsteht schnell der Eindruck, ein Smarthome wäre von Haus aus unsicher. Doch so ganz einfach ist der digitale Einbruch nicht. Er gelingt vor allem dort, wo ein Hintertürchen offen steht. Wer Software-Lücken schließt und sein Netzwerk abriegelt, sperrt Angreifer aus. Hier kommen zehn Tipps, die dabei helfen.

1. Router und WLAN abriegeln

Ein sicheres Heimnetz ist der wichtigste Schutz vor Eindringlingen. Dabei spielt der Router zu Hause eine Hauptrolle. Ist sein Konfigurationsmenü völlig offen, können Angreifer von außen ins Netzwerk gelangen. Wichtig: Die Weboberfläche – per Browser über eine IP-Adresse (z.B. http://192.168.178.1) oder Shortcuts wie http://fritz.box und http://speedport.ip erreichbar – darf nur mit einem sicheren Passwort zu öffnen sein. Voreinstellungen wie admin oder 0000 unbedingt ändern. Außerdem die WLAN-Verschlüsselung in den Einstellungen aktivieren. Sollte der Router den aktuellen Standard WPA2 nicht unterstützen, ihn am besten gleich ersetzen.

Zwei Einstellungen erhöhen die Sicherheit zusätzlich. Erstens: Wer nicht unbedingt von unterwegs aus auf sein Heimnetzwerk zugreifen muss – etwa um Daten abzurufen – sollte den Fernzugriff am Router abschalten. Und zweitens: Um zu verhindern, dass Geräte von Innen eine Tür nach draußen öffnen, empfiehlt es sich, die Funktion UPnP (Universal Plug and Play) zu deaktivieren. Dann können Teilnehmer im Netzwerk keine Ports öffnen, die Hackern eventuell als Schlupfloch dienen.

Für bestimmte Anwendungen wie Spiele oder Chat-Programme mag UPnP praktisch sein. Die Funktion stellt aber gleichzeitig ein Sicherheitsrisiko dar. Kompromiss: An Router-Modellen wie der FritzBox von AVM lässt sich die Option für jedes Gerät einzeln aktivieren. So verfügt beispielsweise die Game-Konsole über die nötigen Rechte, eine WLAN-Lampe oder ein Drucker aber nicht.

2. Sichere Passwörter verwenden

In der jährlichen Statistik beliebter Passwörter landen Banalitäten wie „123456“ oder „hallo“ noch immer ganz oben. Dabei ist längst bekannt, dass nur zufällige Abfolgen von Ziffern, Sonderzeichen sowie Groß- und Kleinbuchstaben wirklich schützen. Real existierende Wörter und Namen lassen sich durch automatisiertes Ausprobieren leicht herausfinden. Außerdem empfehlen Experten, lange Passwörter zu verwenden (16 Zeichen oder mehr) – und für jedes Konto oder Gerät ein anderes zu wählen. So ist bei einem Datenklau vom Server des Anbieters nur dieser eine Zugang betroffen.

Problem: Wer soll sich kryptische Wortungetüme wie Qf*34EjaCFKV;hhT eigentlich merken? Noch dazu im Dutzend, wenn jedes IoT-Gerät ein eigenes Konto verlangt? Passwort-Manager leisten dabei gute Dienste. Sie speichern beliebig viele Zugangsdaten verschlüsselt auf dem Computer oder Smartphone ab.

Passwort-Manager erzeugen und speichern sichere Zeichenkombinationen. ©digitalzimmer
Passwort-Manager erzeugen und speichern sichere Zeichenkombinationen. ©digitalzimmer

Zum Öffnen der Sammlung genügt ein zentrales Master-Passwort. Es sollte ebenfalls komplex sein, lässt sich mit einer Eselsbrücke aber gut merken. Bewährt haben sich Anfangsbuchstaben aus einem frei erfundenen Schlüsselsatz. Beispiel: Die Formulierung „Im Digitalzimmer berichten wir seit März 2009 über Smarthome-Themen“ ergäbe das Master-Passwort IDbwsM2009ueST.

3. Regelmäßig Updates machen

Digitaler Einbruchschutz ist eine Art Wettlauf – zwischen Hackern, die nach Sicherheitslücken in der Software suchen, und den Entwicklern, die solche Lücken schließen. Das gilt für nahezu jedes vernetzte Produkt, vom Computer bis zur Funksteckdose. Einige Geräte stehen allerdings stärker im Fokus der Angreifer, weil sie beliebt und weit verbreitet sind. In keinem Fall sollte man Software-Updates auf die lange Bank schieben. Wo möglich, die automatische Installation von sicherheitskritischen Updates aktivieren. Dann aktualisiert sich das Gerät gegebenenfalls von selbst.

