Smart Home und mögliche politische Regulierungen

Tags: #<Tag:0x00007f13170814f8> #<Tag:0x00007f1317081408> #<Tag:0x00007f13170812f0>

Smart Home wird mehr und mehr kommen. Daran gibt es keinen Zweifel. Ist es aber nicht längst an der Zeit gesetzliche Vorgaben für solche Gerätschaften festzulegen? Klar, wir haben Datenschutzrechte, aber die reichen für diese Geräte nicht aus und der Prozess z.B. DSGVO umzusetzen (gegen Verstöße vorzugehen) ist längst nicht abgeschlossen, wie man bei Onlinetracking sieht.

Ich sehe Smart Home als eine tolle Technologie an, die aber an grundlegenden Problemen krankt. In einem Video vom 35c3 Smart Home - Smart Hack wird deutlich, wie angreifbar man sich mit jedem Gerät macht. Im großen Stil können Trojaner auf die Lampen oder sonstigen smarten Haushaltsgeräten gespielt werden, welche Zugriff auf das gesamte Heimnetzwerk ermöglichen - mühelos! Es gibt Videos auf YouTube, die genau soetwas “live” zeigen. Was nicht gezeigt wurde sind Datenanalysen, die auf solchen Daten gemacht werden können. "

Doch Smart Home geht auch anders.

  1. Ich denke es benötigt einmal eine Prüfstelle (ähnlich Geprüfte Sicherheit bei Elektrogeräten), welche auf Datensicherheit prüft und dafür sorgt, dass das Gerät, welches ein Logo erhalten soll, gewisse Sicherheitsstandards erfüllt. Eine Kommunikation zwischen den Geräten darf nicht unverschlüsselt stattfinden, ein Update nicht ohne Verifizierung und ein Schlüssel nicht offen abgespeichert sein, ein “aufschrauben und Flash überspielen” darf nicht so einfach von Händlern machbar sein etc pp. Produkte mit Logos müssen in einer öffentlich einsehbaren und einfach durchsuchbaren Liste geführt werden um Logofälschungen von fernost leicht zu erkennen.
  2. Hersteller smarter Haushaltsgeräte müssen auch für eine Offlinelösung sorgen, die ausschließlich im Heimnetzwerk funktioniert und nicht schwieriger einzurichten sein darf als Cloudanbieter. Dabei ist es irrelevant, ob sie eine eigene Lösung nutzen oder auf fertige Lösungen anderer Hersteller zurückgreifen.
    Eine Lösung könnte z.B. sein einen “smarten” W-Lan Router bereitzustellen, welcher gleichzeitig als Server für die Geräteverwaltung agiert und optional an den normalen Router per Lan angeschlossen werden kann (falls man auch von der Arbeit aus P2P die Waschmaschine starten möchte), aber in keinen Fall ohne freie Erlaubnis des Nutzers (also ohne Funktionseinschränkung, sollte er nicht einwilligen) Daten zu teilen.
  3. Sicherheitsrelevante Geräte wie smarte Türschlösser müssen weiterhin physisch bedient werden können (z.B. physischer Schlüssel) zwecks Stromausfall/-abschaltung (ich hatte kürzlich 1,5h lang eine Stromnetzwartung und daher kein Strom) oder Defekt…
  4. Sicherheitsrelevante Geräte wie smarte Türschlösser benötigen ein besonders hohes Maß an Sicherheit. Es gab nicht wenige Fälle, in denen Funkautoschlüssel auch fremde Autos mit geöffnet haben. Bei Wohneigentum kann der entstehende Schaden noch weit größer ausfallen.

Diese 4 Punkte reichen nicht aus um Smart Home absolut sicher zu machen. Aber sie sorgen dafür die gröbsten Schäden zu vermeiden, die aktuell möglich sind. Daten über W-Lan tracken ist immernoch möglich, das Auslesen durch vernünftige Verschlüsselung aber schon alles andere als einfach.

Was ist eure Meinung dazu? Geht das zu weit? Gibt es bessere Ideen? Ist die Liste unvollständig? Oder kann man Teile davon nicht gesetzlich regeln?

1 Like

Datenschutz greift beim Smarthome nicht, da keine personenbezogenen Daten verarbeitet werden, stattdessen der grundgesetzliche Schutz der Privatsphäre. Zudem bleibt jedem selbst überlassen, welche Sicherheitsmaßnahmen er für seinen Besitz ergreift. Eine freiwillige Sicherheitszertifizierung wäre bestimmt hilfreich für potentielle Käufer, aber da muß man auch wieder auf die Interessen der Prüforganisation achten: Ämter wie das BSI werden zunehmend als Instrument der Regierung und Verwaltung angesehen, da würde es z.B. nicht verwundern, wenn sie z.B. Hintertüren für Strafverfolger unkommentiert passieren ließen. Bei gewerblichen wie den technischen Prüforganisationen ist unklar, ob dort genügend fachliches Wissen vorhanden ist.

