Smarte Schlösser können sehr praktisch sein. Es gibt viele davon auf dem Markt und auch viele verschiedene Arten zur Auswahl. Einige sind in der Lage, zu erkennen, wenn sich der Besitzer (oder besser sein Smartphone) nähert, und öffnen ohne Schlüssel. Andere werden ferngesteuert, sodass Sie Freunden oder Verwandten die Tür öffnen können, wenn Sie selbst nicht zu Hause sind. Wieder andere bieten Videoüberwachung: Jemand klingelt und Sie können sofort auf Ihrem Smartphone sehen, wer es ist.
Smarte Geräte bergen jedoch Risiken, über die sich Benutzer herkömmlicher Offline-Schlösser keine Gedanken machen müssen. Ein sorgfältiger Blick auf diese Risiken zeigt gleich drei Gründe, warum analog manchmal besser ist. Sehen wir uns diese näher an…
Erster Grund: Smarte Schlösser sind physisch anfälliger als normale Schlösser
Das Problem dabei ist, dass smarte Schlösser zwei verschiedene Konzepte kombinieren. Theoretisch sollten diese Schlösser über eine zuverlässige, intelligente Komponente verfügen und gleichzeitig einen robusten Schutz vor dem Aufbrechen bieten, sodass sie beispielsweise nicht mit einem Schraubendreher oder einem Taschenmesser geöffnet werden können. Die Kombination dieser beiden Konzepte funktioniert nicht immer: Das Ergebnis ist normalerweise entweder ein schwaches smartes Schloss oder ein schweres Eisenschloss mit anfälliger Software.
Wir haben bereits in einem anderen Beitrag von einigen besonders ungeheuerlichen Beispielen für Schlösser berichtet, die ihrer Aufgabe alles andere als gerecht werden. Dazu gehörte zum Beispiel ein schickes Vorhängeschloss mit einem Fingerabdrucksensor, unter dem sich aber leider ein Öffnungsmechanismus befindet, der für jedermann zugänglich ist (ein Hebel). Oder das Beispiel eines smarten Fahrradschlosses, das sich mit einem Schraubendreher zerlegen lässt.
Zweiter Grund: Probleme mit der „smarten“ Komponente
Auch die „smarte“ Komponente lässt sich nicht ohne Weiteres sicher gestalten. Man muss immer bedenken, dass für Entwickler solcher Geräte oft die Funktionalität Vorrang vor dem Schutz hat. Das jüngste Beispiel ist das Akuvox E11, ein Gerät, das nicht für den privaten Gebrauch, sondern für das Büro entwickelt wurde. Akuvox E11 ist eine smarte Gegensprechanlage mit einem Terminal für den Empfang eines Videostreams von der integrierten Kamera sowie einer Taste zum Öffnen der Tür. Da es sich um ein smartes Gerät handelt, können Sie es über Ihre Smartphone-App steuern.
Die Software wurde so implementiert, dass jeder jederzeit auf Bild und Ton der Kamera zugreifen kann. Und wenn Sie nicht daran gedacht haben, die Weboberfläche vom Internet zu trennen, kann jeder das Schloss ansteuern und die Tür öffnen. Dies ist ein Bilderbuchbeispiel für unsichere Softwareentwicklung: Videoanforderungen verfehlen die Berechtigungsprüfung; ein Teil der Weboberfläche ist ohne Passwort zugänglich; und das Passwortwort selbst ist aufgrund der Verschlüsselung mit einem für alle Geräte identischen festen Schlüssel leicht zu knacken.
Möchten Sie weitere Beispiele hören? Dann los… In diesem Artikel geht es um eine Sperre, die es Angreifern in der Nähe ermöglicht, an das Passwort für Ihr WLAN-Netzwerk zu gelangen. Hier schützt ein smartes Schloss die Datenübertragung nur unzureichend: Ein Angreifer kann den Funkkanal abhören und die Kontrolle übernehmen. Und hier folgt ein weiteres Beispiel für eine schlecht gesicherte Weboberfläche.
