Allgemein Piratengedanken

Das smarte Heim: Verraten und verkauft, wenn undurchsichtige Firmen in der Cloud übernehmen

Produkte auf Cloud Basis sind in aller Munde, es lassen sich viele Funktionen kostengünstig und bequem realisieren, so z.B. der Zugriff über das Internet auf das Smarthome oder die Videokamera. Automatisches Einschalten der Heizung, wenn man in der Nähe der Wohnung ist, oder Lichtszenen können ohne große Kenntnisse eingerichtet werden.

Das hört sich auf den ersten Blick gut an, vielleicht zu gut? Lasst uns diesen Aussagen anhand einer kleinen Geschichte auf den Grund gehen:

Thomas findet die Aussagen der Hersteller, dass er sicher von unterwegs auf eine Kamera vor der Eingangstür und auf die zentrale Heizung zugreifen kann, um Paketboten abzufangen und die Heizung rechtzeitig einzuschalten, super. Er kauft sich Kamera und Heizungssteuerung von zwei verschiedenen Anbietern, da beide in ihren Bereichen sehr gut sind und viel versprechen. Nach der sehr einfachen Installation läuft das Ganze monatelang einwandfrei.

Da Thomas so zufrieden ist, legt er sich eine Steuerung für seine Lampen zu, um die Beleuchtung je nach Stimmungslage einzustellen und im Falle eines Einbruchs alle Lampen einzuschalten. Dass er nun beim Weggehen die Beleuchtung in allen Zimmern einfach ausschalten kann, findet er super. Auch sein Haustürschloss macht er smart und installiert eins, das er über sein Handy steuern kann.

Inzwischen hat Thomas auf seinem Handy vier verschiedene Apps, die unterschiedlich bedient werden und nicht zusammenarbeiten. Damit kommt er zwar zurecht , es ist aber umständlich und nicht zufriedenstellend.

Dann wird es Winter. Kalt und ungemütlich ist es draußen. Thomas kommt nach Hause, freut sich auf die warme Wohnung und bekommt einen Schreck, denn in der Wohnung ist es genauso kalt wie draußen. Er überprüft die Heizung, und ein rotes Licht „Error“ leuchtet. Sofort ruft er den Anbieter an. Der meint aber, es sei alles in Ordnung, er könne keinen Fehler feststellen. Nach ein paar Minuten funktioniert die Heizung auch wieder, bis sie nach einigen Tagen jedoch wieder ausfällt. Dieses Mal bittet Thomas einen Freund um Hilfe. Dieser stellt fest, dass es auf dem Weg über das Internet, kurz vorm Rechenzentrum des Heizungssteuerungsanbieters, zu Fehlern kam und Daten verworfen wurden. Es kostet Thomas einige Mühe, den Anbieter von dieser Erklärung zu überzeugen, da es von anderen Internetanbietern aus funktioniert.  Die Diskussionen ziehen sich wochenlang hin, bis irgendwann der Spuk vorbei ist und die Heizung wieder funktioniert. Nach Rückfrage stellt sich heraus, dass der betroffene Verteiler neu gestartet wurde.Nach Rückfrage stellt sich heraus, dass der betroffene Verteiler neu gestartet wurde.

Es gehen wieder einige Wochen ins Land, und alles funktioniert einwandfrei. Thomas ist so zufrieden, dass er den bisherigen Stress fast vergisst, bis er eines Abends nicht mehr in sein Haus kommt. Das elektronische Schloss, das er mit seinem Handy normalerweise aufmachen kann, reagiert nicht. Der Händler ist auch ratlos, da er den Hersteller schon vor längerem aus dem Programm genommen hat. Den Notschlüssel, mit dem man das Schloss auf bekommen würde, hat er nicht dabei. Notgedrungen muss er auf einen Schlüsseldienst zurückgreifen, der ihm für teures Geld die Tür öffnet. Im Internet liest Thomas, dass der Hersteller insolvent ist und alle Schlösser abgeschaltet wurden.

