Immer mehr Menschen rüsten Haus und Hof mit allerlei
smarten Geräten aus. Die Vorteile dieser sind zahlreich und
definitiv nicht von der Hand zu weisen. Doch die Technik, welche
nicht selten auch an kritischen Stellen installiert wird, birgt
mitunter Risiken. Insbesondere günstige Geräte aus dem Discounter
oder von Fern- Ost sind davon betroffen.
Viele von uns haben sie bereits an so einigen Stellen im Haus
installiert: Smarte Helferlein! Angefangen bei intelligenten
Steckdosen, über Wlan-fähige Heizungsthermostate bis hin zu
selbstfahrenden Staubsaugern, die sich ganz einfach per App steuern
lassen - um nur einige wenige Beispiele zu nennen. Alle diese Geräte
haben eines gemeinsam. Damit sie unseren momentanen Wünschen
entsprechen können, müssen sie Daten austauschen. Dies erfolgt meist
nicht über eine lokale Lösung (insbesondere dann nicht, wenn kein
Hub, also kein örtlicher Knotenpunkt, im Haus aufgestellt wurde),
sondern über das Internet.
Und hier liegt der Knackpunkt: Viele der Geräte, allen voran die
eingangs er- wähnten sind dafür geradezu prätistiniert, setzen aus
Kostengründen auf billige, weniger sichere Lösungen. Ein Beispiel
hierfür ist die Tuya Cloud des chinesischen Dienstleisters Tuya
Inc..
Die Server der Tuya Cloud ermöglichem demfolgend die Kommunikation
zwi- schen dem Sender (bsplw. einem Google Home Mini) und dem
Empfänger (z.B. einer intelligenten Steckdose). In der Praxis
bedeutet das: Sobald der Benutzer einen Befehl („Schalte Licht an“)
erteilt, wird dieser vom (in unserem Bsp.) Google Home Mini an
Googles Server gesendet und dort verarbeitet. In diesem Falle würde
nun der entsprechende Befehl an den Server des adressierten
Dienstleisters (z.B. Teckin) weitergeleitet, welcher daraufhin den
finalen Kontakt zur intelligenten Steckdose aufnimmt und sie (und
damit auch die angeschlossene Lampe) anschaltet. Um jedoch die
Kosten zu drücken und den Gewinn zu maximieren, setzen viele
Hersteller nicht auf eine eigene Infrastruktur, sondern mieten
Server bei größeren Dienstleister wie AWS (Amazon Web Services) oder
bei Microsofts Cloud Sparte - zu den entsprechenden relativ gesehen
hohen Preisen. Günstiger ist da hingegen das Angebot der
chinesischen Firma Tuya.
Auf externe Server zu setzen ist soweit auch nicht verwerflich. Im
Gegenteil, oft arbeiten die Server großer Dienstleister erheblich
schneller und fortschrittlicher wenn es die Verarbeitung von Daten
(hier „Befehle“) geht, da sich die Konzerne dahinter (Bsp. Amazon)
sehr viel größere Investitionen leisten können bezüglich der
Optimierung der Mechanismen und nicht zuletzt auch bei der
Sicherheit.
Nicht so bei Tuya. Zwar wirbt der Dienstleister mit seiner
angeblichen „Military grade security“, dass die Realität da aber so
überhaupt nicht mithalten kann, zeigt ein Test des Kollegen Michael Steigerwald von
VTRUST (via Heise). Demnach werden während der
Einrichtungsphase wichtige Schlüssel, mit denen die späteren
MQTT-Nachrichten übertragen werden, unverschlüsselt via HTTP
übertragen und auch die WLAN-Zugangsdaten lassen sich in dieser Zeit
von einem in der nähe befindlichen Angreifer abgreifen.
Welche Hersteller genau für ihre Geräte auf die Tuya Cloud setzen,
weiß nur Tuya. Für den Verbraucher ist es in der Regel nahezu
unmöglich, vor dem Kauf herauszufinden, wie das auserkorene Gerät
kommuniziert, und auch nach dem Kauf gibt es oftmals kaum
Indikatoren für den Einsatz der Tuya Cloud.
Bekannt sind uns bis dato die Hersteller Teckin und Hama („Hama
smart solution“). Die Produkte von ersteren werden sogar in einem
offenbar schlecht recherchierten Artikel der Zeitung DIE WELT empfohlen und
erreichen somit auch ein entsprechend großes Publikum. Hama hingegen
dürfte vielen bekannt sein als Anbieter von Adaptern, Kabeln und
weiterem PC-Zubehör. Marken, die man kennt, kauft man gerne. Das ist
es auch mir passiert und so fand ich mich zufälligerweise kurz nach
Beginn der Recherche für diesen Artikel plötzlich unfreiwillig
selbst mit der Tuya Cloud konfrontiert.
