Cybersecurity: „Selbst smarte Glühbirnen bergen Risiken“

Der Saugroboter fährt seine Runde, die Heizung regelt sich automatisch und das Licht reagiert auf eine App. Mit jedem neuen Gerät werden Privathaushalte komfortabler – aber auch unsicherer. Professor Johannes Kinder, Inhaber des Lehrstuhls für Programmiersprachen und KI an der LMU, untersucht im Rahmen des nun zu Ende gehenden bayerischen Forschungsverbunds ForDaySec, wie sicher der digitale Alltag ist und wie sich vernetzte Geräte auch langfristig vor unerwünschtem Zugriff schützen lassen.

Vergrößern

Im Rahmen von ForDaySec befassen sich Forschende mit Sicherheit in der Alltagsdigitalisierung. Was genau bedeutet das?

Johannes Kinder: Die klassische IT-Sicherheitsforschung konzentriert sich vor allem auf die Technologie selbst, etwa auf kryptografische Verfahren, sichere Netzwerke oder Software-Schwachstellen. ForDaySec erweitert diese Perspektive. Uns interessiert, wie digitale Sicherheit im tatsächlichen Alltag aussieht. Denn digitale Systeme entstehen zu Hause nicht geplant, sondern wachsen über Jahre: Mit jedem Weihnachten oder jedem Black Friday kommen neue Elemente hinzu – ein Smart-TV, eine Kamera, ein Thermostat oder ein Saugroboter. So entsteht nach und nach ein komplexes digitales Umfeld aus vielen Komponenten verschiedener Hersteller, das als Gesamtsystem von den Anwenderinnen und Anwendern kaum noch überblickt wird.

Ihr Forschungsschwerpunkt ist die sogenannte Firmware-Härtung. Was versteht man darunter?

Firmware ist Software, die direkt auf einem Gerät läuft und fest verbaut ist. Sie steuert grundlegende Funktionen und ermöglicht es überhaupt erst, dass ein Gerät „smart“ ist und mit Apps, Cloud-Diensten oder anderen Geräten kommunizieren kann. Schwachstellen können hier auf vielen Ebenen entstehen – im Code selbst, in der Netzwerkkommunikation oder in den Cloud-Diensten des Herstellers. Unser Ziel ist es, solche Sicherheitslücken zu identifizieren und die Software gezielt so zu verändern, dass potenzielle Angriffe verhindert werden. Besonders wichtig ist das bei Geräten, für die Hersteller keine Updates mehr bereitstellen.

Update durch den Lüftungsschlitz

Was ist technisch möglich, wenn es keine Updates mehr gibt?

Manchmal lässt sich die Firmware direkt über das Netzwerk aktualisieren, etwa über WLAN oder eine vorhandene Update-Funktion. In anderen Fällen müssen wir kreativer werden und spezielle Kontaktpunkte auf der Platine im Inneren vieler Geräte nutzen, die ursprünglich für Produktion oder Wartung vorgesehen sind. Um diese zu erreichen, muss das Gerät aber meist geöffnet werden.

Über die Kontaktpunkte können wir dann direkt auf den Speicher zugreifen und eine neue Version der Firmware aufspielen. Dazu verbinden wir das Gerät mit einem Computer und überschreiben gezielt die bestehende Software, ähnlich wie bei einem regulären Update durch den Hersteller. In manchen Fällen erreichen wir diese Kontaktpunkte sogar über Lüftungsschlitze oder andere Öffnungen, ohne das Gerät vollständig zu zerlegen. So konnten wir etwa bei einer vernetzten Kamera über kleine Pins auf der Platine eine aktualisierte Version der Software aufspielen und eine bekannte Schwachstelle beheben.

Das klingt kompliziert. Was können Privatpersonen tun, denen das technische Know-how fehlt?

Solche Eingriffe sind tatsächlich nichts, was Privatpersonen selbst durchführen können oder sollten. Perspektivisch könnten hier spezialisierte Drittanbieter eine wichtige Rolle spielen, die Geräte warten, Sicherheitsupdates bereitstellen oder weiter betreiben, wenn Hersteller den Support einstellen. Ähnliche Modelle kennen wir bereits aus anderen Bereichen, etwa bei der Wartung von Computern oder Smartphones.

