MENU
29. April 2014 | Internet of Things
  • Beitrag teilen:

Test: Smart-Home-Kits öffnen Tür und Tor – für jeden

Rauchmelder geben via Internet Alarm, ein Einbruch wird per SMS gemeldet, Licht und Heizung werden über Smartphone-Apps gesteuert. All das machen Smart-Home-Komponenten möglich. Doch der große Test von AV-TEST zeigt: neben all den genialen Möglichkeiten, die die Anbieter preisen, bleibt die Sicherheit größtenteils auf der Strecke.

Gesamtergebnis „7 Smart-Home-Starter-Kits im Sicherheits-Test“

Im großen Sicherheitstest von AV-TEST konnten nur die Smart-Home-Lösungen Gigaset Elements, RWE Smart Home und QIVICON überzeugen. Die Sets kommunizieren verschlüsselt und bieten einen wirksamen Schutz gegen einen nicht autorisierten Zugriff.

zoom

Im ersten großen Test von Starter-Kits für Smart-Home-Lösungen können die Experten von AV-TEST leider keine Entwarnung geben. Nur 3 von 7 Kits sind gegen Angriffe gut gesichert, der Rest ist gegen interne und zum Teil externe Angriffe schlecht geschützt. Das bedeutet: melden sich ungeschützte Smart-Home-Geräte im Internet, wird das heimische Netz durch die Hintertür gekapert. Die minimal geschützten Smart-Home-Geräte wird man bald mit Trojanern angreifen, die sich dann bei einem erfolgreichen Angriff nicht im PC, sondern etwa im Speicher des Rauchmelders verstecken.

RWE Smart Home von RWE

Das Basis-Set, zum einsparen von Energie, sparte im Test nicht mit der Sicherheit und zeigte ein funktionierendes Schutzkonzept. (Bild © RWE AG)

zoom ico
QIVICON von der Telekom

Die Komponenten im Starter-Kit für Smart-Home kommunizieren intern und via Web gesichert und haben auch sonst einen funktionierenden Schutz. (Bild © Deutsche Telekom)

zoom ico
Gigaset Elements von Gigaset

Das Starter-Kit mit Zentrale sowie Tür- und Bewegungssensor funkt untereinander nur verschlüsselt und lässt keine Manipulation durch andere zu. (Bild © Gigaset elements)

zoom ico

1

RWE Smart Home von RWE

2

QIVICON von der Telekom

3

Gigaset Elements von Gigaset

Ist das Smart-Home-Konzept völlig unsicher?

Die Grundidee hinter der Smart-Home-Technik ist natürlich sehr gut: in Zukunft sollen sich alle Komponenten im Haushalt überwachen und steuern lassen. Alle Komponenten, die Zugang zum heimischen Netz und dadurch vielleicht Zugriff auf das Internet haben, sind potentiell angreifbar. Das bedeutet aber nicht, dass sie auch potentiell unsicher sind.

Der aktuelle Test belegt, dass einige Anbieter ihre Geräte nicht blindlings auf den Markt geworfen, sondern ein Sicherheitskonzept mit eingearbeitet haben.

Im Test waren die folgenden Smart-Home-Kits, die primär durch große Firmen vertrieben oder auch exklusiv angeboten werden; es erfüllen zwar nicht alle Kits die gleichen Aufgaben im Haushalt, aber vergleichbar sind sie dennoch:

• iConnect von eSaver:

• tapHome von EUROiSTYLE

• Gigaset Elements von Gigaset

• iComfort von REV Ritter

• RWE Smart Home von RWE

• QIVICON von der Telekom

• XAVAX MAX! von Hama

3 mal sicher vs. 4 mal unsicher

Das Ergebnis des Tests wird einige Hersteller hoffentlich zur Nachbesserung ihrer Produkte bewegen:

Die Sets Gigaset Elements, RWE Smart Home und QIVICON boten im Test eine gute Absicherung vor An- und Eingriffen.

Die Sets iComfort und tapHome sind vor Angriffen im eigenen Netz ungeschützt. Die Kits iConnect und XAVAX MAX! sind gegen Angriffe im eigenen Netz und von außen recht machtlos.

Die einzelnen Schwachpunkte werden nachfolgend noch kurz erläutert. Die ausführlichen Ergebnisse, die gestellten Testszenarien und Einzelwerte bis in den Bit-Bereich lassen sich in dem über 40 Seiten starken Studienbericht bei AV-TEST hier nachlesen:

Download der Smart-Home-Studie als PDF-Datei

Das können die Sets smart lenken

Die Kits haben diverse Aufgaben in einem smarten Haushalt und lassen sich folgendermaßen aufteilen:

  • Kontrollsystem für Strom, Heizung & Sicherheit:
    RWE Smart Home und QIVICON
  • Überwachungssystem für Fenster, Türen und Wohnräume:
    Gigaset Elements
  • Kontrollsystem für Schaltsteckdosen:
    iComfort, tapHome, iConnect
  • Schaltsystem für Licht, Heizung und Strom:
    XAVAX MAX!

Bei den verschiedenen Aufgaben lässt sich ein Horror-Szenario bei der Übernahme durch außen schnell finden: man könnte zum Beispiel eine gekaperte Heizungssteuerung so herunterregeln, dass im tiefsten Winter die Wasserleitungen einfrieren und platzen würden.

Da aber Angreifer in der Regel hinter Geld oder wertvollen Daten her sind, sind folgende Szenarien wahrscheinlicher: anhand der aktuellen An- und Abschaltpläne der Geräte lässt sich ersehen, wann die Bewohner eines Hauses da sind und wann nicht. Lässt sich dann auch noch die Sicherheitsüberwachung für Fenster und Türen abschalten, hat ein Einbrecher leichtes Spiel.

