„Zugriff verweigert“ – technischer und rechtlicher Schutz von Smart Home

Copyright:adobe.stock.com/Song_about_summer

Smart HomeGeräte erleichtern den Alltag, aber bergen auch Gefahren. SUMO diskutierte mit Armin Anders, Mitgründer und Vice President Business Development von EnOcean, und Daniel Stanonik, Rechtsanwalt von „Stanonik Rechtsanwälte“, über Sicherheit, Datenschutz und behördlichen Zugriff. 

Einer Studie des Kuratoriums für Verkehrssicherheit aus dem Jahre 2018 ergab, dass 45% aller ÖsterreicherInnen smarte Geräte nutzenAber sind diese auch gut geschützt? Um zu verstehen, wie Smart HomeGeräte vor externen Zugriffen gesichert sind, muss man zunächst die Technik dahinter näher betrachten. Der Mitgründer von EnOcean klärt auf. EnOcean ist ein Technologielieferant von energieautarker Funksensorik. „Wir liefern eine Technologie, um Funksensoren, Taster und Schalter drahtlos ohne Batterien zu realisieren. Wir sehen uns als Technologie und Komponentenprovider“, so Anders. Um Smart Home1 zu verstehen, ist auch die Abgrenzung zu Internet of Things2 relevant. Internet of Things und Smart Home bauen aufeinander auf. Bei Smart Home-Geräten würden verschiedene Sensoren mit einer Heimzentrale verbunden werden. Die Heimzentrale steuertechnische Einheiten, sogenannte Aktoren wie Heizung, Klimaanlage, Lüftung oder Licht. Die Steuerung könne lokal stattfinden, also im Haus, aber auch über die Sensoren und Aktoren, die über Gateways mit dem Internet verbunden sind. Eine lokale Steuerung von Smart Home-Geräten, welche abrufbar über das Smartphone ist und sich visualisieren lasse, nennt sich Smart Home. Internet of Things hingegen beschreibt Armin Anders so, als dass jeder Sensor, jeder Aktor einen Einzelknotenpunkt im Internet darstelle. Eine lokale Steuerung, bei dem die Daten über einen Browser visualisiert werden, biete nicht so viel Angriffsfläche über das Internet, behauptet der EnOcean Vizepräsident. 

Smart Home vor Gericht 

Wie Berichte zeigen, soll „Alexa in einem Mordfall in den USA im Gerichtsprozess „als Zeuge aussagen“, also die gespeicherten Daten sollen vor Gericht verwendet werden dürfen. Daniel Stanonik hat Erfahrung mit Fällen betreffend Smart Home. Er sieht Potential, dass Smart HomeGeräte bei der Ermittlung und im Gerichtsprozess hilfreich sein könnten. „Es ist im Endeffekt ein Computer“Hilfreich seien die Geräte insofern, dass die Systeme Informationen protokollieren, die bislang nicht bekannt sindz.B. Log-Daten. Beispielsweise könne das Gerät helfen, wenn es um Gewährleistungsfragen geht, also wann das Gerät aus welchem Grund nicht mehr funktioniert hätte. Diese Technologie habe den Vorteil, dass man unter Umständen erkenne, ab wann das Gerät defekt war und anhand der Fehlermeldung (Bedienungs-, System-, oder Gerätefehler), was die Ursache gewesen sei. Anhand der oben genannten Studie des Kuratoriums für Verkehrssicherheit hatten 10% der Smart HomeNutzerInnen bereits einen Schadensfall, davon sind 3% Verbindungsfehler. 

Sicher ist sicher 

Aber wie sicher sind unsere Geräte vor externen Zugriffen? Der EnOcean-Gründer erklärt, dass die Sicherheit der Geräte in zwei Strecken unterteilt werden könne. Einmal die Kommunikation zwischen Sensoren und der Zentrale, die heutzutage häufig über Funk funktioniere. Der Vorteil von funkbasierten Lösungen sei, dass kein Verkabelungsaufwand der Sensoren notwendig sei. Die zweite Strecke bilde die von der Smart Home Box ins Internet. Die Sicherheit eines Gerätes sei abhängig von der Nutzung. Grundsätzlich würden immer so viele Sicherheitsmechanismen eingebaut wie nötig, je mehr Sicherheit, desto höher werde auch der Arbeitsaufwand und folglich auch die Kosten. „Bei der Übertragung einer Zimmertemperatur braucht man nicht so viel Sicherheit in die Systeme einbauen. Da gibt es einen Unterschied, ob man Geld oder Leben schützen möchte“, so Armin Anders. Zutrittskontrollen beispielsweise benötigen folglich einen höheren Sicherheitsmechanismus3 als eine Temperaturkontrolle. Man differenziert unterschiedliche Sicherheitslevels, die in die Geräte implementiert werden. „Die Sicherheit ist immer an den Energiebedarf gebunden und je höher die Sicherheit, umso mehr Energie braucht man für die Funkübertragungsstrecke. Deshalb gibt es bei uns unterschiedliche Sicherheitslevels“, erläutert Anders. „Die Daten werden in der Zentrale gesammelt. Um hier die Sicherheit zu gewährleisten, müssen die Mechanismen richtig und ordnungsgemäß implementiert werden, erklärt der EnOcean Gründer. 