Wutentbrannt tauscht Thomas das Schloss gegen eins eines anderen Anbieters. Einige Wochen geht alles gut, bis er eines Abends nach Hause kommt und alle Wertgegenstände weg sind. Er ruft die Polizei, und diese stellt fest, dass keinerlei Einbruchsspuren vorhanden sind. Die Versicherung verweigert daher vorerst eine Regulierung des Schadens. Erst mit Hilfe eines Anwalts findet er heraus, was passiert ist: Eine professionelle Bande hat die Daten des Anbieters der Beleuchtungssteuerung aller Anwohner der Siedlung gekauft (waren anscheinend gar nicht so wenige) und diese auf regelmäßige Abwesenheit überprüft. Bei Thomas kam noch hinzu, dass ein  Einbruch durch einen Fehler im digitalen Schloss sehr einfach und nicht nachweisbar war. Seine Überwachungskameras konnte mit einem WLAN-Jammer temporär außer Betrieb gesetzt werden.

Ob die Versicherung im Endeffekt bezahlt, kann ich nicht sagen, ich weiß nur, dass Thomas alle Geräte vom Internet getrennt hat und keines mehr benutzen konnte. Da er auf viele Funktionen nicht verzichten und das Geld für die Geräte nicht abschreiben wollte, fing er an, im Internet nachzulesen, wie und ob er seine Geräte ohne Internetanbindung und Ausschnüffelei weiter betreiben könnte.

Wer nicht glaubt, dass eine solche Geschichte wahr sein könnte, der sollte froh sein, wenn seine Hausautomatisierung nicht von einem Hacker komplett übernommen wird. Es macht keinen Spaß, wenn man nach Hause kommt, die Heizung immer wärmer wird oder wenn Stimmen und Musik aus dem Lautsprecher der Kamera quellen und man kaum was was dagegen machen kann. Dies ist vor einiger Zeit einem Pärchen in den USA passiert, dessen 2018 gekauften Geräte (Thermostat, Türspion und Überwachungskamera) ein Angreifer unter seine Kontrolle brachte und das Pärchen mit den smarten Geräten terrorisierte (Golem).

Viele Geräte für die Hausautomatisierung kann man Zuhause mit einem kleinen Heimserver (ein großes Wort für ein kleines Gerät, das ohne viel Rechenleistung auskommt) und mit passenden kleinen Zusatzgeräten als Gateways betreiben. Dafür kommt eine solche Lösung ohne Cloud aus, ist unabhängig von externen Anbietern und verkauft keine Daten. Schauen wir uns Vor- und Nachteile der beiden Lösungswege mit und ohne Cloud an:

Vorteile Nachteile
Cloud-
Lösung
  • Eine Cloud Lösung ist relativ einfach und bequem zu installieren. Die Wartung der Geräte durch den Benutzer ist im Allgemeinen nicht notwendig, da diese vom Anbieter übernommen wird.
  • Kaum Fachwissen notwendig.
  • Einfacher Zugriff auf Geräte der Hausautomatisierung über das Internet möglich.
  • Als Einmalkosten fallen nur die Kosten für die verwendeten Geräte an.
  • Kontrollverlust über die eigenen Daten.
  • Mit Hilfe der abgeflossenen Daten können detaillierte Profile der Bewohner angelegt werden. Es lässt sich nachvollziehen wann wer da ist und was macht.
  • Anbindungen und Verknüpfungen der Geräte zu Anbietern und anderen Dienstleistern sind für den normalen Benutzer nicht nachvollziehbar und undurchschaubar.
  • Es existieren keine gesetzlich vorgeschriebenen Sicherheitsstandards oder „Best Practices“, diese geben die Anbieter vor.
  • Lokale Funktionen wie z.B. die Steuerung des Lichts, das Regeln der Heizung oder Energiemessungen laufen zum größten Teil nur wenn das Internet vom Anschluss bis zum Anbieter funktioniert.
  • Geräte können vom jeweiligen Anbietern abgeschaltet werden.
  • Das Fernsteuern der Geräte durch Fremde / Hacker aus dem Internet ist möglich.
  • Mangelnde Kompatibilität der Anbieter untereinander.
  • Es existiert eine starke Abhängigkeit von den Anbietern der Geräte und Lösungen.
  • Es fallen laufende Kosten für Anbindungen an die Anbieter an.
Lokale
Lösung
  • Es fließen keine Daten lokal gesteuerter Geräte zu einer Cloud oder anderen Anbietern ab.
  • Das Erstellen von Profilen der Bewohner über das Internet ist nicht möglich.
  • Alle Anbindungen und Verknüpfungen der Geräte sind unter der Kontrolle des Benutzers und können nachvollzogen werden.
  • Die verwendeten Sicherheitsstandards können im Rahmen der verwendeten Technologien selbst ausgewählt werden.
  • Alle lokalen Funktionen wie z.B. die Steuerung des Lichts, das Regeln der Heizung oder Energiemessungen sind nicht auf ein funktionierendes Internet angewiesen.
  • Lokal gesteuerte Geräte können nicht durch den jeweiligen Anbieter abgeschaltet werden
  • Eine Fernsteuerung der Geräte aus dem Internet ist unter der Kontrolle des Anwenders möglich.
  • Geräte verschiedener Anbieter sind kombinierbar und flexibel konfigurierbar.
  • Es existiert keine direkte Abhängigkeit von den Anbietern der Geräte
  • Es fallen keine laufende Kosten für Anbindungen an die Anbieter für lokal gesteuerte Geräte an.
  • Ein höherer Aufwand für Installation und Wartung der Geräte ist notwendig. Der Benutzer muss sich selbst um alle relevanten Tätigkeiten kümmern.
  • Es ist Fachwissen, das über Foren und Communities im Internet erworben werden kann, notwendig.
  • Der Zugriff auf Geräte der Hausautomatisierung über das Internet ist möglich, für die Einrichtung und Einhaltung der notwendigen Sicherheitsstandards ist der Benutzer selbst verantwortlich.
  • Zusätzlich zu den Einmalkosten für die verwendeten Geräte fallen zusätzliche Kosten für benötigte lokale Geräte wie Heimserver, Gateways und u.U. für weitere Software an.

Solche Geschichten werden wir immer öfter zu lesen bekommen. Wir PIRATEN sehen drei Probleme, die die Hauptursachen sind:

Erstens ist der Datenschutz dieser neuen Technologien völlig unzureichend. Die Firmen, die smarte Haushaltsgeräte verkaufen, wollen vor allem auch selber Daten abgreifen. Und sie wollen es ihren Kunden bequem machen, denn Bequemlichkeit verführt. Die meisten Leute haben keine Lust, sich mit komplizierten Datenschutzeinstellungen und Installationen herumzuplagen, sie wollen möglichst benutzerfreundlich mit wenig Aufwand bedient werden. Sie entscheiden sich daher, dem Anbieter zu vertrauen, nach dem Motto „wird schon gut gehen, ich habe ja nichts zu verbergen“. Daher heizen Bequemlichkeit und Nutzerfreundlichkeit das Geschäft an, sorgfältiger Datenschutz dagegen weniger. Datenschutz im Sinne der Kunden verursacht auch Kosten für den Hersteller und läuft seinen Interessen an eigener Datensammmelei zuwider. Lücken im Datenschutz werden aber von Kriminellen ausgenutzt. Außerdem öffnen sie Geheimdiensten und Behörden Tür und Tor für Überwachung. Wenn eine Überwachungstechnik möglich ist, kommt früher oder später ein Law-and-Order-Politiker und fordert ein neues Gesetz, was den Behörden diesen Zugriff erlaubt (vgl. unseren Blogbeitrag zu Hessendata. Wir fordern, dass unser Grundrecht auf Schutz der Privatsphäre auch im digitalen Zeitalter konsequent geschützt wird (vgl. unser Parteiprogramm zu Privatsphäre)