Für Privatpersonen ist es vor allem wichtig, schon beim Kauf auf Sicherheitsaspekte zu achten. Dazu gehört etwa die Frage, ob der Hersteller regelmäßige Updates bereitstellt und wie lange diese garantiert sind. Oft stehen beim Kauf vor allem Funktionen und Preis im Vordergrund, während Sicherheits- und Wartungsaspekte kaum berücksichtigt werden. Dabei entscheidet genau das darüber, wie lange ein Gerät sicher und zuverlässig genutzt werden kann.

Der ForDaySec-Verbund besteht seit vier Jahren. Wie hat sich die Landschaft smarter Geräte in dieser Zeit verändert?

Zum einen haben manche Geräte inzwischen ihr „End of Life“ erreicht, und Hersteller stellen den Support ein. So kündigte ein Produzent von Saugrobotern kürzlich an, bestimmte Modelle nicht mehr zu unterstützen. Diese lassen sich nun nicht mehr über die App, sondern nur noch per Knopfdruck bedienen. Damit verlieren sie einen Großteil ihrer Funktionalität. Dadurch entsteht potenziell viel Elektroschrott – was auch aus Gründen der Nachhaltigkeit problematisch ist.

Vor allem aber sehen wir, dass die Verbreitung smarter Geräte noch einmal stark zugenommen hat. Wenn Sie heute ein neues Haushaltsgerät kaufen, bekommen Sie es kaum noch ohne digitale Komponenten. Selbst Heizungen, Klimageräte oder Geschirrspüler sind oft mit Apps verbunden.

Gefahr, überwacht zu werden

Welche konkreten Sicherheitsfolgen können unsichere Geräte haben?

Unsichere Geräte können ganz unmittelbare Folgen haben – etwa, wenn die Heizung ausfällt, eine digitale Türverriegelung blockiert, Überwachungskameras nicht mehr aufzeichnen oder vernetzte Rauchmelder und Alarmsysteme keine Warnungen mehr auslösen.

Am riskantesten sind Geräte mit Mikrofonen oder Kameras, die im schlimmsten Fall zur Überwachung missbraucht werden können. Aber auch scheinbar harmlose Geräte wie ein Kühlschrank können zum Sicherheitsrisiko werden, wenn sie mit anderen smarten Geräten verbunden sind und dadurch sensible Informationen preisgeben.

Selbst intelligente Glühbirnen können über ihre Funkkommunikation Rückschlüsse darauf zulassen, ob jemand zu Hause ist oder in welchem Raum sich eine Person befindet. Solche Informationen können missbraucht werden, etwa für Einbrüche oder zur Kontrolle in toxischen Beziehungen. Das Risiko entsteht dabei oft nicht durch ein einzelnes Gerät, sondern durch das Zusammenspiel vieler vernetzter Komponenten.

Bei ForDaySec erforschen Sie dieses Problem interdisziplinär. Was haben Sie dabei von anderen Fachrichtungen gelernt?

Wichtig war etwa die Zusammenarbeit mit Juristinnen und Juristen. Sie untersuchen unter anderem, welche Verpflichtungen Hersteller zur Bereitstellung von Updates haben und wann die mangelnde Update-Fähigkeit eines Produkts rechtlich relevant wird – zum Beispiel, wenn man für ein Sicherheitsupdate das Gerät öffnen müsste.

Besonders aufschlussreich war zudem die Zusammenarbeit mit Ethnografinnen und Ethnografen. Sie betrachten nicht nur technische Rollen wie „Administrator“ oder „Member“, sondern die tatsächlichen Menschen dahinter – etwa die Mutter, den Vater oder die Großmutter. Diese Perspektive hilft zu verstehen, wie digitale Systeme tatsächlich genutzt werden und wie dabei Sicherheitsrisiken entstehen. Was passiert zum Beispiel, wenn ein Kind auszieht, das sich immer um die Updates gekümmert hat?

Wachsendes „Internet of Things“ im Privathaushalt 

Vergrößern

Was sind die wichtigsten Ergebnisse Ihres Teilprojekts?

