Smarthome
Schutz vor Hackern und Daten-Kraken
Ob beim Banking, Shoppen oder Buchen einer Reise – das Internet ist heute aus dem Alltag nicht mehr wegzudenken. Das ruft zwielichtige Gesellen auf den Plan. Auch Smarthome-Systeme sind ins Visier von Hackern geraten. Daher sind besondere Schutzmassnahmen erforderlich.
Auch Apps für Haushaltsgeräte, die im Internet of Things (IoT) vernetzt sind, müssen vor Datenklau geschützt werden.
Für das Smarthome-System nutzt man am besten einen separaten Internet-Zugang, hier über den WiFi 6-Router «3600 5G LTE».
Der Schweizer Markt für Smarthome-Technologie boomt. So erwartet das Statistik-Portal Statista, dass der Umsatz im Smarthome-Markt von circa 1,2 Milliarden Franken im Jahr 2025 bis 2029 auf rund 1,6 Milliarden Franken ansteigen wird. Die Statistiker erwarten, dass dann fast jeder Haushalt diese Technologie anwenden wird. Doch wie beim Online-Banking oder digitalen Shoppen stellt sich die Frage: Wie sicher ist mein System? Wie sicher sind meine Daten? Das deutsche Magazin «Stiftung Warentest» hat in seiner Ausgabe 8/2025 Smarthome-Systeme auf ihre Funktionalität getestet und dabei nur zwei der 14 getesteten Systeme einen guten Basisschutz der Daten attestiert.
Noch keine gesetzlichen Regelungen
«Die Cybersicherheit der Gebäudeautomation wurde lange für zweitrangig befunden. Der Fokus lag und liegt auch heute noch hauptsächlich auf der Funktionalität und dem Preis», betonte Prof. Olivier Steiger von der Hochschule Luzern in einem Magazin-Beitrag von 2023. Seither scheint zumindest das Bewusstsein für Sicherheitsfragen geschärft. So hat der Bundesrat die Mitgliedschaft des Bundes in der European Cyber Security Organisation (ECSO) genehmigt, um die Cybersicherheit der Schweiz zu stärken. Hintergrund: Die EU hat Ende 2024 den «Cyber Resilience Act» (CRA) verabschiedet, eine Verordnung, die ein Mindestmass an Cybersicherheit für alle vernetzten Produkte festlegt, die auf dem EU-Markt erhältlich sind. So müssen die Hersteller von Smarthome-Produkten und -Systemen – mit einer Übergangsfrist bis Ende 2027 – unter anderem sicherstellen, dass alle gespeicherten oder übertragenen Daten verschlüsselt sind und die Angriffsfläche so gering wie möglich ist. Standardpasswörter wie «1234», die viele Verbraucher unverändert übernommen haben, sind dann nicht mehr zulässig. Ausserdem müssen Sicherheitsupdates automatisch installiert werden – über die ganze Lebensdauer des Produkts. Ein Modell auch für die Schweiz? «Während die EU mit dem CRA ein umfassendes Sicherheitsregime einsetzt, hinkt die Schweiz hinterher», bemängeln die Anwältin Corinna Stubenvoll und die Notarin Nicole Beranek Zanon von der in Zug ansässigen Kanzlei Härting Rechtsanwälte. «Zwar existieren politische Initiativen, jedoch fehlt bislang ein konkreter Gesetzesentwurf.» Laut den Expertinnen werde der Marktdruck jedoch dazu führen, dass sich alle Schweizer Unternehmen, die in der EU tätig sind, der CRA anpassen müssen.
Schwachstelle Internet
Wie wichtig das Thema Daten- und Systemsicherheit ist, zeigt das Beispiel Cyberangriffe auf kritische Infrastrukturen: Hier hat der Bundesrat eine Meldepflicht zum 1. April 2025 in Kraft gesetzt. Das Bundesamt für Cybersicherheit BACS führt auf seiner Website eine ständig aktualisierte Statistik über Cyberangriffe, die auch Hacking umfasst. Aus Sicht von Hausbesitzern ist das eigene Smarthome-System eine persönliche «kritische Infrastruktur» und sollte entsprechend geschützt werden. Zum einen trachten Hacker danach, in Systeme einzudringen und ihre Daten zu missbrauchen. Sind etwa Jalousien und Rollläden an die Hausautomation angebunden, können diese vom Eindringling hochgefahren werden, damit er leichter ins Haus gelangen kann. Einmal ins System eingedrungen, kann der Ganove auch Alarmfunktionen, zum Beispiel Fensterkontakte oder Videokameras, deaktivieren oder mit Störsendern ausser Gefecht setzen. Oder noch schlimmer, er öffnet die elektronisch verriegelte Haustür. Andererseits senden Systeme, Haushaltsgeräte und Sprachassistenten Daten, deren Verbleib und Verwendung teilweise fragwürdig ist. Zudem erlaubten in der Vergangenheit manche Apps Zugriff auf sicherheitskritische Systemeinstellungen des Smartphones.
Spätestens hier wird klar, dass das Smarthome zwar eine komfortable Sache ist, es aber gleichzeitig ausreichend gesichert werden muss, damit sensible Daten nicht an Dritte gelangen. Jedes System ist nur so sicher wie sein schwächstes Glied. Das kann zum Beispiel der Internetzugang sein. Die Verbindung mit dem Netz ist dann vonnöten, wenn die meisten User ihr Smarthome-System auch von unterwegs einsehen und steuern wollen. Vielen macht es Spass, ihr smartes Zuhause Freunden oder Verwandten vorzuführen. Die Verknüpfung der Haustechnik mit dem Internet bedeutet, dass der Datenverkehr über einen Router stattfindet – der nächste potenzielle Gefahrenherd. Wie alt ist Ihr Router? Hat er schon einige Jährchen auf dem Buckel? Und wie steht es um das Smartphone oder Tablet, mit dem die Hausautomation gesteuert wird? Sind dort stets das neueste Update und eine Firewall installiert? Und wie sicher ist der Ort, von dem aus die Verbindung mit dem Zuhause hergestellt wird? Handelt es sich um ein Café, einen Flughafen oder ein Messegelände? Keine sehr Vertrauen einflössenden Umgebung!
