5 minute read
Zugriff verweigert“ - technischer und rechtlicher Schutz von Smart Home von Raphaela Hotarek
from SUMO Ausgabe 35
„Zugriff verweigert“ – technischer und rechtlicher Schutz von Smart Home
Smart Home-Geräte erleichtern den Alltag, aber bergen auch Gefahren. SUMO diskutierte mit Armin Anders, Mitgründer und Vice President Business Development von EnOcean, und Daniel Stanonik, Rechtsanwalt von „Stanonik Rechtsanwälte“, über Sicherheit, Datenschutz und behördlichen Zugriff.
Eine Studie des Kuratoriums für Verkehrssicherheit aus dem Jahre 2018 ergab, dass 45% aller ÖsterreicherInnen smarte Geräte nutzen. Aber sind diese auch gut geschützt? Um zu verstehen, wie Smart Home-Geräte vor externen Zugriffen gesichert sind, muss man zunächst die Technik dahinter näher betrachten. Der Mitgründer von EnOcean klärt auf. EnOcean ist ein Technologielieferant von energieautarker Funksensorik. „Wir liefern eine Technologie, um Funksensoren, Taster und Schalter drahtlos ohne Batterien zu realisieren. Wir sehen uns als Technologie und Komponentenprovider“, so Anders. Um Smart Home 1 zu verstehen, ist auch die Abgrenzung zu Internet of Things 2 relevant. Internet of Things und Smart Home bauen aufeinander auf. Bei Smart Home-Geräten würden verschiedene Sensoren mit einer Heimzentrale verbunden werden. Die Heimzentrale steuere technische Einheiten, sogenannte Aktoren wie Heizung, Klimaanlage, Lüftung oder Licht. Die Steuerung könne lokal stattfinden, also im Haus, aber auch über die Sensoren und Aktoren, die über Gateways mit dem Internet verbunden sind. Eine lokale Steuerung von Smart Home-Geräten, welche abrufbar über das Smartphone ist und sich visualisieren lasse, nennt sich Smart Home. Internet of Things hingegen beschreibt Armin Anders so, als dass jeder Sensor, jeder Aktor einen Einzelknotenpunkt im Internet darstelle. Eine lokale Steuerung, bei dem die Daten über einen Browser visualisiert werden, biete nicht so viel Angriffsfläche über das Internet, behauptet der EnOcean-Vizepräsident.
Smart Home vor Gericht
Wie Berichte zeigen, soll „Alexa“ in einem Mordfall in den USA im Gerichtsprozess „als Zeuge aussagen“, also die gespeicherten Daten sollen vor Gericht verwendet werden dürfen. Daniel Stanonik hat Erfahrung mit Fällen betreffend Smart Home. Er sieht Potential, dass Smart Home-Geräte bei der Ermittlung und im Gerichtsprozess hilfreich sein könnten. „Es ist im Endeffekt ein Computer“. Hilfreich seien die Geräte insofern, dass die Systeme Informationen protokollieren, die bislang nicht bekannt sind, z.B. Log-Daten. Beispielsweise könne das Gerät helfen, wenn es um Gewährleistungsfragen geht, also wann das Gerät aus welchem Grund nicht mehr funktioniert hätte. Diese Technologie habe den Vorteil, dass man unter Umständen erkenne, ab wann das Gerät defekt war und anhand der Fehlermeldung (Bedienungs-, System-, oder Gerätefehler), was die Ursache gewesen sei. Anhand der oben genannten Studie des Kuratoriums für Verkehrssicherheit hatten 10% der Smart HomeNutzerInnen bereits einen Schadensfall, davon sind 3% Verbindungsfehler.
Sicher ist sicher
Aber wie sicher sind unsere Geräte vor externen Zugriffen? Der EnOceanGründer erklärt, dass die Sicherheit der Geräte in zwei Strecken unterteilt werden könne. Einmal die Kommunikation zwischen Sensoren und der Zentrale, die heutzutage häufig über Funk funktioniere. Der Vorteil von funkbasierten Lösungen sei, dass kein Verkabelungsaufwand der Sensoren notwendig sei. Die zweite Strecke bilde die von der Smart Home Box ins Internet. Die Sicherheit eines Gerätes sei abhängig von der Nutzung. Grundsätzlich würden immer so viele Sicherheitsmechanismen eingebaut wie nötig, je mehr Sicherheit, desto höher werde auch der Arbeitsaufwand und folglich auch die Kosten. „Bei der Übertragung einer Zimmertemperatur braucht man nicht so viel Sicherheit in die Systeme einbauen. Da gibt es einen Unterschied, ob man Geld oder Leben schützen möchte“, so Armin Anders. Zutrittskontrollen beispiels-
weise benötigen folglich einen höheren Sicherheitsmechanismus 3 als eine Temperaturkontrolle. Man differenziert unterschiedliche Sicherheitslevels, die in die Geräte implementiert werden. „Die Sicherheit ist immer an den Energiebedarf gebunden und je höher die Sicherheit, umso mehr Energie braucht man für die Funkübertragungsstrecke. Deshalb gibt es bei uns unterschiedliche Sicherheitslevels“, erläutert Anders. „Die Daten werden in der Zentrale gesammelt. Um hier die Sicherheit zu gewährleisten, müssen die Mechanismen richtig und ordnungsgemäß implementiert werden“, erklärt der EnOceanGründer.