1 Like

Das sind so weit alles vertibale Punkte. Einen wesentlichen Punkt jedoch hast Du übersehen - Offene Standards sind zu verwenden und zu nutzen - und zwar ohne alle Einschränkungen, wie z.B. Closed-Source-Erweiterungen etc. KNX ist so ein Standard.

Genau da liegt der Hase im Pfeffer. Es dürfen keine Geräte auf den Markt kommen, deren Software/Firmware nicht durch eigene ersetzbar ist. Denn wie lange sollen Hersteller haftbar gemacht werden für Fehler in der Software? 1 Jahr? 3 Jahre? 10 Jahre? Zeit eines Gerätelebens? Die meisten Geräte sind doch erst dadurch fehleranfällig, weil sie keinerlei Updates mehr bekommen. Updates auf Dauer eines Gerätelebens würde schier unmöglich werden, weswegen wir hier sogar unsere Forderung nach Aufhebung der geplanten Obsoleszenz unterlaufen würden.

Ich würde hier sogar so weit gehen und ausschließlich Offline-Lösungen erlauben. Also ohne externe Cloud zur Steuerung. Dass eine Kommunikation “nach außen” stattfinden kann ist davon nicht berührt. Jedoch ist die freie Wahl der Cloud zu ermöglichen und kein fester Anbieter.

TLS/SSL Schlüssel muss von jedem “Netzwerk” selbst erstellbar sein in Form einen privaten Root-Zertifikates, so dass wirklich unknackbare verschlüsselte Verbindungen möglich werden.

Elektronische Schlösser müssen natürlich auch weiterhin manuell geöffnet werden können.

Die Kommunikation der einzelnen Geräte muss transparent und einstellbar sein. Interne IDs müssen frei bestimmbar sein und deren “Telefonate nach Hause” im Klartext protokolliert werden. Dazu gehört dann nicht nur die Speicherung des Datenstroms, dazu gehört auch eine umfassende Dokumentation.

Das ist jetzt so das was mir auf Anhieb einfiele.

1 Like

Datenschutz greift bei Smart Home auch, da es üblicherweise über Clouds läuft und Personenbezogene Daten wie IP-Adresse, Standortdaten (siehe Video) und beliebig weitere Daten verarbeiten. Selbst das Aufzeichnen zu welchen Zeiten das Licht eingeschalten ist sind personenbezogene Daten, da sie Rückschlüsse über den persönlichen Tagesablauf geben:

  • Punkt 22 Uhr gehen jeden Tag die Lichter aus, XYZ schläft.
  • Punkt 5 Uhr scheint XYZ auf Arbeit zu gehen.
  • Woche 45 , Jahr 2019 war XYZ im Urlaub, Lichter blieben über diesen Zeitraum komplett ungenutzt.
  • Jedes Jahr zu Weihnachten ist XYZ nicht zu hause -> Einbruch bedenkenlos möglich.
  • Licht jeden Tag vom Abend bis spät in die Nacht eingeschalten -> XYZ arbeitslos.

Danke für deine zweite Anmerkung, daran habe ich an der Stelle gar nicht gedacht.

Davon bin ich auch nicht abgeneigt, ich sprach auch nur von einer Minimalregulierung des meiner Ansicht nach absolut Notwendigen. Und mein Vorschlag würde auf weniger Widerstand stoßen, auch wenn ich deinen mehr befürworte.

Ansonsten super Ergänzungen, danke.

1 Like

Ein Anfang wäre ja schonmal das Daten nur auf Clouds/Servern in Europa gespeichert werden dürfen und dann auch nur vollständig anonymisiert. Das Nutzer jederzeit die Möglichkeit haben diese Daten selbst einzusehen und dauerhaft löschen zu lassen.

Wie schon gesagt, es ist nicht wirklich vermeidbar, eher sinnvoll eine zugängliche Schnittstelle zur Programmierung smarter Geräte anzubieten. In der Maker-/Hobbyszene sind diese sogar explizit gewünscht, um die Herstellersoftware gegen eine freie Lösung auszutauschen.

Grundsätzlich ist eine Mindestzeit für die Bereitstellung von Softwareupdates wünschenswert, da gerade bei Smart Home die Geräte in der Regel langfristig genutzt werden sollen. Auch die Konstruktion der Geräte im Hinblick auf eine einfache Reparatur ist hierzu notwendig, nebenbei ist dies auch nachhaltiger.

Schön wären auch gemeinsame, offene Standards, damit meine Geräte nicht nutzlos werden, sobald deren Hersteller pleite geht oder seine Geschäftsstrategie verändert. Außerdem muss ich dann nicht meinen gesamten Gerätezoo austauschen, nur weil ich jetzt ein Leiuchtmittel eines anderen Hersteller verwenden will. Hier sollten Anreize geschaffen werden, denn gesetzlich würde ich diesen Punkt nicht regeln.

WIe stellst du dir das vor? Wenn die Daten anonymisiert sind, dann wäre eine Zuordnung zu den Benutzern nicht mehr möglich.