Vorsicht bei vernetzten Hausgeräten
In den letzten Jahren sind zudem weitere potenzielle Schwachstellen hinzugekommen. Denn die Schwachstellen kommen ja nicht zu dem "bisher Gesagten" dazu, sondern zu den Systemen. Denn inzwischen werden nicht nur klassische Funktionen wie Licht, Jalousien oder Heizung miteinander verknüpft. Immer mehr Haushaltsgeräte werden heutzutage intelligent gemacht. Smarte, internetfähige Geräte wie Fernseher, Kühlschränke oder Drucker, das sogenannte «Internet of Things» (IoT), bieten zusätzliche Angriffsflächen für digitale Gangster. Diese Geräte müssen ebenso sorgfältig wie die anderen Komponenten des Smarthome geschützt werden. Das Bundesamt für Cybersicherheit BACS nimmt hier auch die Verbraucher in die Pflicht. «Oftmals werden diese Geräte gekauft und in der Standardkonfiguration belassen. Somit sind diese nur mit dem Standardpasswort geschützt, welches einfach zu hacken ist. Auch sind sie durch fehlende Aktualisierung, zum Beispiel von Sicherheitsupdates, nicht auf dem aktuellsten Stand. Ist ein solch ungeschütztes Gerät direkt aus dem Internet erreichbar, ist es für einen Angreifer ein Leichtes, ein Leichtes, dieses zu hacken.»
Dabei ist es für den Betrieb der Geräte gar nicht unbedingt erforderlich, vernetzt zu sein. «Ein Smarthome muss nicht zwingend mit dem Internet verbunden sein. Es geht auch ohne, mit der Einschränkung, dass man von unterwegs nicht in die Abläufe eingreifen kann», betont Roman Berther von der Firma Miele. «Man muss sich bewusst sein, dass mit der Nutzung des Internets bei IoT eine Eingriffsmöglichkeit durch Dritte besteht. Heutzutage sind sogar elektrische Zahnbürsten angreifbar. Wer ein Smarthome möchte, sollte das Sicherheitsthema immer mit Experten besprechen und Vorkehrungen treffen, um unliebsame Überraschungen zu vermeiden», rät Berther. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik BSI rät Verbrauchern, sparsam mit dem Internetzugang umzugehen. «In den meisten Fällen benötigen intelligente Geräte im vernetzten Zuhause keine ständige Internetverbindung, um funktionsfähig zu sein. Diese sollte für diese Geräte nur aktiviert werden, wenn sie zwingend für deren Funktionalität erforderlich ist.» Wer sich dennoch ständig über seine vier Wände aus der Ferne informieren will, sollte für den Datenverkehr zum Smarthome-System ein separates Netzwerk mit einen eigenen Router anlegen.
Clouds und Passwörter
Ein oftmals unterschätztes Problem ist der Verbleib der Daten. Wo werden diese gespeichert: im Haus, beim Hersteller, in einer Cloud? Wenn Cloud, dann in der Schweiz oder wenigstens in Europa? Es gibt auch Systeme, die ohne Cloud auskommen und die Daten lokal im Heimnetzwerk des Nutzers speichern. Dann kann das Smarthome-System zwar nicht von unterwegs mit dem Smartphone bedient werden, aber vor Ort mit Handsender oder Wandtaster. Nur für den Fernzugriff oder ein Update muss man sich mit dem Netz verbinden.
Egal, welche Lösung man bevorzugt – unerlässlich ist es, dass die Datenübertragung des Smarthome-Systems ausreichend verschlüsselt und so vor Cyberattacken sicher ist. Viele moderne Smarthome-Anwendungen nutzen Ende-zu-Ende-Verschlüsselungen, um die Datenübertragung vor unbefugtem Zugriff zu schützen. Von zentraler Bedeutung ist es, dass voreingestellte Standard-Passwörter geändert und in Abständen erneuert werden. Ausserdem sollte für den Zugriff auf das System immer eine Zwei-Faktoren-Authentifizierung (2FA) eingerichtet werden.
Fazit: Mit etwas Sorgfalt durch den Verbraucher bleibt «my Home» auch im Cyberzeitalter «my Castle».
Arbeiten im Homeoffice erfordert besondere Sicherheitsvorkehrungen durch den Arbeitnehmer und die Firma.
Alle Daten der Smarthome-Zentrale Yubii Home, die in der Cloud gespeichert werden, können nur entschlüsselt werden, wenn Identifikationsnamen und Passwort zusammenpassen.
Aufgezeichneten Daten des Mähroboters «RCX 6» werden laut Hersteller nach höchstem Sicherheitsstandard auf deutschen Servern gespeichert. Zugriffe auf die Kamera, ebenso wie die Speicherung von Videomaterial, sind ausgeschlossen.
Alle Daten der Smarthome-Zentrale Yubii Home, die in der Cloud gespeichert werden, können nur entschlüsselt werden, wenn Identifikationsnamen und Passwort zusammenpassen.
Mehr Informationen für Bauen, Wohnen, Haus und Garten gibt es in der Ausgabe 5/25 vom Magazin DAS EINFAMILIENHAUS.
Text: Joachim Hoffmann
aus dem Magazin: Das Einfamilienhaus, Zeitschrift Nr. 5/2025