Zusammenarbeit zwischen NutzerInnen und HerstellerInnen
Stanonik sieht Smart Home auch als Gefahr, vor der man sich absichern müsse. „Über ein ungesichertes Netz können Dritte auf das Gerät zugreifen.“ Die Informationen, die von dem/r Benutzer/in und Geräteherstellern übermittelt werden, müssten vor Dritten geschützt werden, denn sonst könnte das Passwort oder die Verbindung gehackt werden. „Es kann soweit kommen, dass ein/e Dritte/r ihr Gerät bedient und somit über ihr Kühlsystem, ihre Kamera, etc. Informationen entsprechend ausforschen bzw. stehlen kann.“ Der Rechtsanwalt fügt hinzu, dass die Steuerung von Kühlschrank, Jalousien oder Heizung von außen einen Bequemlichkeitsvorteil darstelle, aber gleichzeitig dadurch das Sicher„Man muss das System entsprechend konfigurieren und da sehe ich die Problematik, dass das viele Smarte Home-NutzerInnen nicht können und die Standardeinstellungen nicht die sichersten bzw. allgemein bekannt sind.“ Die Problematik sieht Stanonik insbesondere beim Passwort. Es sei oft zu schwach und es werde keine ZweiFaktor-Authentifizierung (Kombination zweier unabhängiger Komponenten, wie im Bankwesen Passwort und TAN) verwendet, weshalb der Zugriff in das Private Dritten erleichtert werde. Auch Anders sieht Sicherheit als ein sehr ernstes, aber auch emotionales Thema. „Es können Implementierungsfehler entstehen, aber wenn man die
heitsrisiko beträchtlich erhöht werde. Sicherheitssysteme entsprechend implementiert, dann sind die Systeme geschützt“, so der Vizepräsident von EnOcean. Als Beispiel nennt er hier Online Banking. Das Vertrauen, unser Geld über Online Banking zu verwalten, bestehe, da die Sicherheitssysteme gut implementiert wurden. Er empfiehlt professionelle Systeme von professionellen Anbietern und keine billige Ware zu kaufen, da mit Sicherheit auch immer Aufwand betrieben werden müsse, der sich in Form von Kosten auch im Preis zeige. Sicherheit ist wohl der wesentlichste Parameter in der Nutzung solcher Geräte, welcher NutzerInnen beim Komfort programmierter Jalousien und Staubsaugern, Pflanzengieß- und Haustierfütterungsgeräten etc. wichtig sein sollte.
von Raphaela Hotarek
Daniel Stanonik / Copyright: Nenad Ivic
Armin Anders / Copyright: EnOCean
• 1 Smart Home: Der Begriff „beschreibt die Nutzung von intelligenter Informationstechnik im eigenen Wohnumfeld. Solche intelligente Informationstechnik kann in aller Regel Daten verarbeiten, ist mit dem Internet und/oder anderen Geräten vernetzt und fernsteuerbar.“ (Geminn, Christian L. (2016): Das Smart Home als Herausforderung für das Datenschutzrecht, in: Datenschutz und Datensicherheit - DuD, 40, S. 575) • 2 Internet of Things (dt. Internet der Dinge): Es „bezieht sich generell auf technische Möglichkeiten vielfältige physische Objekte (‚ ‚Dinge‘) an das Internet anzubinden und digitale Dienste für diese Dinge und/ oder deren Anwender bereitzustellen.“ (Strohmeier, Stefan/Majstorovic, Dragana/Piazza, Franca/Theres, Christian (2016): Smart HRM – das „Internet der Dinge” im Personalmanagement, in: HMD Praxis der Wirtschaftsinformatik, 53, S. 839) • 3 Die drei Sicherheitsmechanismen: 1) Authentifizierung über IDs: Der Sender muss sich in ein vom Unternehmen vorprogrammiertes System identifizieren. 2) AES 128 bit: AES steht für Advanced Encryption Standard. Über Verschlüsselungsmethoden wird für den Empfänger unkenntlich gemacht, welche Information mit dem Funksignal verbunden ist. 3) Rolling Code: Der Code verändert sich nach jeder Funksendung.