Zweitens ist die Software, die zur Steuerung der smarten System genutzt wird, proprietär. Das heißt, der Quellcode für die Software ist nicht von unabhängiger Seite kontrollierbar, anders als z.B. Autos, für die es den TÜV gibt. Man weiß nicht, was eine Software genau macht, ob sie vielleicht heimlich Daten abgreift, ob sie Fehler und Einfallstore hat, ob sie immer mit anderer Software zusammenspielen wird oder ob sie plötzlich ganz abgeschaltet wird. Der Kunde muss also einer Firma vertrauen und ist völlig von ihr abhängig. Geht die Firma insolvent, hat er geloost, was noch die harmlosere Variante ist. Es kann auch ein Hacker eine Sicherheitslücke finden, oder ein Geheimdienst, weil der Kontakt eines Kontakts einen Diktator-kritischen Artikel geschrieben hat. Niemand kann von außen beurteilen, wie zuverlässig ein solches proprietäres System funktioniert, und wie lange man darauf vertrauen kann. Wir PIRATEN fordern deshalb freie offene Standards, damit Systeme von unabhängiger Seite überprüft werden können und bei Bedarf von Systemen anderer Firmen ersetzt werden können. Die Macht über Systeme und Daten darf nicht in den Händen Einzelner konzentriert werden, und Abhängigkeit von einzelnen Herstellern muss minimiert werden (vgl. unser Parteiprogramm zu freier, demokratisch kontrollierter Infrastruktur.

Drittens ist der Kunde zusätzlich von einer Vielzahl an Dienstleistern abhängig, die vom Zugangsprovider, wie z. B. Telekom, Vodafone oder O2, bis zum Rechenzentrum des Anbieters alle zusammen das Internet darstellen. Wenn auch nur einer davon auf dem Weg durch das Internet einen Fehler im System hat, funktioniert die ganze schöne Cloud-Welt nicht mehr. Es kann nicht in unserem Sinn sein, dass das Funktionieren einer Hausautomatisierung mehr oder weniger Glücksache ist. Ziel muss es sein, dass alle lokalen Funktionen, wie z. B. das Ein- oder Ausschalten des Lichts oder die Regelung der Heizung, das Haus nicht verlassen. Nur durch eine solche Lösung sind die Forderungen der Piratenpartei nach Datenschutz, Verfügbarkeit und Unabhängigkeit des Kunden von Konzernen und Diensteanbieter gewährleistet. Denn dann kann Hardware nicht von außen abgeschaltet werden, dann fallen keine Daten für einen Verkauf durch die Diensteanbieter an und zu guter Letzt läuft eine solche Lösung auch ohne Internet.

Natürlich wird es auch Funktionen wie das Fernsteuern der Kamera über das Internet geben. Aber muss das über die Cloud eines Anbieters gehen, ohne dass der Kunde die Kontrolle hat? Hierfür gibt es Lösungen, die einen Benutzer sicher über VPN Tunnel auf seine lokale Infrastruktur zugreifen lassen. Die Anbieter sollten stattdessen verpflichtet werden, solche Lösungen mit anzubieten. 

Wir PIRATEN fordern offene Standards, damit kein Kunde von einem bestimmten Anbieter abhängig wird (vgl. unser Parteiprogramm zu Offenen_Standards), wir fordern Regelungen, die den Datenschutz für den Kunden gewährleisten, und wir fordern eine Politik, die die Digitalisierung und ein vielfältiges Angebot fördert.

Eine Auswahl interessanter Webseiten zum Weiterlesen

Hausautomatisierungs Software

Die Liste erhebt keinen Anspruch auf Vollständigkeit, dafür gibt es auf dem Markt zu viele Produkte und Lösungen für die unterschiedlichsten Ansprüche.

Beitragsbild: Annette Schaper-Herget
Lizenz: CC mit Namensnennung: https://creativecommons.org/licenses/by/4.0/