Das vernetzte Heim mit lauter gescheiten Geräten wird derzeit von der Industrie in den schönsten Farben gemalt. Das Internet der Dinge soll unser Leben bequemer, spannender, unterhaltsamer und sicherer machen.

Doch die schöne neue Smart-Home-Welt hat eine dunkle Seite, die schon seit Längerem von Security-Experten von nah und fern heraufbeschworen wird. Diese meldet sich gelegentlich schon jetzt zu Wort und zeigt uns ihre hässliche Fratze. Die Horrorstorys mehren sich. Wir haben eine Auswahl erster Schreckensszenarien zusammengetragen. Und wie gesagt: Wir stehen erst am Anfang der Entwicklung.

Vielerorts hängen Thermostate bereits am Internet. Der Vorteil: Die Heizung lässt sich aus der Ferne hochstellen, sodass es im Haus wohlig warm ist, wenn man nach Hause kommt.
Doch das kann man auch missbrauchen, wie der Fall eines Users beweist, der seine Erfahrungen mit dem Smart-Thermostat von Honeywell als Beurteilung auf Amazon.com postete und die dann viral im Netz verbreitet wurden.

Demnach rächte sich der Mann an seiner Ex-Frau und deren neuem Partner, indem er den beiden bei Abwesenheit die Heizung übermässig hochstellte und bei Anwesenheit herunterstellte. «Ich kann mir nur ausmahlen, wie deren Heizabrechnung nun aussehen muss», schreibt er mit grosser Schadenfreude.

Doch nicht nur als Grossstadtlegenden kursieren solche Horrorstorys. Dass gescheite Thermostate verletzbar sind, hat unlängst die Sicherheitsfirma TrapX bewiesen und einen entsprechenden Report zu den Produkten von Nest – das mittlerweile von Google übernommen wurde – veröffentlicht.

In dem Bericht wurde das Nest-Thermostat als regelrechtes Sprungbrett missbraucht, um weitere Systeme im Haushalt anzugreifen, die ebenfalls am gleichen Netz hingen. Immerhin: Der Hack funktioniert nur bei physischem Zugang zum Nest-Thermostat. Aber dies ist ja beispielsweise bei unserem schadenfreudigen Ex-Ehemann zumindest zwischenzeitlich der Fall.

Es ist die Horrorvorstellung aller Eltern: Während das Kleinkind in seinem Bettchen friedlich schlummert, hackt jemand das Babyphone und brüllt den Sprössling an.

So passiert ist dies vor gut einem Jahr Heather Schreck aus Cincinnati. Während der Nacht wurde sie wach, weil sie ein lautes Geschrei aus dem Nachbarzimmer wahrnahm, in dem ihre 10 Monate alte Tochter schlief. Es stellte sich heraus, dass jemand das mit dem Web verbundene Baby-Überwachungssystem gehackt hatte und den Säugling laut mit Beschimpfungen eindeckte. Als die Eltern nachsehen wollten, was sich im Kinderzimmer abspielte, wurde zu allem Übel auch noch die integrierte Webkamera auf das verdutzte Paar gerichtet. Ziemlich beängstigend also.

Nachdem die Geschichte in den USA sogar für nationale TV-Schlagzeilen sorgte, gab der Hersteller Foscam zu, dass ihm mehrere derartige Vorfälle bekannt seien und rief seine Kunden dazu auf, die Firmware der Geräte jeweils auf dem neusten Stand zu halten.

Zu Hause installierte Webcams, ob sie nun der eigenen Kommunikation, etwa via Skype, dienen oder ob sie für die Fernüberwachung verwendet werden, sind gelegentlich offen wie Scheunentore. So entdeckten Hacker letztes Jahr in IP-Kameras von TRENDnet ein Sicherheitsloch. Über diese Lücke konnten Voyeure aller Couleur in alle möglichen privaten Räume «güxeln». Entsprechende Fotos fanden bald einmal den Weg ins Web, mit Aufnahmen und sogar Live-Feeds aus Wohnzimmern, Küchen, privaten Büros und Gärten. Jemand kreierte sogar eine Google-Map, in der die offenen Webcams alle verzeichnet wurden. Diese Aufstellung wurde zwar bald einmal wieder von Google inaktiviert. Das Beispiel zeigt aber, wie schnell man in seinem vernetzten Heim global entblösst werden kann.

Bereits 2013 hatte die Forbes-Autorin Kashmir Hill einen beängstigenden Bericht verfasst, in dem sie darlegte, wie sie bei sich in die Heimvernetzung einbrechen und dort die Gebäudeelektronik schlicht auf den Kopf stellen konnte. So liessen sich die Lichter ein- und ausschalten und der Fernseher konnte im wahrsten Sinne des Wortes fernbedient werden. Daneben manipulierte sie Wasserzuleitungen, Ventilatoren und sogar ihren Jacuzzi konnte sie manipulieren.

«Über ein paar Webklicks hätte ich in Kürze eine Energierechnung erzeugen können, bei der einem nur so die Ohren wackeln», berichtet Hill. Doch damit nicht genug. Da sie auch Garagentore betätigen konnte, hätte sie ganz physisch Einbrechern den Weg bereiten können.

Insteneon hat das betroffene Produkt nicht mehr im Angebot und die Sicherheitslecks bei den bestehenden Kunden gestopft.

Hacker können unsere smarten Heimgeräte übernehmen und zu einem Botnet der übleren Sorte zusammenschalten. Somit werden die Devices zu willigen Helfern von Spammern und Hackern.

Dies hat zumindest vor gut einem Jahr der Sicherheitsdienstleister Proofpoint in einem Bericht dargelegt. Die Firma spricht dort von ersten Beweisen, dass Attacken mithilfe von smarten Haushaltsgeräten möglich sind. Der geschilderte Angriff verwendete die vereinte Rechenkraft von 100'000 Heimelektronikgeräten, die am Internet hingen, darunter Fernseher, Netzwerk-Router, Videosysteme und zumindest ein Kühlschrank.

Verschickt wurden über den «Thingbot» Spam-Nachrichten mit bösartiger Fracht, und zwar sowohl an Unternehmen als auch an Privatanwender. Laut Proofpoint könnten derartige Angriffe künftig stark zunehmen, je mehr smarte und webbasierte Dinge online gehen. Denn schliesslich werden diese Devices kaum mit Updates versehen, können also jahrelang gefährliche Sicherheitslücken aufweisen.

Es müssen nicht immer Hacker und Spanner sein, die sich des Smart Homes bemächtigen wollen. Manchmal kann sich das ganze elektronische und vernetze Zeugs auch selbst ausser Gefecht setzen. So geschehen in der Bleibe des Berliner Professors für Computerwissenschaften Raúl Rojas. Der Robotikspezialist hat sein Haus mit allen möglichen intelligenten Kinkerlitzchen ausgerüstet. Roboter saugen Staub im Innern und mähen den Rasen im Garten. Alles hängt am Netz der Netze: Glühbirnen, Fernseher, Herd, Mikrowellengerät und natürlich auch Heizung und Klimaanlage.

Alles funktionierte wunderbar, bis eines Tages gar nichts mehr lief und Rojas Haus zumindest computertechnisch gesehen abgestürzt war. Der Professor machte sich sofort an die Fehleranalyse und fand heraus, dass eine Lampe den Ausfall einer Glühbirne beständig einer Zentraleinheit im Netzwerk mitteilte und eine Reparatur verlangte. Ursache war somit eine selbst-initiierte Denial-of-Service-Attacke.