Produkte, die der Hersteller nicht mehr mit Updates versorgt, sind nicht automatisch sicher. Im Gegenteil: Ein Smartphone mit veralteter Software, das zu Hause im WLAN hängt, kann ungewollt zum Einfallstor werden. Häufig übersehen: Zigbee- oder Z-Wave-Produkte, die an einer fremden Zentrale angemeldet sind, werden von dort normalerweise nicht mit Updates versorgt. Die Hersteller bieten diesen Service nur fürs eigene Sortiment an. Wer etwa Zigbee-Lampen von Ikea, Osram oder anderen Marken an einer Hue Bridge betreibt, sollte sie zwischendrin auch mal zurücksetzen und an ihrer Original-Basis anmelden. Sie erhalten dann vielleicht neue Firmware. Das mag lästig sein, verbessert aber die Sicherheit.

4. Öffentliche Netzwerke meiden

WLAN-Hotspots in der Bahn, im Hotel oder am Flughafen sind verlockend, für die Haussteuerung aber ungeeignet. Im Gegensatz zum heimischen WLAN übertragen sie ihre Daten häufig unverschlüsselt. Außerdem wissen Nutzer nicht, wer sich sonst im Netzwerk tummelt. Vielleicht versucht gerade jemand den Traffic mitzuschneiden, um an E-Mails, Kreditkarteninformationen oder Login-Daten zu kommen. Für die Anmeldung im Smarthome gilt deshalb dasselbe wie fürs Online-Banking: nicht in öffentlichen Netzwerken.

In öffentlichen WLAN-Hotspots ist grundsätzlich Vorsicht geboten. ©digitalzimmer
In öffentlichen WLAN-Hotspots ist grundsätzlich Vorsicht geboten. ©digitalzimmer

Eine Mobilfunk-Verbindung übers Handy eignet sich besser, auch wenn sie Datenvolumen kostet. Wer sicher gehen will, streicht öffentliche Hotspots nach Gebrauch aus der Liste bekannter Netzwerke auf seinem Gerät – damit sich das Smartphone oder Notebook bei nächster Gelegenheit nicht automatisch wieder mit ihnen verbindet. Oder er nutzt einen VPN-Tunnel. Dieses „Virtual Private Network“ stellt eine abhörsichere Verbindung zum heimischen Netzwerk her. Wie es konfiguriert wird, hängt vom Smartphone-Betriebssystem und dem verwendeten Router-Modell ab. Google hilft bei der Suche nach der passenden Anleitung.

5. Zugriff von außen beschränken

Viele Geräte erlauben eine Steuerung von unterwegs aus oder den Zugriff übers Internet. Das heißt aber nicht, dass diese Option immer aktiviert sein sollte. Bringt es einen Vorteil, die Urlaubsfotos schon während der Rückreise auf den Drucker schicken zu können? Muss die Kaffeemaschine rund um die Uhr mit dem Internet verbunden sein, weil es im Zweifelsfall die Wartezeit auf den Espresso verkürzt? Möchte ich meine Lampen wirklich parallel über das Gateway des Herstellers, eine Smarthome-Zentrale, Apple HomeKit und Amazon Alexa steuern?

Wer diese Fragen für sich mit nein beantwortet, der kann auf den einen oder anderen Fernzugriff verzichten. Und weniger potentiell angreifbare Verbindungen bedeuten mehr Sicherheit.

Das gilt übrigens nicht nur fürs Internet. Auch außen am Haus montierte, frei zugängliche Geräte können ungewollt eine Hintertür öffnen: Überwachungskameras oder Sensoren, die per Kabel ans Netzwerk angeschlossen sind. Funklampen, die das WLAN-Passwort unverschlüsselt in ihrem Speicher ablegen. Alles schon vorgekommen. Es lohnt sich daher, jede Smarthome-Installation auch unter diesen Gesichtspunkten zu planen. Nicht alles, was technisch möglich ist, erscheint in der Praxis auch vernünftig.

6. Keine dubiose Software installieren

Das größte Sicherheitsproblem sitzt manchmal vor dem Bildschirm. Im Englischen gibt es sogar ein Akronym dafür: PICNIC, was soviel bedeutet wie „Problem In Chair, Not in Computer“. Soll heißen: Viele Datenlecks und ferngesteuerte Botnetze werden durch leichtsinnige Software-Installationen der User erst möglich. Über einen Jailbreak des Smartphones oder dubiose AppStores holen sie Schadprogramme auf ihr Gerät. Die spähen dann Passwörter aus oder übertragen Zugangsdaten auf Server im Ausland. Ein paar gehackte Lampen sind dabei noch das kleinste Problem.