Wir haben ein deutlich besseres Verständnis dafür gewonnen, wie die Software in smarten Alltagsgeräten tatsächlich aufgebaut ist. Dabei hat sich gezeigt, dass viele Geräte – vom Saugroboter bis zur Überwachungskamera – auf denselben Software-Bausteinen und Betriebssystemkomponenten basieren. Schwachstellen in diesen Komponenten können sich deshalb gleichzeitig auf viele verschiedene Geräte und Hersteller auswirken.

Wir konnten außerdem zeigen, dass sich viele solcher Geräte auch nachträglich absichern lassen. In mehreren Fällen ist es uns gelungen, die Firmware zu analysieren, bekannte Sicherheitslücken zu schließen und die Geräte dadurch widerstandsfähiger gegen Angriffe zu machen – selbst dann, wenn der Hersteller keine Updates mehr bereitstellt.

Gleichzeitig haben wir besser verstanden, wo die Grenzen dieser Ansätze liegen, etwa wenn Geräte technisch stark abgeschottet sind oder wichtige Informationen zur Software fehlen. Dieses Wissen hilft uns, typische Sicherheitsprobleme systematischer zu erkennen und neue Schutzmechanismen zu entwickeln – insbesondere für Geräte, die bereits heute in vielen Haushalten im Einsatz sind.

Die ForDaySec-Ergebnisse fließen direkt in unsere weitere Forschung ein. Unser Ziel ist es, Methoden zu entwickeln, mit denen sich vernetzte Alltagsgeräte langfristig sicher betreiben lassen, auch über die offizielle Lebensdauer der Hersteller hinaus.

Welche offenen Fragen halten Sie für besonders dringlich?

Wenn es um Cybersicherheit geht, stehen in der öffentlichen Debatte meist kritische Infrastrukturen wie Energieversorger oder Wasserwerke im Fokus. Dabei wird oft übersehen, dass auch digitale Systeme im Privathaushalt inzwischen zu einer zentralen Infrastruktur geworden sind: dem sogenannten Internet of Things im Privathaushalt. Mit jeder smarten Türklingel und jedem vernetzten Haushaltsgerät wächst dieses private Netzwerk. Es wird größer, komplexer und zugleich anfälliger für Fehler und Angriffe.

Heizungen, Kameras, Solaranlagen oder medizinische Geräte – fällt eines davon aus oder wird nicht mehr vom Hersteller gewartet, kann das direkte und spürbare Folgen auf das ganze vernetzte System im Privathaushalt haben. Zu verstehen, wie sicher und resilient diese digitalen Netzwerke in unseren eigenen vier Wänden sind, gehört daher zu den dringendsten Aufgaben der Cybersicherheitsforschung.

ForDaySec 

Im Fokus des Bayerischen Forschungsverbunds Sicherheit in der Alltagsdigitalisierung (ForDaySec), koordiniert von der Universität Passau, steht die Entwicklung von alltagstauglichen Technologien und Lösungen, mit denen digitale Geräte in unterschiedlichsten Lebens- und Arbeitsbereichen sicher genutzt werden können. Fünf bayerische Universitäten haben ihre Expertise dabei interdisziplinär gebündelt, um Forschung aus Informatik, Rechts- und Sozialwissenschaften zusammenzubringen. Gefördert vom Bayerischen Staatsministerium für Wissenschaft und Kunst, endet ForDaySec Ende März nach vier Jahren.

Abschlussveranstaltung:

Am 25. März 2026, 16 bis 19 Uhr, lädt der Verbund zu einer Abschlussveranstaltung „Beyond awareness. Cybersicherheit im Alltag“ ein. Den Keynote-Vortrag hält die Wissenschaftsjournalistin Eva Wolfangel. Daneben sprechen Caroline Krohn-Atug vom Bundesamt für Sicherheit in der Informationstechnik, Tatjana Halm, Referatsleiterin Recht und Digitales der Verbraucherzentrale Bayern e.V., sowie Prof. Dr. Dieter Gollmann vom Institut für Secure Cyber Physical Systems der Universität Hamburg.

Anmeldung unter: https://fordaysec.de/

Publikation:

Whitepaper mit Forschungsergebnissen