Ebenfalls wahrscheinlich: alle verbunden Geräte greifen über das heimische Netz weitere Geräte an und nehmen sie als Geisel – sperren den Zugriff darauf. Erst gegen eine Zahlung wird die Sperre vermeintlich aufgehoben. In dieser Art arbeitet etwa der BKA-Trojaner, der PCs samt den darauf befindlichen Daten sperrt.

Wo stecken die Schwachstellen?

In der Sicherheitsuntersuchung fahndeten die Tester nach den Schwachstellen. Daher untersuchten sie jedes Starter-Kit auf dessen Schutzkonzept. Dabei lag das Augenmerk auf der Verschlüsselung bei der Kommunikation, einer aktiven Authentifizierung, der Manipulation durch Externe und auf der gesicherten Fernsteuerung. Schließlich lassen sich die Sets entweder per Smartphone-App oder via Browser per WLAN oder aus dem Web ansprechen.

Verschlüsselte Kommunikation

Bei der Nutzung im lokalen Netzwerk zur Steuerung und bei einem Firmware-Update sollte die Kommunikation verschlüsselt erfolgen. Ebenso bei der Steuerung der Komponenten via Internet oder dem direkten Firmware-Update via Web.

Die Sets Gigaset Elements, RWE Smart Home und QIVICON erledigen die Kommunikation ohne Sicherheitsmanko. iConnect bietet eine Verschlüsselung, die aber leicht zu umgehen ist. Die Konzepte von iComfort, tapHome und XAVAX MAX! versagen hier komplett – es findet keine gesicherte Kommunikation statt.

Aktive Authentifizierung

Selbst eine eigentlich zu erwartende Authentifizierung beim Zugriff auf die Geräte ist kein Standard bei den Produkten. Das Kit iComfort verlangt keine Authentifizierung. Die Sets iConnect und XAVAX MAX! verlangen zwar beim Zugriff via Web eine Authentifizierung, aber intern gibt es keinerlei Barrieren. Das ist fahrlässig.

Das Set von tapHome verwendet intern zwar einen Benutzernamen und ein Passwort, aber das ist fast wertlos, da die Kommunikation unverschlüsselt abläuft und so jeder die Zugangsdaten abgreifen kann.

Nur die Sets Gigaset Elements, RWE Smart Home und QIVICON machen wieder einen fehlerfreien Job, wie bereits beim Punkt verschlüsselte Kommunikation.

Manipulation durch Externe

Da einige Geräte nicht verschlüsselt kommunizieren, lässt sich eventuell Schadcode injizieren oder noch perfider: den Geräten eine verseuchte Firmware unterschieben. In beiden Fällen hätten Hacker schnell Zugriff auf die Geräte und damit eine fest installierte Hintertür in das heimische Netzwerk.

Gesicherte Fernsteuerung

Der Fernzugriff ist gerade beim Smart-Home-Konzept eine wichtige Sache. Schließlich wollen die Nutzer ihre Komponenten via Smartphone-App oder Browser steuern. Wieder fielen im Test die beiden Kandidaten iConnect und XAVAX MAX! wegen eklatanter Schwächen durch. Die Kits von iComfort und tapHome sind nicht gefährdet, da sie keinerlei Fernsteuerung bieten.

Die drei Sets Gigaset Elements, RWE Smart Home und QIVICON arbeiten auch in diesem Bereich gesichert und belegen damit ein insgesamt fehlerfreies Schutzkonzept.

Fazit: Hohe Sicherheit ist Trumpf

Wie eingangs bereits erwähnt, kann ein unsicheres Smart-Home-Kit die Hintertür in Ihr heimisches Netzwerk werden. Daher ist es unerlässlich, dass die Produkte ein hohes Maß an Sicherheit bieten. Leider gibt es noch keinen Sicherheits-Standard, wie er bei anderen Netzwerkgeräten, etwa WLAN oder Routern, vorhanden ist.

Die Testergebnisse lassen kein anderes Fazit zu, als dass im Moment nur die Sets Gigaset Elements von Gigaset, RWE Smart Home von RWE und QIVICON von der Telekom empfehlenswert sind.

Die Hersteller bzw. Vertreiber der Starter-Kits iConnect, tapHome, iComfort und XAVAX MAX! müssen ihre Produkte in Sachen Sicherheit überarbeiten, um sie auf einen guten Stand zu bringen.

Blick in die Zukunft

Bei keinem der Sets gehört im Moment die Übertragung von Bild und Ton mit zur Ausstattung. Die Tester haben aber bei dem großen Test bereits die Vorbereitung von Schnittstellen für Webcams mit Mikrofon gefunden. Auch der Zugriff auf passend ausgestattete Küchengeräte wie einen Kühlschrank oder eine Kaffeemaschine wird nicht lange auf sich warten lassen. Schließlich ist die Technik dazu leicht in der Lage. Der Gedanke, dass ein Fremder auf alle diese Geräte Zugriff hat, löst bei manchem Nutzer kalte Schauer aus.

Dazu kommt, dass Marktforscher einen weltweiten Umsatz mit Smart-Home-Produkten von über 15 Milliarden Dollar bis zum Jahr 2015 erwarten. Das klingt viel, aber erst vor kurzem hat Google bereits die Firma Nest Labs für 3,2 Milliarden Dollar gekauft. Der Suchmaschinen-Riese wird in dem Bereich Druck machen, den Nest Labs produziert: die steuerbaren Smart-Home-Komponenten Thermostate und Feuermelder.

Social Media

Wir wollen mit Ihnen in Kontakt bleiben! Erhalten Sie unkompliziert und regelmäßig die aktuellsten News und Testveröffentlichungen.