Von Heizungslecks zu Heizungsleaks

Das Thema IT-Sicherheit im Smart Home wird mit der Einbindung der Wärmeversorger in diese Konzepte zunehmend relevanter für den Installateur. Er wird aus Sicht des Endkunden zur Schlüsselfigur in einem ihm eigentlich wenig vertrauten Umfeld zwischen Bits & Bytes.

Vor Jahren gab es einmal eine Karikatur in einer großen Tageszeitung, die sich mit dem Thema Datenschutz im Internet auf amüsante wie zugleich treffende Weise befasste. Ein deutscher Michel steht im Wasser mit bereits hochgekrempelter Hose vor einem Tisch vor seinem PC und brüllt: Meine Daten, meine Daten! Auf dem Bildschirm vor ihm steht genau dieses Wort. Er gibt Daten ein und das Wasser unter seinen Füßen steigt immer höher. Was er nicht sieht: Das Wasser, das den Pegel unter seinen Füßen nährt, ist das, was auf der Rückseite seines Monitors an den zuvor eingegebenen Daten wieder aus dem Rechner sprudelt. Was der Karikaturist mit seiner Zeichnung sagen wollte war eindringlich: Wir schreien nach mehr Datenschutz und sind doch selbst diejenigen, die durch viel zu viel freiwillige Preisgabe oder Nachlässigkeit dem Missbrauch im Netz Scheunentore öffnen.

Alles über die App
Heute läuft alles über App. Die Steuerung der eigenen Haustechnik aus der Ferne über das Internet dringt immer tiefer in die Privatsphäre ein. Kessel- und Ofenhersteller werben intensiv mit der Fernsteuerbarkeit des Heizgerätes (smarte Heizungen) – und viele Kunden/Heizungsbesitzer wünschen dies. Dadurch wird in Zukunft grundsätzlich durch Heizgeräte-Datentransfer eine Kunden-Installateur-Hersteller-Beziehung über das Internet der Dinge (IoT) intensiviert. Wie sicher ist das alles vor Fremdzugriffen? Hackerangriffe auf Endgeräte von Kunden wie z. B. auf Router der Telekom Ende November vergangenen Jahres und die Installation von Schadsoftware auf Endgeräten sind die Schattenseiten der Digitalisierung. Was unternehmen die Heizungshersteller, um ihre Geräte, die Leitungen und Server und damit ihre Kunden vor Attacken aus dem Netz zu schützen? Wie sehen die Sicherungskonzepte aus? Das soll zunächst einmal skizziert werden anhand des österreichischen Bio­massekesselherstellers KWB.

Einblick in Sicherheitskonzepte
Das Unternehmen bietet das browser­basierte Portal „KWB Comfort Online“ an. „Wir möchten unseren Kunden ein System bieten, das weder von Software-Plattformen noch Endgeräten abhängig ist“, erläutert Jürgen Markon, Leiter Technik und Produktmanagement bei KWB.
Die Kommunikation zwischen Heizanlage, Plattform und browserbasiertem Endgerät des Endkunden ist grundsätzlich SSL-verschlüsselt. Jede Erst-Verbindung des Online-Portals mit der Heizungsregelung und jede zusätzliche Zugangsfreigabe erfolgen mittels TAN-Verfahren. Die Registrierung aller Nutzer wird zusätzlich per Captcha geschützt.
Captchas dienen dazu festzustellen, ob gerade ein Mensch Zugriff haben möchte oder eine Maschine. Bekannteste Captchas sind z. B. Buchstabenverzerrungen, die man erkennen muss oder eine kleine Rechenaufgabe.
Der Nutzer muss die TAN zunächst direkt an seinem Kesseldisplay ablesen und kann danach mittels der TAN den Kessel auf seinem Comfort-Online-Konto aktivieren. Zugriffsrechte für Dritte auf die Daten des Nutzers müssen wiederum mittels der TAN erst gewährt werden. „Zusätzlichen Schutz bieten wir, indem jede Kesselregelung mittels Überprüfung der Seriennummer nur einmal registriert werden kann“, sagt Markon.
Seit Mai 2017 werden die „Easyfire“-Pelletheizung, der „Classicfire“-Stückholzkessel sowie der „Combifire“-Kombikessel mit der „Comfort Online“ angeboten. Nachrüstungen im Bestand sind mittels Netzwerkkarte möglich. „Comfort Online“ basiert auf einer Cloud-Lösung von Microsoft Azure. Die Daten werden an eine Azure-Cloud übermittelt und je nach gekauftem Datenpaket über eine bestimmte Laufzeit gesichert. Mit dem Cloudkonzept sollen keine Nutzerdaten auf Rechnern oder Servern des Unternehmens landen. „Unsere Endkunden bleiben jederzeit die Verwalter ihrer eigenen Daten“, sagt Markon. Zwar können die Kunden KWB oder einem Installateur den zeitweiligen Zugriff auf die Dateien gewähren. „Aber auch in diesem Fall verbleiben die Daten in der geschützten Azure-Cloud“, so Markon.