7. Auf namhafte Anbieter und Standards setzen

Je etablierter und erfolgreicher ein Smarthome-Produkt ist, desto höher die Wahrscheinlichkeit, dass der Hersteller in die Weiterentwicklung investiert. Das gilt besonders fürs Thema Sicherheit, denn große Marken haben einen Ruf zu verlieren. Bei No-Name-Geräten oder zugekauften Lösungen ist dieser Druck geringer – was nicht heißen soll, dass es darunter keine hochwertigen Produkte gibt. Auch die heutigen Marktführer haben schließlich mal klein angefangen. Bei Newcomern bietet die verwendete Technik einen Anhaltspunkt. Internationale Funkstandards wie Z-Wave oder Zigbee werden von so vielen Anbietern unterstützt, das Sicherheitslücken früher oder später auffallen. Ob der Hersteller dann ein Software-Update anbietet, steht allerdings auf einem anderen Blatt.

8. Separate Netzwerke aufbauen

Der Profi-Trick: Smarthome-Produkte und die übrigen Geräte im Netzwerk voneinander trennen. Dann kann auch eine gehackte Überwachungskamera keinen Schaden anrichten, weil sie nicht mitbekommt, was am Computer oder Smartphone geschieht. Viele Ratgeber empfehlen für diesen Zweck das WLAN-Gastnetz des Routers. Ist es eingeschaltet, spannt die Funkzentrale ein zweites WLAN mit eigenem Namen und Passwort auf. Geräte, die es nutzen, können zwar ins Internet, sind vom Rest des Netzwerks aber isoliert.

Das klingt gut, in der Praxis bereiten WLAN-Gastnetze aber auch Probleme. Wie der Name sagt, trennen sie nur WLAN-Geräte ab. Smarthome-Zentralen oder Funkbrücken, die per LAN-Kabel am Router hängen, bleiben mit dem Hauptnetz verbunden. Außerdem gibt es beim Anmelden von Geräten meist keine Möglichkeit, zwischen 2,4 GHz und 5 GHz zu unterscheiden. WLAN-Lampen oder -Steckdosen, die auf 2,4 GHz angewiesen sind, finden so ihr Frequenzband nicht. Die Installation schlägt fehl.

Ein zweiter Router trennt das Heimnetz zuverlässig von IoT-Geräten. ©digitalzimmer
Ein zweiter Router trennt das Heimnetz zuverlässig von IoT-Geräten. ©digitalzimmer

Aufwändiger und teurer aber auf lange Sicht besser ist eine Router-Kaskade. Dabei werden zwei WLAN-Funkzentralen quasi hintereinander geschaltet. Der erste Router hängt wie gewohnt am Internet und ist für Smarthome- oder IoT-Geräte zuständig. Mit aktiviertem Gastnetz bietet er außerdem einen Surfzugang für Besucher. Der zweite Router ist per LAN-Kabel mit dem ersten verbunden und wickelt den gewohnten Datenverkehr ab. Seine Firewall verhindert Zugriffe aus dem vorgeschalteten Netz, lässt Verbindungen nach draußen ins Internet aber zu. So ist das das Heimnetz vor Angriffen geschützt. Die Konfiguration des Router-Tandems verlangt etwas Fachwissen, im Internet gibt es Anleitungen dafür.

9. Zusätzliche Hardware einsetzen

Wer kein Ambitionen als Netzwerk-Techniker hat – oder sich die Arbeit erleichtern möchte – kann spezielle Smarthome-Router wie Avira SafeThings oder F-Secure Sense einsetzen. Sie werden an den vorhandenen WLAN-Router angeschlossen und übernehmen im Prinzip die Aufgabe einer Router-Kaskade (siehe Tipp 8). Vorteil: Die Geräte sind einfacher zu konfigurieren. Außerdem überwachen sie den Datenverkehr, warnen bei verdächtigen Aktivitäten und schützen vor Computerviren. Den zusätzlichen Komfort lassen sich die Anbieter allerdings bezahlen. Für manche Funktionen ist ein kostenpflichtiges Abo nötig.

10. Die „echten“ Einbrecher nicht vergessen

Allen digitalen Bedrohungen zum Trotz: Die meisten Einbrüche geschehen immer noch analog – an der Haus- oder Wohnungstür. Zum Katalog der Maßnahmen sollten deshalb auch mechanische Sicherungen gehören. Ein Schutzbeschlag mit Zylinderabdeckung, zusätzliche Riegel, abschließbare Fenstergriffe oder einbruchhemmende Rollläden beugen der Gefahr vor.

Und: Die besten Anwesenheitssimulation im Smarthome bringt nichts, wenn die Bewohner öffentlich Fotos aus dem Urlaub auf Facebook oder Instagram posten. Um solche Bilder als Einladung zu verstehen, müssen Einbrecher keine Hacker sein.

2 Gedanken zu „10 Tipps, die das Smart Home sicher(er) machen“

    1. Hallo Roland,
      darum meine Empfehlung, auf namhafte Anbieter und Standards zu setzen (Tipp 7). Von den großen und etablierten Smarthome-Systemen, die ich bislang in den Fingern hatte, nutzt keines den im Heise-Artikel erwähnten chinesischen Cloud-Dienst.

      Viele Grüße aus dem digitalzimmer

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.