Geschützt auch durch das Gesetz 

79% der NutzerInnen von Smart HomeGeräten in Österreich fühlen sich sehr gut gegen Hackerangriffe geschützt, laut einer Studie des Kuratoriums für Verkehrssicherheit. 
Stanonik erläutert die Gesetzeslage in Österreich: „Smart HomeGeräte unterliegen keinen speziellen Gesetzen, denn die Gesetze werden in der Regel nach Inhalten und nicht nach Apps oder Geräten unterschieden.“ Es gebe hier zwei wesentliche Rechtsgebietedas Datenschutzrecht und das StrafrechtBeim Datenschutz gehe es darum, dass keine personenbezogenen Daten unrechtmäßig verarbeitet, z.B. ausgeforscht werden. Das Österreichische Strafgesetzbuch stellt in diesem Zusammenhang u.a. unter Strafe, wenn widerrechtlich auf ein Computersystem zugegriffen bzw. in ein solches eingedrungen wird. 

Behörden könnten nicht ohne Weiteres auf private Smart HomeGeräte zugreifen, da dieses Privatgut sei, wie beispielsweise ein Handy oder auch ein Schrank. Der Zugriff auf ein solches Gerät sei nur dann möglich, wenn es Ermächtigungen gebe wie einen richterlichen Beschluss. Wenn ein Straftatbestand oder ein Verdacht auf einen Straftatbestand bestehe, dann könne beispielsweise die Staatsanwaltschaft im Vermittlungsverfahren auf bestimmte Daten zugreifen. 

Das Gesetz und die Judikatur verlangen, dass im Zusammenhang mit der Verarbeitung von personenbezogenen Daten beispielsweise nicht mioffenem W-Lan oder mit ungeschütztem oder schwachem Passwort gearbeitet wird, sondern dass das jeweilige Netzwerk nach aktuellem Stand der Technik geschützt werdeHier liege es an den Unternehmen entsprechende Systeme zu entwickeln, die aufgrund von Voreinstellungen Datenschutzverletzungen überhaupt nicht möglich machen. 

Zusammenarbeit zwischen NutzerInnen und HerstellerInnen  

Stanonik sieht Smart Home auch als Gefahr, vor der man sich absichern sse. „Über ein ungesichertes Netz können Dritte auf das Gerät zugreifen.“ Die Informationen, die von dem/r BenutzerIn und Geräteherstellern übermittelt werden, müssten vor Dritten geschützt werden, denn sonst könnte das Passwort oder die Verbindung gehackt werden. „Es kann soweit kommen, dass ein/e Dritte/r ihr Gerät bedient und somit über ihr Kühlsystem, ihre Kamera, etc. Informationen entsprechend ausforschen bzw. stehlen kann.“ Der Rechtsanwalt fügt hinzu, dass die Steuerung von Kühlschrank, Jalousien oder Heizung von außen einen Bequemlichkeitsvorteil darstelle, aber gleichzeitig dadurch das Sicherheitsrisiko beträchtlich erhöht werde. 

„Man muss das System entsprechend konfigurieren und da sehe ich die Problematik, dass das viele Smarte HomeNutzerInnen nicht können und die Standardeinstellungen nicht die sichersten bzw. allgemein bekannt sind.“ Die Problematik sieht Stanonik insbesondere beim PasswortEs sei oft zu schwach und es werde keine ZweiFaktor-Authentifizierung (Kombination zweier unabhängiger Komponenten, wie im Bankwesen Passwort und TAN) verwendet, weshalb der Zugriff in das Private Dritten erleichtert werde. 

Auch Anders sieht Sicherheit als ein sehr ernstes, aber auch emotionales Thema. „Es können Implementierungsfehler entstehen, aber wenn man die Sicherheitssysteme entsprechend implementiert, dann sind die Systeme geschützt“, so der Vizepräsident von EnOcean. Als Beispiel nennt er hieOnline Banking. Das Vertrauen, unser Geld über Online Banking zu verwalten, bestehe, da die Sicherheitssysteme gut implementiert wurden. Er empfiehlt professionelle Systeme von professionellen Anbietern und keine billige Ware zu kaufen, da mit Sicherheit auch immer Aufwand betrieben werden müsse, der sich in Form von Kosten auch im Preis zeige. 

Sicherheit ist wohl der wesentlichste Parameter in der Nutzung solcher Geräte, welcher NutzerInnen beim Komfort programmierter Jalousien und Staubsaugern, Pflanzengieß- und Haustierfütterungsgeräten etc. wichtig sein sollte. 

von Raphaela Hotarek 

Smart Home: Der Begriff „beschreibt die Nutzung von intelligenter Informationstechnik im eigenen Wohnumfeld. Solche intelligente Informationstechnik kann in aller Regel Daten verarbeiten, ist mit dem Internet und/oder anderen Geräten vernetzt und fernsteuerbar.“ (Geminn, Christian L. (2016): Das Smart Home als Herausforderung für das Datenschutzrecht, in: Datenschutz und Datensicherheit – DuD, 40, S. 575) 

2 Internet of Things (dt. Internet der Dinge): Es „bezieht sich generell auf technische Möglichkeiten vielfältige physische Objekte (‚Dinge‘) an das Internet anzubinden und digitale Dienste für diese Dinge und/oder deren Anwender bereitzustellen.“ (Strohmeier, Stefan/Majstorovic, Dragana/Piazza, Franca/Theres, Christian (2016): Smart HRM – das „Internet der Dinge” im Personalmanagement, in: HMD Praxis der Wirtschaftsinformatik, 53, S. 839) 

Die drei Sicherheitsmechanismen: 1) Authentifizierung über IDs:  Der Sender muss sich in ein vom Unternehmen vorprogrammiertes System identifizieren. 2) AES 128 bit: AES steht für Advanced Encryption Standard. Über Verschlüsselungsmethoden wird für den Empfänger unkenntlich gemacht, welche Information mit dem Funksignal verbunden ist. 3) Rolling Code: Der Code verändert sich nach jeder Funksendung.