Dritter Grund: Die Software muss regelmäßig aktualisiert werden
Ein typisches Smartphone wird nach seiner Markteinführung über zwei oder drei Jahre mit Softwareupdates auf dem neuesten Stand gehalten. Bei kostengünstigen IoT-Geräten kann der Support sogar schon früher auslaufen. Ein smartes Gerät über das Internet zu aktualisieren, ist ziemlich einfach. Der langjährige Support für die Geräte kostet den Hersteller allerdings Ressourcen und Geld.
Dies kann an sich schon ein Problem darstellen, beispielsweise wenn der Anbieter die Cloud-Infrastruktur deaktiviert und das Gerät nicht mehr funktioniert. Aber selbst wenn die Smart-Lock-Funktion erhalten bleibt, können Schwachstellen auftreten, die dem Hersteller zum Zeitpunkt der Markteinführung unbekannt waren.
Im Jahr 2022 entdeckten Forscher beispielsweise eine Schwachstelle im Bluetooth Low Energy-Protokoll, das viele Unternehmen als Standard für die kontaktlose Authentifizierung beim Entsperren verschiedener Geräte (einschließlich smarter Schlösser) verwenden. Diese Schwachstelle öffnet (sozusagen) Tür und Tor für sogenannte Relay-Angriffe, bei denen sich der Angreifer in der Nähe des Besitzers des smarten Schlosses aufhalten und spezielle (aber relativ kostengünstige) Geräte verwenden muss. Mit dieser Hardware kann der Angreifer Signale zwischen dem Smartphone des Opfers und dem smarten Schloss weiterleiten. Dadurch wird dem smarten Schloss vorgetäuscht, dass sich das Smartphone des Besitzers in der Nähe befindet (und nicht in einem fünf Kilometer entfernten Einkaufszentrum), woraufhin es die Tür entriegelt.
Aufgrund der Komplexität von Smart-Lock-Software besteht immer die Gefahr, dass sie schwerwiegende Schwachstellen enthält. Wird eine gefunden, sollte der Hersteller umgehend ein Update veröffentlichen und an alle verkauften Geräte senden. Was aber, wenn das Modell eingestellt wurde oder nicht mehr unterstützt wird?
Bei Smartphones lösen wir dieses Problem, indem wir alle zwei bis drei Jahre ein neues Gerät kaufen. Wie oft möchten Sie ein mit dem Internet verbundenes Türschloss ersetzen? Wir gehen im Allgemeinen davon aus, dass solche Geräte Jahrzehnte und nicht bloß ein paar Jahre halten (bis der Hersteller den Support einstellt oder Pleite geht).
Was also tun?
Grundsätzlich kann natürlich jedes Schloss (nicht nur smarte) geknackt werden. Wenn Sie sich jedoch für ein smartes Gerät anstelle eines Standardschlosses entscheiden, sollten Sie sich das gut überlegen: Muss ich diese Tür wirklich über mein Smartphone öffnen? Wenn Sie diese Frage mit ja beantworten, sollten Sie zumindest die folgenden Punkte beachten:
- Informieren Sie sich vor dem Kauf über das jeweilige Gerät.
- Lesen Sie nicht nur Testberichte über den Komfort und die Funktionen des smarten Schlosses, sondern auch Berichte über mögliche Probleme und Risiken.
- Entscheiden Sie sich für ein neueres Gerät: Dann ist die Wahrscheinlichkeit größer, dass der Hersteller den Support noch etwas länger aufrechterhält.
- Wenn Sie ein Gerät gekauft haben, schauen Sie sich seine Netzwerkfunktionen genau an und wägen Sie sorgfältig ab, ob Sie sie wirklich benötigen; alle, die gefährlich werden könnten, sollten Sie lieber deaktivieren.
- Vergessen Sie nicht den Schutz für Ihre Computer, insbesondere wenn sie sich im selben Netzwerk wie das smarte Schloss befinden. Es wäre doppelt schade, wenn eine Malware-Infektion auf Ihrem Computer auch dazu führen würde, dass sich Ihre Wohnungstür wie von Geisterhand öffnet.