Smarte Lampen verraten ihre Nutzer

Bild: c't Magazin

Immer mehr elektrische Geräte sollen smart sein und benötigen dafür eine Verbindung ins Internet. Was für unbedarfte Nutzer ganz bequem sein kann, birgt zahlreiche Lauschprobleme

Nachdem dieser Tage die Pflege des immer noch weit verbreiteten Betriebssystems Windows 7 für Privatkunden eingestellt wurde, haben sich zahlreiche Nutzer dazu verführen lassen, Windows 10 als Betriebssystem zu installieren, selbst wenn ihnen bekannt war, dass Windows 10 öfters "nach Hause telefoniert", als sich der gemeine Nutzer das vorstellen kann.

Inzwischen werden jedoch im Rahmen des "Internet of Things" (IoT) immer mehr elektrische und elektronische Geräte vernetzt und nutzen dafür einen Zugang zum Internet, auch wenn sich das Gerät und die damit verbundene Steuer-/Fernbedienungseinheit im gleichen Haushalt befinden und beispielsweise nicht vorgesehen ist, die Kaffeemaschine vor der Ankunft zuhause aus der Ferne zu starten. Es ist für viele Nutzer einfach bequemer, sich über eine Plattform im Internet zu vernetzen, als eine heimische, vom Internet physikalisch getrennte Plattform im eigenen Haushalt zu benutzen.

Gerade bei billigen Lampen, die zumeist in China produziert werden und oftmals auch von chinesischen Händlern international angeboten werden, gibt es zahlreiche sicherheitstechnische Schwachstellen. So kann bei vielen Modellen weder das Passwort geändert werden, noch die integrierte Software upgegradet werden, falls Sicherheitsprobleme bekannt geworden sind. Selbst im Recyclingcontainer bergen solche Geräte noch Probleme, weil der Kunde keine Möglichkeit hat, seine persönlichen Daten aus den Geräten zu löschen und diese dann in der Folge auch von Dritten genutzt werden können, um sich in heimische Geräte einzuloggen und deren Daten abzufragen oder gar zu manipulieren.

Hacker bekommen einfachen Zugang zu heimischen Festplatten

Auf diesem Weg sollen sich Dritte auch unerlaubt Zugang zu Daten (Texte und Bilder) verschaffen können, die auf heimischen Rechnern und deren Festplatten abgelegt sind. Eine pauschale Einschätzung, welches Risiko von smarten Lampen, Kühlschränken oder den inzwischen weit verbreiteten smarten Fernsehern ausgeht, ist gar nicht so leicht, weil es heute eine so große Zahl an Produkten und Herstellern gibt und selbst Produkte der gleichen Marke von unterschiedlichen Herstellern stammen können und damit möglicherweise auch unterschiedliche Technik eingesetzt wird.

Die fehlende Update-Möglichkeit der genutzten Software zählt jedoch zu den grundsätzlichen Mängeln gerade bei billigen Geräten. Der Nutzer ist damit von Herstellern und deren Vorstellung von Datenschutz abhängig, ohne das am Gerät nachbessern zu können, wenn ihm ein Sicherheitsproblem bekannt wird. Dass die Hersteller da aus eigenem Antrieb etwas ändern, ist eher unwahrscheinlich. Erstens würde das die Kosten in einem sehr preissensiblen Marktumfeld nach oben treiben und zweitens ist die Chance, dass die chinesischen Hersteller eine Rückmeldung von den europäischen Kunden zu diesem Themenfeld erhalten, eher unwahrscheinlich.

Das hängt nicht zuletzt damit zusammen, dass die Fertigung elektronischer Produkte in Fernost inzwischen extrem kaskadiert stattfindet und das formal gleiche Produkt zu einem anderen Zeitpunkt von einem anderen Produzenten kommt und der nach Möglichkeit günstigere Komponenten nutzt als sein Vorgänger, um dem Preisdruck der Abnehmer auszuweichen.

Wie einfach der Zugang auf die heimischen Daten im Zeitalter der smarten Internet-verknüpften Geräte möglich ist, hat der Sicherheitsforscher Michael Steigerwald zusammengestellt unter dem Titel "Smart Home - Smart Hack; Wie der Weg ins digitale Zuhause zum Spaziergang wird."

Wenn man berücksichtigt, dass mehr als 10.000 Gerätehersteller aus aller Welt die Basis-Plattform eines einzigen Unternehmens wie Tuya zur technischen Umsetzung ihrer Smart-Home-Produkte nutzen, zeigt sich sehr schnell, welche gravierende Auswirkung eine mögliche sicherheitstechnische Schwäche einer solchen Massenplattform haben kann. Wobei immer damit gerechnet werden muss, dass die meisten Nutzer von den jeweiligen Teilen bei den Komponenten keine Ahnung haben, weil es inzwischen nicht zuletzt aus Kostengründen nicht mehr üblich ist, die Stücklisten und Schaltpläne elektronischer Geräte zu veröffentlichen.

Die Marktbedeutung des im Jahre 2014 an den Start gegangenen chinesischen Anbieters Tuya hängt in erster Linie damit zusammen, dass es für die Anbieter smarter Produkte sehr einfach geworden ist, ihre Produkte für das Smart Home auszurüsten. Die Module machen die damit ausgestatteten Produkte auf den ersten Blick anwenderfreundlich, weil sie von diesen mit wenigen Handgriffen in das heimische smarte Homenetzwerk integriert werden können. Welche Probleme sich der Nutzer damit einhandelt, werden die meisten frühestens dann bemerken, wenn es zu einem Schadensfall gekommen ist, wobei viele auch dann das jeweilige Einfallstor nicht verorten können und es dann auch nicht schließen können.

Ausweichmöglichkeiten, wenn die Gefahr zu hoch erscheint

Wer auf die Vorteile eines Smart Home nicht verzichten mag, aber dennoch Dritten kein Einfallstor in seine traute Burg ermöglichen will, sollte nur solche smarten Geräte anschaffen, die ohne Zugriff ins öffentlich erreichbare Netz auskommen, was beispielsweise durch ein eigenes Netzwerk für die eigenen IoT-Geräte realisiert werden könnte.

Wer jetzt noch die technischen Möglichkeiten besitzt, seine Lampen mechanisch zu schalten und nicht gezwungen ist, deren Farbtemperatur an die des Sonnenlichts zum jeweiligen Tageszeitpunkt anzupassen, kann auch im stationären Leuchtmittelhandel noch entsprechende Einheiten finden, indem er nach Glühbirnen sucht. (Christoph Jehle)