Smarte Geräte: „Jeder Haushalt braucht einen digitalen Schornsteinfeger“

Bluetooth-Zahnbürsten, tief verbaute Software und verräterische Türklingeln: Im Zentrum der Konferenz für angewandte Kryptographie und Netzwerksicherheit ACNS vom 23. bis 26. Juni steht die Frage, wie unsere zunehmend vernetzte Alltagswelt sicherer werden kann. Mitveranstalter Professor Johannes Kinder, der den Lehrstuhl für Programmiersprachen und Künstliche Intelligenz an der LMU innehat, erklärt, wie Privatleute ihre Haushalte absichern können, was Hersteller tun müssten – und warum auch Juristinnen und Ethnografen zu digitaler Sicherheit forschen.

Vergrößern

Vom WLAN-Router über smarte Haushaltsgeräte bis zu Fitness-Trackern: Jeden Tag sind wir von digitalen Technologien umgeben. Wie sicher sind unsere Daten dabei?

Johannes Kinder: Das kommt darauf an, welche Geräte wir uns ins Haus holen: Viele Nutzerinnen und Nutzer ahnen nicht, dass ihr Kühlschrank, der Staubsauger-Roboter oder der Fernseher längst Teil des sogenannten „Internet of Things“ (IoT) sind – also per Internet verbundene Smart Devices.

Oft gibt es diese Geräte gar nicht mehr ohne Netzanschluss zu kaufen. Dann laden smarte Türklingeln wie Amazons „Ring“ Videodaten permanent auf die Server des Herstellers, High-End-Zahnbürsten funken per Bluetooth Putzstatistiken an eine App. Und wer eine billige Smart-Leuchte ohne erkennbare Marke kauft, weiß oft gar nicht, wo die gesammelten Daten landen – oder ob die Lampe jemals Sicherheitsupdates bekommt. All diese Geräte gehören längst zu unserer Infrastruktur – doch das oft ganz ohne Wartung.

Warum sind Nutzer dem so ausgeliefert?

Ein Hauptgrund sind fehlende Updates: Bei günstigen IoT-Geräten verschwindet der Hersteller oft nach dem Verkauf und Sicherheitslücken bleiben dauerhaft bestehen. Zudem landen viele Daten automatisch in der Cloud, also auf Servern der Anbieter. Wenn diese Daten nicht „end-to-end“, also durchgehend, verschlüsselt sind, können nicht nur Hacker, sondern auch Support-Mitarbeiter – etwa von Cloud-Dienstleistern oder dem Hersteller – darauf zugreifen.

Und nicht zuletzt sind Nutzerinnen und Nutzer schlicht überfordert: Viele fühlen sich etwa der Fülle technischer Entscheidungen beim Installieren eines neuen Smartphones nicht mehr gewachsen. Das führt zu Resignation – und dann bleibt selbst grundlegender Schutz auf der Strecke. Es ist wichtig, über die Risiken solcher smarten Alltagsgeräte zu sprechen, um sie dauerhaft sicherer zu machen. Gefragt sind Lösungen, die sich möglichst nahtlos in den Alltag integrieren lassen – auch ohne technisches Spezialwissen.

Software verstehen, Schwachstellen digitaler Geräte entdecken

Vergrößern

Mit welchen Forschungsansätzen versuchen Sie das zu erreichen?

Je nach Situation setze ich mit meinem Team auf exakte, logische Verfahren, mit denen sich bestimmte Sicherheitseigenschaften mathematisch beweisen lassen, oder auf pragmatische Analysen. Manchmal geht es darum, Software zu „verstehen“, ohne ihren Quellcode zu haben – also den ursprünglichen Programmtext, den Entwicklerinnen und Entwickler geschrieben haben. Das ist zum Beispiel relevant bei älteren Smart-TVs, günstigen Geräten ohne erkennbare Marke oder solchen von Herstellern, die längst vom Markt verschwunden sind. Dann schauen wir uns direkt die Firmware-Binärdateien an – also den tief im Gerät eingebetteten Programmcode.