[Nachtrag: Auch Vivancos Smart-Home-Geräte arbeiten mit Tuyas
Cloud.]
Aber ein guter Artikel klärt nicht nur auf, er zeigt auch, wie man
es besser machen kann. Daher möchte ich an dieser Stelle auf meine
durchweg positiven Erfahrungen mit den Produkten von TP-Link („Kasa
smart“) und D-Link verweisen. Das Wichtigste vorne weg: Auf
Presseanfrage teilte man mir mit, dass die Geräte von TP-Link auf
die Amazon Cloud setzen, während man bei D-Link auf die hauseigene
Lösung mydlink Cloud vertraut.
In meinem Fall handelt es sich um WLAN-Steckdosen: Beide Lösungen
sind zunächst erstmal schnell eingerichtet, bei D-Link allerdings
sollte man sich darauf einstellen, den Einrichtungsprozess 2-3 mal
durchlaufen zu müssen. Hat man diesen Schritt jedoch hinter sich,
dann arbeiten beide absolut zuverlässig. Von der
Reaktionsgeschwindigkeit nehmen sie sich auch nicht viel, mal
reagiert das Gerät von TP-Link schneller, mal das von D-Link. Beide arbeiten ohne lokalen
Hub und sind von Haus aus sowohl mit dem Google Assistant, als auch
mit Alexa kompatibel. Die TP-Link-Steckdose lässt sich darüber
hinaus auch unkompliziert in Samsungs SmartThings-Plattform
einbinden. Auch ein Verbrauchsmesser ist hier integriert und lässt
sich ange- nehm über die Kasa-App abrufen, dafür ist das Gerät auch
etwas teurer (~ 8 Euro) als das von D-Link. Nicht zuletzt sind auch
die Apps beider Hersteller zu loben, über welche sich diverse
Routinen, Szenarien, etc. einstellen, LEDs deaktivieren und
Firmware-Updates herunterladen lassen. Das Interface von der
TP-Link-App wirkt zwar etwas moderner und aufgeräumter, das Pendant
von D-Link steht ihr in Sachen Funktionalität aber in nichts nach.
Bildquelle: 365Neuland
Insgesamt hinterlassen beide Geräte einen sehr guten Eindruck!
Was aber kann ich tun, um bösen Überraschungen in Form eines Tuya-
Cloud-Zwangs nach dem Kauf vorzubeugen? Wie ich bereits schrieb,
sind die Hinweise seitens der Hersteller - falls vorhanden - sehr
rar. Aufhorchen soll- tet Ihr, wenn online auf der Produktseite oder
auf der Verpackung(srück- seite) im Geschäft Hinweise auf die für
Einrichtung nötige App „Smart Life“ (blau-weißes Icon) zu finden
sind.
Es gilt…
Wer auf Nummer sicher gehen will, der vertraut ausschließlich auf
Produkte von großen Marken wie Google Nest, Amazon, SmartThings (Hub
definitiv nötig), TP-Link oder D-Link. Damit ist zumindest der
Einsatz einer möglichst sicheren Kommunikationsplattform garantiert.
Absolute Sicherheit gibt es aber auch hier nicht wie ein Fall aus
der jüngsten Vergangenheit zeigt: Konkret geht es hier um die
Kameras des chinesischen Herstellers Xiaomi, bei denen mehrere
Kunden berichteten, plötzlich Zugriff auf die Streams wildfremder
Kameras und somit Einblicke in andere Häuser gehabt zu haben. Google
hat als Reaktion hierauf bis auf weiteres alle Verbindungen der
eigenen Plattform zu der von Xiaomi gekappt. Gemeinsam möchte man
nun nach einer Lösung suchen.
Der Fall zeigt einmal mehr, dass man besser davon absehen sollte,
solche Kameras in Innenräumen zu installieren, den eines ist sicher:
Auch die beste Plattform birgt Schwachstellen. Durch eine geschickte
Auswahl der Geräte (und damit der dahinter stehenden Plattformen)
kann das Risiko allerdings stark minimiert werden.
---
[1] Alle im Artikel empfohlenen Marken, Geräte und Systeme wurden
auschließlich aufgrund ihrer besonderen Qualität erwähnt. Weder
wurden wir um eine Nennung gebeten, noch erhalten wir Geld hierfür.
[2] Die Testgeräte von TP-Link und D-Link sind keine Pressegeräte,
sondern wurden im freien Handel erworben.
