Smarter Lautsprecher, intelligente Beleuchtungssysteme oder mit dem Internet vernetzte Haushaltsgeräte: Bei Millionen Menschen lagen an Weihnachten wieder Geräte aus der Kategorie Smart Home unter dem Christbaum. 75 Prozent der Deutschen haben laut Cybersicherheitsmonitor 2024 mindestens eines zu Hause. Was viele nicht wissen: Die Geräte stehen zunehmend im Fokus von Hackern.

Natürlich ist es praktisch, das Licht per App zu steuern, den Saugroboter per Sprachbefehl zu starten oder mit dem smarte Thermostat die Temperatur aus der Ferne zu regeln. Doch das Bundesamt für Verfassungsschutz warnte Ende 2024 vor Cyberattacken aus China. Die Angreifer hätten es nicht wie sonst auf Firmen, sondern auch auf Heimnetzwerke in Privathaushalten abgesehen.

Kriminelle nutzen die Geräte entweder, um private Lebensbereiche auszuspionieren, sensible Nutzerdaten zu stehlen oder um die einzelnen Geräte zu Botnetzen zusammenzuschließen. Im Verbund lassen sich damit Webseiten angreifen, massenhaft Spamnachrichten verschicken oder durch die gebündelte Rechenleistung Kryptowährungen wie Bitcoins schürfen.

Betroffene kriegen nichts mit

Da infizierte Geräte meist trotzdem normal funktionieren, bekommen Betroffene davon in der Regel nichts mit. Daher lässt sich auch über die genaue Zahl der erfolgreichen Angriffe wenig sagen, schreibt das Bundeskriminalamt auf Anfrage der Staatszeitung. Laut einer aktuellen IT-Sicherheitsstudie wird jedes Smart-Home-Gerät zehnmal pro Tag attackiert – vor allem Smart-Fernseher, Streaming-Geräte oder intelligente Schalter.

Selbst wenn Betroffene stutzig werden, weil etwa der hohe Datenverbrauch auffällt, verzichten laut BKA viele auf eine Anzeige, da für sie kein „wahrnehmbarer Schaden“ entstanden ist – ein Trugschluss. Denn hinter dem Angriff stecken oft finanzielle Motive wie Erpressung oder Datenverkauf.

Konkrete Zahlen zu den Attacken kann auch das Bayerische Landeskriminalamt (BLKA) nicht nennen. „Es gab in Bayern jedoch bereits einige Fälle von unberechtigtem Zugriff auf Smart-Home-Geräte“, warnt ein Specher. Damit seien beispielsweise Jalousien geschlossen worden. Hinter den Angriffen steckten internationale, teils staatlich unterstützte Hackergruppierungen.

Hilft das neue EU-Gesetz?

Durch die steigende Zahl von Smart-Home-Geräten rechnet das BLKA in Zukunft mit einem weiteren Anstieg der Attacken. Insbesondere Hersteller günstigerer Geräte würden Sicherheitslücken oft nicht schließen und schon nach kurzer Zeit keine Sicherheitsupdates für ihre Produkte mehr anbieten. „Verwundbare Geräte können mit einfachen Mitteln von Angreifern im Internet gefunden und mit geeigneten Tools kompromittiert werden“, mahnt ein Sprecher.

Nicht immer aber trifft die Schuld die Hersteller. Viele Menschen gehen viel zu sorglos mit ihrem Smart Home um. Über 99 Prozent der Angriffe gehen laut Cybersicherheitsmonitor auf Sicherheitslücken zurück, die durch ein Update hätten geschlossen werden können. Außerdem schützt nur ein Drittel die Smart-Home-Geräte mit einem starken Passwort. Sicherheit spielt auch beim Gerätekauf nur für ein Viertel der Befragten eine Rolle.

Wie wird das erst in Zukunft, wenn immer mehr ältere Menschen immer sensiblere Smart-Home-Funktionen nutzen? Laut einer Studie des Zentralen Immobilien Ausschusses und des Beratungsunternehmens KPMG spielen für 89 Prozent der Immobilienunternehmen Smart-Building-Technologien eine Rolle. Bei 69 Prozent ist in den Gebäuden sogar mindestens ein intelligentes Sicherheitssystem verbaut, das es zu schützen gilt. Wenn Hacker die Wohnungstür aus der Ferne öffnen können, braucht es keinen umständlichen Enkeltrick mehr.

Nicht nutzen, ist keine Option

„Smarte Technologien generell nicht zu nutzen, ist trotzdem keine Option“, meint IT-Sicherheitsprofessor Georg Sigl von der Technischen Universität München. Analoge Technologien seien ebenfalls anfällig. Tatsächlich können Wohnungstüren in Sekunden mit einem Dietrich geöffnet werden. Um die Sicherheit im Haus zu verbessern, muss laut Sigl der Forschungsbereich „Usable Security“ weiter ausgebaut werden. „Sicherheitstechnologien zeigen die beste Wirkung, wenn die Nutzenden in die Entwicklung mit einbezogen wurden“, erklärt er.

Der im Dezember vom EU-Parlament beschlossene Cyber Resilience Act (CRA) verpflichte die Hersteller dazu, bereits im Design der Produkte verstärkt auf deren Sicherheit zu achten – etwa durch automatische Updates, die mindestens fünf Jahre lang angeboten werden müssen. Außerdem müssen Sicherheitsupdates über den gesamten Lebenszyklus des Produkts bereitgestellt sowie Schwachstellen aktiv gemeldet und behoben werden. Erkennen kann man diese Produkte am bekannten CE-Kennzeichen.

„Innenminister Herrmann und Digitalminister Mehring müssen nun sicherstellen, dass sich alle Hersteller an die neuen Vorgaben wie beispielsweise die Updatepflicht halten und entsprechende Kontroll- und Meldemöglichkeiten schaffen“, fordert der digitalpolitische Sprecher der Landtags-Grünen, Benni Adjei. Auch müsse über alle Generationen hinweg mehr Wert auf digitale Bildung gelegt werden.

Kostenlose Workshops

Das Digitalministerium verweist in diesem Zusammenhang auf die Initiative „Digital Verein(t) 2.0“, die bayernweit digitales Basiswissen an Vereine und Ehrenamtliche in 400 kostenlosen Workshops vermittelt. Und auf die Medienkompetenz-App „Wo ist Goldie“, bei der Kinder ab acht Jahren auf spielerische Weise lernen können, verdächtige E-Mails zu erkennen.

Leider helfen aber weder das beste Fachwissen noch die besten Sicherheitsmaßnahmen, wenn die Geräte bereits vor dem Kauf mit Schadsoftware infiziert sind. Vor zwei Wochen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei 30 000 solcher Geräte die Kommunikation mit den Hackern unterbunden. „Schadsoftware auf internetfähigen Produkten ist leider kein seltenes Phänomen“, erläutert BSI-Präsidentin Claudia Plattner. Die Dunkelziffer , warnt Plattner, dürfte also weitaus höher sein.
(David Lohmann)