Smart Home: Zertifizierte Produkte sind gefragt

28. Februar 2018

So selbstverständlich wie Strom, Licht und fließendes Wasser: Smart-Home-Anwendungen sind ein Megatrend. Forscher gehen davon aus, dass Häuser, die sich selbst organisieren, in wenigen Jahren zur Normalität gehören. Aber sind Smart-Home-Produkte wirklich verlässlich und sicher? Und was passiert mit den gesammelten Daten? Fragen wie diese beschäftigen Verbraucher, Hersteller und Technologie-Dienstleister wie TÜV NORD. Matthias Springer, Experte für funktionale Sicherheit, klärt über aktuelle Schwachstellen und künftige Entwicklungen auf.

Anfang November hatte ein Mann aus der holsteinischen Kreisstadt Pinneberg Ärger mit dem digitalen Assistenten des US-Unternehmens Amazon, Alexa genannt. Mit Alexa, so das Versprechen des Herstellers, wird die Wohnung zum Smart Home. Auf einen sprachlichen Befehl hin geht die Garagentür hoch, der Rollladen runter oder der Fernseher an. Doch bei diesem Nutzer passierte etwas anderes: An einem Samstag­abend, an dem der Alexa-Nutzer nicht zu Hause war, machte sich der Voice Service selbst­ständig. Alexa spielte in ohren­betäubender Laut­stärke Musik ab – bis die Nachbarn die Polizei riefen und diese die Tür für die Beseitigung der Ruhe­störung aufbrechen musste. Später hieß es in Medien­berichten, dass die App eines Dritt­anbieters schuld gewesen sei.

Für Matthias Springer, Experte für funktionale Sicherheit und IT-Security bei TÜV NORD, zeigt der Fall grund­sätzliche Probleme auf: Smart-Home-Produkte wie Alexa arbeiten nicht immer wie versprochen, es hapere noch „an der Funktionalität“. „Der Kunde, der sich so etwas zulegt, fragt sich außerdem: Wer macht da eigentlich was mit meinen Daten? Und ist das Produkt mit meinen anderen Geräten und Apps kompatibel?“, sagt Matthias Springer. Die Heraus­forderung für die Hersteller bestehe darin, diese Bedenken auszuräumen – vor allem wenn Smart-Home-Produkte noch mehr in den All­tag integriert werden. Aktuell können Nutzer über spezielle Anwendungen per App oder Sprach­steuerung Heizungen, Türen, Fenster, Jalousien und Lampen steuern. Ebenfalls bereits auf dem Markt sind intelligente Kühl­schränke und Kaffee­maschinen, die eine Verknappung erkennen und selbst­ständig eine Bestellung auslösen können, oder Wasch­maschinen, die die Wasser­zufuhr und die Wasch­dauer automatisch anpassen.

Matthias Springer und seine Kollegen prüfen und zertifizieren bei TÜV NORD unter anderem Smart-Home-Produkte. Dabei geht es nicht nur um eine einwand­­freie Leistung. „Wir denken IT-Sicherheit und mechanische Sicherheit zusammen, das nennen wir Security4Safety“, erklärt Matthias Springer. „Ohne IT-Sicherheit keine Produkt­sicherheit. Viele Schwach­stellen und Hacker-Angriffe lassen sich zudem auf Sicherheits­lücken in Hard- und Soft­ware zurück­führen. Daher muss IT-Sicherheit schon bei der Produkt­ent­wicklung mitgedacht und überprüft werden.“ Auf diese Weise verringere sich für Unter­nehmen auch das Risiko von späteren Rück­rufaktionen und Schadens­ersatz­ansprüchen.

Noch basiert dieser umfassende Check im Großen und Ganzen auf Freiwilligkeit, denn es gibt derzeit kaum gesetzliche Vorgaben dazu. Das sollte sich aus Sicht von TÜV NORD ändern: durch eine verbindliche Prüfung der IT-Security im Sicherheits­gesamt­kontext.

Eine Zertifizierung läuft bei TÜV NORD so ab: Ein Hersteller übergibt TÜV NORD sein Produkt. Matthias Springer prüft dann zusammen mit seinen Kollegen Hardware- und Software-Aspekte. „Ich schaue mir die Architektur der Komponente an, die Kommunikations­wege und natürlich die implementierten Schutz­maßnahmen.“ Ähnlich läuft das Verfahren bei der Soft­ware ab: Da werden zum Beispiel die Quell­codes analysiert, die vom Hersteller übermittelt worden sind. Generell gilt, dass nur getestet werden kann, was an TÜV NORD übergeben wird. Was der Hersteller zurück­behält, bleibt ungeprüft.

Der aktuelle Mega­trend Smart Home wird künftig Standard in deutschen Haus­halten sein, so die Prognose von Bernhard Rohleder, Haupt­geschäfts­führer des Digital­verbands Bitkom Anfang 2017. Allerdings hinkt die gesetzliche Regulierung den Innovationen hinterher. Das liegt auch daran, dass der Markt noch sehr unübersichtlich ist. Justiz- und Verbraucher­schutz­minister Heiko Maas (SPD) erklärte etwa im Februar 2017, er sehe bislang keinen Bedarf, gesetz­geberisch einzugreifen. „Ich halte es für besser, abzuwarten, welche Produkte sich durchsetzen“, sagte er. Verbraucher­schützern und Sicherheits­experten ist das jedoch zu wenig. Der Bundes­verband der Verbraucher­zentralen forderte im September 2017 eine „umfassende Prüfung des gesetzlichen Rahmens für Smart-Home-Produkte und -Anwendungen“. Der Fokus solle hierbei besonders auf der Identifizierung von Haftungs­lücken im Vertrags­recht liegen. Im Klar­text: Es soll geklärt werden, wer dafür haftet, wenn beispiels­weise Alexa von alleine so laut Musik abspielt, dass die Polizei anrücken muss – der Nutzer oder der Hersteller? „Es gibt ganz viele Themen, die so neu sind, dass sie noch nicht gesetzlich geregelt sind. Das wirkt sich negativ auf das Vertrauen des Nutzers aus“, meint Matthias Springer. Ein Problem, das in Zukunft noch mehr an Brisanz gewinnen wird. Denn obwohl Smart-Home-Anwendungen heute noch nicht sehr verbreitet sind: Auch Springer geht davon aus, dass das smarte Zuhause in ein paar Jahren selbst­verständlich sein wird.