Unsere informatischen Werkzeuge helfen, bekannte Schwachstellen zu erkennen – etwa veraltete Open-Source-Bibliotheken, die nie aktualisiert wurden. Zunehmend setzen wir dabei auch auf Künstliche Intelligenz und Maschinelles Lernen.

Inwiefern helfen KI und Maschinelles Lernen dabei?

Sie erweitern unsere Möglichkeiten dort, wo klassische Analysemethoden an ihre Grenzen stoßen – indem sie komplexe Muster und Risiken automatisiert erkennen. Besonders hilfreich ist das bei großen, unübersichtlichen oder schlecht dokumentierten Systemen. Ein neuronales Netz kann beispielsweise erkennen, dass verschiedene Programme intern denselben Fehler enthalten – selbst wenn sie äußerlich völlig verschieden aussehen. So lassen sich bekannte Schwachstellen wiederfinden, auch ohne Zugriff auf den Quellcode.
Große Sprachmodelle helfen uns, juristische Datenschutzregeln so aufzubereiten, dass sie sich technisch überprüfen lassen.

Eine Formulierung wie „personenbezogene Daten dürfen nur mit Einwilligung verarbeitet werden“ ist für Menschen klar – für einen Computer aber zunächst nicht verständlich. KI kann solche Vorgaben in überprüfbare Regeln in Form von Code oder Logik übersetzen – und umgekehrt im Code prüfen, ob diese Vorgaben eingehalten werden.

Außerdem hilft KI, menschliche Denkfehler im Code sichtbar zu machen, die unbewusst entstehen und für andere Menschen oft gar nicht erkennbar sind. Gerade bei Geräten, für die es keine Updates mehr gibt, kann KI solche Muster aufdecken – und gezielte Reparaturen vorbereiten.

Worauf Anwenderinnen und Anwender achten sollten

Was können Nutzerinnen und Nutzer selbst tun, um sich besser zu schützen?

Ich rate, schon beim Kauf eines Geräts auf Sicherheitsmerkmale zu achten: Also nicht nur auf Kameraqualität, Sprachsteuerung oder App-Komfort zu schauen, sondern auch auf die Update-Politik und darauf, ob das Gerät auch ohne Cloud-Anbindung funktioniert. Von einem neuen Auto wünsche ich mir ja auch nicht nur, dass es schick aussieht – sondern dass es sicher ist.

Zudem empfehle ich, überall Ende-zu-Ende-Verschlüsselung zu aktivieren. Wer etwa bei iCloud die „Erweiterte Datensicherheit“ einschaltet, schützt seine Fotos vor neugierigen Blicken – auch wenn er dafür in Kauf nehmen muss, dass Apple bei Passwortverlust nicht helfen kann.

Außerdem lohnt es sich, Netzwerke zu trennen: Ein eigenes WLAN für smarte Glühbirnen oder Vorhänge verhindert, dass Schadsoftware von dort auf Laptops oder NAS-Systeme überspringt. Und schließlich: eine Geräte-Inventur. Die meisten Menschen besitzen viel mehr vernetzte Technik, als ihnen bewusst ist – darunter Geschenke, die aus Höflichkeit ausprobiert wurden und seither unbemerkt im Netzwerk hängen.

Was Hersteller smarter Geräte tun sollten

Was müsste sich an der digitalen Infrastruktur ändern, damit Nutzer sich selbst besser schützen können?

Von den Herstellern würde ich mir wünschen, dass sie Geräte von Anfang an mit Fokus auf Datenschutz und Sicherheit entwickeln. Bei neuen Geräten sollte etwa der Schutz der Privatsphäre voreingestellt sein – und nicht erst mühsam aktiviert werden müssen. Es müsste Updates über den gesamten Lebenszyklus eines Geräts hinweg geben – und transparente Informationen zur Sicherheitsprüfung. Zudem bräuchten wir Smart-Home-Plattformen, die lokal funktionieren, also ohne permanenten Datentransfer in die Cloud. Und klare Prüfsiegel: Beim Auto ist es selbstverständlich, dass es regelmäßig gewartet wird. Warum gibt es nicht auch einen digitalen TÜV für Router oder vernetzte Haushaltsgeräte? Regelmäßig, überprüfbar, verpflichtend.