Weitere Sicherheits-Tools
Die Unternehmen holen sich in der Sicherheitsentwicklung aber auch externe Hilfe ein. Beispiel Buderus. Beim Wetzlarer Heizungsspezialisten gehört die externe Prüfung zum Standard: „Wir arbeiten mit internen und externen Dienstleistern zusammen, die auch Penetrationstests durchführen“, sagt Buderus-Sprecher Jörg Bonkowski. Buderus baut außerdem die Kernfunktion der Heizungsanlagen, nämlich für Warmwasser und Heizwasser zu sorgen, unabhängig von der Verbindung zum Internet auf. Der Kommunikationsaufbau bei Buderus ist immer von innen nach außen angelegt. Das Unternehmen bedient sich dabei sogenannter Connection-Server. „Das Heizsystem meldet sich an der Bosch-Netzinfrastruktur an und ist nur über diese erreichbar. Dadurch sind sie im Internet nicht sichtbar“, erläutert Bonkowski.
Die Hersteller bauen vor Ort weitere Sicherheitsschranken auf, um Fremdeingriffe zu erschweren. Laut Markon ist die Kesselregelung bei KWB absichtlich kabelgebunden, um einen Zugriff auf Daten in einem ungeschützten WLAN-Netz zu verhindern: „Es besteht zwar die Möglichkeit, einen WLAN-Adapter zur Anbindung an den Router zu benutzen. In diesem Fall empfehlen wir aber unbedingt ein passwortgeschütztes WLAN-Netz zu verwenden.“ Sonst wären zwar keine weiteren Maßnahmen zur Sicherung der Kesselregelung und somit deren Daten kundenseitig erforderlich. „Jedoch ist, um den ungewollten Zugriff auf das Endgerät des Kunden – Handy, PC, Tablet – die übliche Sorgfalt im Umgang mit dem Internet anzuwenden. Das beinhaltet zum Beispiel Sicherheitsupdates und Virenschutz sowie die Firewall“, resümiert der IT-Experte.

