Das AV-Test Institut war das erste Forschungsinstitut, das sich mit der Sicherheit von Produkten und Diensten im Bereich Smart Home, IoT und eHealth beschäftigte. Maik Morgenstern, CTO der AV-Test GmbH, steuert die Planung und Durchführung neuer Testszenarien, die technischen Innovationen sowie die kontinuierliche Reaktion auf neue Bedrohungen. Mit home&smart hat er seine Einschätzung zur Sicherheit von IoT-Produkten geteilt und eine Zukunftsprognose gewagt.
Maik Morgenstern im Interview
Was haben Sie selbst Smartes zuhause?
In unserem Haus lassen wir uns von Sprachassistenten und vernetzten Haushaltsgeräten unterstützen. Allerdings müssen die von mir privat eingesetzten Produkte eben wirklich smart sein, also neben der jeweiligen Funktion auch die Sicherheit meiner Familie gewährleisten oder diese zumindest nicht gefährden. Dazu gehört die Sicherheit der Produkte an sich, aber auch der angebundenen Geräte und Dienste - und vor allem der entsprechende Schutz unserer privaten Daten. Darum ist bei Produktüberprüfungen durch das AV-TEST Institut das Erfassen, Weiterleiten, Speichern und Nutzen von Daten ein nicht zu unterschätzendes Prüfkriterium.
Wie steht es aktuell um die Sicherheit von Smart Home- und IoT-Produkten?
Leider nicht zum Besten, wie unsere Tests regelmäßig zeigen. Viele Produkte, die aktuell den Markt überschwemmen, sind unsicher und leicht anzugreifen. Oft wird bei der Entwicklung von Geräten und Diensten überhaupt nicht an die Sicherheit der Nutzer gedacht. Deutlich wichtiger ist vielen Herstellern die schnelle Markteroberung mit möglichst vielen Funktionen - Sicherheit wird häufig noch als unnötiger Kostenfaktor empfunden. Dadurch haben wir viele Geräte auf dem Markt, die weder über sinnvolle Sicherheitsfeatures verfügen noch über eine Möglichkeit, solche nachzurüsten. Kriminelle können via Internet mit erschreckend einfachen Mitteln auf solche Geräte zugreifen und sie ganz unterschiedlich missbrauchen. So lassen sich etwa die Funktionen einer IP-Kamera hervorragend gegen ihren eigentlichen Besitzer einsetzen: Über Sicherheitsmängel der Geräte selbst oder angebundener Apps, Anwendungen und Onlinedienste lassen sich Kameras anzapfen, fernsteuern und die Bewohner ausspionieren.
Neben Angriffen durch Dritte spielt aber auch der Datenschutz eine Rolle. Vernetzte Geräte sammeln durchgehend teils sehr sensible Daten und übertragen diese an den Hersteller. Oft bleibt unklar, wer Zugriff auf welche Daten erhält und was damit geschieht.
Das Optimum: Sichere, zertifizierte Geräte mit gutem Kennwortschutz, sicherer Datenerfassung und -weiterleitung in einem gut abgeschirmten WLAN mit unterschiedlichen Bereichen, etwa einem vom Smart Home-Netzwerk getrennten Gästenetz. Alle angebundenen Geräte werden regelmäßig automatisch mit den neuesten Sicherheitsupdates aktualisiert und Hersteller reagieren sofort bei Bekanntwerden von Sicherheitslücken.
Wie steht Deutschland in Sachen IoT-Sicherheit im internationalen Vergleich da?
Die Erfahrungen mit deutschen Produkten sind in der Regel deutlich positiver als mit Anbietern anderer Länder. Aber auch in Deutschland gibt es natürlich Anbieter, die schnell ein Produkt auf den Markt werfen und Sicherheit dabei nicht im Fokus haben. Im Wahlkampf warb eine Partei mit dem Slogan „Digital first. Bedenken second.“ Das zeigt ganz gut die noch herrschende Unbedarftheit trotz klar wahrnehmbarer Angriffe gegen Smart Home- und IoT-Produkte und Dienste.
Dennoch sind In kaum einem Land die Kunden so für IT-Sicherheit und Datenschutz sensibilisiert wie in Deutschland. Hier könnte etwa die Entwicklung von Produkten und Dienstleistungen zum Schutz der Nutzerdaten zu einem echten Qualitätsmerkmal von Produkten entwickelt werden, das auch international einen Wettbewerbsvorteil bringen kann.
Wie wird Verbrauchern Hilfestellung gegeben?
Bisher ist von staatlicher Seite einiges in Planung, aber so gut wie nichts umgesetzt. Es gibt Bemühungen zur Entwicklung eines besiegelten Mindeststandards für IoT-Geräte, wie es AV-TEST durch entsprechende Tests und Zertifizierungsverfahren mit Herstellern wie Qivicon, Bosch, e-Q3, Devolo und Smartfrog längst praktiziert. Solche sicheren Produkte erkennen Endanwender am Prüfsiegel „Zertifiziertes Smart Home Produkt“ von AV-TEST.
Auf unserer Website stellen wir Verbrauchern kostenlose Tests marktentscheidender IoT-Produkte zur Verfügung. Unter jedem Test zeigen Testsiegel mit der 3-Sterne-Wertung die Sicherheit der überprüften Produkte an. Produkte, die von unseren Testingenieuren mit weniger als zwei Sternen bewertet wurden, würde ich mir nicht ins Haus stellen.
Wagen wir einen Blick in die Zukunft: Worst und Best Case Scenario in Sachen IoT/Smart Home?
So weit in die Zukunft müssen wir da gar nicht sehen: Für die Sicherheit von Häusern und Wohnungen leisten sichere, zertifizierte Smart Home-Systeme bereits gute Dienste, etwa bei der Abwehr von Personenschäden im Brandfall. Hier können Rauchwarnmelder beispielsweise im Zusammenspiel mit Licht-, Schließ- und Jalousiesystemen schon Leben retten.
Die Komplettüberwachung der Wohnung über unsichere IoT-Kamerasysteme durch Kriminelle und Massenangriffe mittels mit Schadprogrammen infizierter Smart Home-Geräte durch Botnets wie Mirai oder IoT_reaper sind dagegen auch längst Realität. Regelmäßig weisen wir auf die Folgen gezielter terroristischer Angriffe auf vernetzte Systeme hin, wie sie beispielsweise für Flughäfen, Bahnsteuerungen, Versorgungs- oder Produktionsanlagen eingesetzt werden. Die Zahl solcher Angriffe ist trotz vieler gefährdeter Systeme noch recht überschaubar, dennoch herrscht hier Handlungsbedarf.
Die mit * gekennzeichneten Links sind sogenannte Affiliate Links. Kommt über einen solchen Link ein Einkauf zustande, werden wir mit einer Provision beteiligt. Für Sie entstehen dabei keine Mehrkosten.
Wir haben Kooperationen mit verschiedenen Partnern. Unter anderem verdienen wir als Amazon-Partner an qualifizierten Verkäufen.