Interdisziplinär forschen für digitale Sicherheit

Im bayerischen Forschungsverbund ForDaySec beschäftigen Sie sich interdisziplinär mit digitaler Sicherheit. Warum ist das wichtig?

Weil wir für nachhaltige, alltagstaugliche Lösungen technische und gesellschaftliche Perspektiven verbinden müssen. Bei ForDaySec arbeiten deshalb informatische Disziplinen – von Kryptografie bis Human-Computer-Interaktion – mit Rechtswissenschaft, Soziologie und Ethnografie zusammen. Forschende der Universität Passau klären etwa die Auswirkungen von Softwareaktualisierungen auf die Produkthaftung. Soziologen in Nürnberg untersuchen, wie Unternehmen im Alltag mit Daten umgehen – denn viele Probleme entstehen nicht technisch, sondern organisatorisch. Und ein Ethnograf besucht Haushalte, um zu erforschen, wie Geräte genutzt werden. Viele sind überrascht, wie viele unsichere Geräte sie besitzen.

An welchem Projekt arbeiten Sie selbst im ForDaySec-Verbund?

Wir entwickeln Sicherheitslösungen für Geräte, die sich kaum noch updaten lassen. Dazu extrahieren wir die Firmware, analysieren den Code und vergleichen Programmteile etwa mit der CVE-Liste – einem internationalen Katalog bekannter Schwachstellen. Dann spielen wir gezielte, extrem kleine Binär-Patches ein – also Änderungen am Programmcode –, ganz ohne Quellcode oder Herstellerhilfe.

Unser Ziel: dieses „minimalinvasive Micro-Patching“ später automatisiert und für viele Gerätetypen verfügbar zu machen. Denkbar wären lokale Prüfdienste, die Haushalte regelmäßig besuchen, Geräte kontrollieren und gegebenenfalls direkt reparieren – ähnlich einem digitalen Schornsteinfeger. Und wenn das technisch nicht mehr möglich ist, arbeiten wir an Warnsystemen, die Nutzerinnen und Nutzer zumindest informieren: „Dieses Gerät ist potenziell gefährlich – bitte ersetzen.“

Warum ist eine Konferenz wie die ACNS gerade jetzt wichtig?

Mit der ACNS holen wir Spitzenforschung nach München – von Post-Quanten-Kryptografie bis hin zu praxisnaher Informatik, die zeigt, wie Smart-TVs, Autoschlüssel oder medizinische Geräte gehackt werden könnten. Europa braucht diesen Austausch, um eigene Standards zu setzen. Denn viele Top-Konferenzen in diesem Bereich finden traditionell in den USA statt – mit zunehmenden Visa-Hürden, die ganze Forschergruppen ausschließen.

Welche Tipps geben Sie für den Umgang mit smarten Technologien?

Nutzerinnen und Nutzer möchte ich ermutigen, sich mit den grundlegenden Fragen der digitalen Sicherheit zu beschäftigen. Man muss kein Technikexperte sein, um die richtigen Entscheidungen zu treffen – aber man muss sich damit auseinandersetzen. Mein Friseur sagte kürzlich: „Das Handy hört eh alles mit, da kann man nichts machen.“ Das stimmt so natürlich nicht. Wer informiert ist, kann mit einfachen Mitteln viel erreichen – ob bei der Bluetooth-Zahnbürste oder der smarten Türklingel. Einen guten Einstieg bieten zum Beispiel die Seiten des Bundesamts für Sicherheit in der Informationstechnik.

Mehr zum Thema digitale Sicherheit:

Konferenz für angewandte Kryptographie und Netzwerksicherheit ACNS 2025

Bayerischer Forschungsverbund ForDaySec

Cybersicherheit: „Es gibt keinen hundertprozentigen Schutz“