Die „übliche“ Sorgfalt
Aber ist diese Sorgfalt tatsächlich „üblich“? Damit ist ein wichtiger und leider oft auch wunder Punkt angesprochen. Es geht beim Schutz der Systeme auch um das Mitwirken des Betreibers. Tut er es nicht, wird er selbst zur Sicherheitslücke im System. Ferdinand Tischler, Geschäftsführer beim Biomasse-Kesselhersteller ETA Heiztechnik, redet zur Rollenverteilung Klartext: „Bietet ein Hersteller eine Fernbedienung für seine Geräte über das Internet an ist dieser dafür zuständig, in diesem Kontext für eine sichere Kommunikation zwischen den Kommunikationsendpunkten zu sorgen. Aus rein technischer Sicht haben wir als Hersteller die oben angeführten Punkte dafür implementiert. Der Endkunde ist dann dafür verantwortlich, seine persönlichen Zugangsdaten nicht an Dritte weiterzugeben. Ebenso sollte der Kunde sich an die üblichen Kennwortricht­linien halten: In regelmäßigen Abständen diese ändern und niemals das gleiche Kennwort für unterschiedliche Dienste verwenden.“
Die Unternehmen empfehlen regelmäßig, die bekannten Hinweise zu befolgen, zum Beispiel zu sicheren Passwörtern. Außerdem sollten Anwender Updates automatisch durchführen lassen. Darüber hinaus sollten die Zugangsdaten des heimischen DSL-Routers grundsätzlich vor unbefugter Einsicht geschützt aufbewahrt werden.
Laut Onlineportal Statista sind schon 39 % der Bevölkerung aufgeschlossen für Smart-Home-Anwendungen, und laut Branche wünschen Dreiviertel aller Anlagenbetreiber sich die Fernbetreuung ihrer Anlage. Die Unternehmen richten sich darauf ein, die Betreiber sollten dann aber keine Scheunentore aufsperren und die Rolle der Installateure wird sein, genau das dem Betreiber zu verdeutlichen. Er wird damit zu einer Schlüsselfigur im Sicherheitskonzept.
Was bedarf es dazu? „Die Installateure müssen grundsätzlich mit den neuen Möglichkeiten der ‚smarten‘ Bedienung von Systemen vertraut sein“, sagt Ferdinand Tischler, „allerdings kann vom Installateur grundsätzlich kein IT-Fachwissen verlangt werden.“ Doch IT-Wissen schon.
Jörg Bonkowski sieht als Rolle des SHKlers die des Informierenden: „SHK-Installateure, die eigene Expertisen zum Thema Smart Heating aufgebaut haben, begleiten die Kunden auf dem Weg in die digitaler werdende Zukunft und beraten dabei auch hinsichtlich der Technologien und Verhaltensweisen des Kunden rund um die Sicherheit seiner Anlage.“ Nicht nur Buderus bietet im Bereich Connectivity (= Vernetzung) Schulungen an, die auch Sicherheitsaspekte beinhalten.

Fazit: Richtig einschätzen
Vor dem G20-Gipfel antwortete Hamburgs Oberbürgermeister Olaf Scholz auf die Frage, ob die Stadt eine solche Großveranstaltung ausrichten könne, mit dem wahrscheinlich jetzt schon legendären Vergleich im Sinne von natürlich könne man das, man könne ja auch das Hamburger Hafenfest ausrichten. Die Bilanz ist bekanntlich anders, es gab 480 verletzte Polizisten und Schäden, die in die Millionen gehen. Nicht abzusehen von der Angst, die Bewohner stundenlang ausstehen mussten, als marodierende Banden unbehelligt durch die Straßen zogen und nach Belieben einschlugen, was sie wollten.
Im Alltag eines Hausbesitzers (außerhalb des Hamburger Schanzenviertels) drohen zwar keine brennenden Autos oder eingeschlagenen Fensterscheiben. Allerdings der Zugriff von Unbefugten über das Internet auf die privaten Smart-Home-Systeme. Dieses Beispiel zeigt, dass trotz akribischer Vorbereitung „Sicherheitslücken“ oder „Pannen“ immer entstehen können, weil es immer jemanden gibt, der Sicherheitskonzepte aushebelt. In Hamburg waren die Folgen desaströs. Aber auch, weil man sich selbst in Sicherheit wog, überschätzte und die tatsächliche Gefahrenlage damit unterschätzte.
Früher gab es Heizungslecks. Heute vielleicht Heizungsleaks1). Diese Gefahr gilt es zu erkennen und realistisch einzuschätzen, d. h. sich einerseits nicht verrückt zu machen, aber andererseits die Lage auch nicht zu unterschätzen. Wenn Hersteller, Betreiber und Installateure in ihrem jeweiligen Verantwortungsgebiet an einem Strang ziehen, dann dürfte mit Sicherheit die größtmögliche Sicherheit im Smart Home gegeben sein.

Autor: Dittmar Koop

¹) Der Begriff Leak (englisch für Leck, Loch, undichte Stelle) bezeichnet laut Wikipedia im deutschsprachigen Raum die nicht autorisierte Veröffentlichung von Informationen.