Amazon und das smarte Türschloss Wollen Sie die reinlassen?

Ein Amazon-Angebot aus den USA erregt Aufsehen: Ein spezielles Schloss soll Paketboten von selbst die Tür öffnen. Das wirft viele Fragen auf - vor allem die nach der Sicherheit sogenannter Smart Locks.
Eine Mitarbeiterin verpackt ein Paket für den Versand.

Eine Mitarbeiterin verpackt ein Paket für den Versand.

Foto: Patrick Semansky/ picture alliance / Patrick Semansky/AP/dpa

Es klingt nach einem verlockenden Angebot: Wer bei Amazon Prime bestellt, muss in Zukunft nicht mehr fürchten, die Lieferung zu verpassen. Denn mit dem Servicepaket "Amazon Key" lässt ein smartes Türschloss den Paketboten in die Wohnung.

Zunächst gibt es den neuen Amazon-Dienst nur in den USA, erst einmal werden damit nur Pakete ausgeliefert. In nicht allzu ferner Zukunft soll das smarte Türschloss aber auch die Reinigungskraft, den Hundesitter oder die Handwerker hereinlassen, wenn der Bewohner mal nicht da ist. So verschafft sich Amazon mit dem Schloss ganz nebenbei die idealen Voraussetzungen für seine eigenen Home Services, eine Plattform für Dienstleistungen.

Aus Sicht des IT-Sicherheitsforschers Maik Morgenstern hat Amazon mit seinem neuen Dienst erstmals ein "konkretes Szenario" für den Einsatz von Smart Locks beschrieben. Einerseits veranschauliche das Projekt den Nutzen der Technik, andererseits werfe das ferngesteuerte Türschloss die typischen Sicherheitsbedenken auf, die Experten angesichts von Smart-Home-Anwendungen schon lange umtreiben.

Denn: Nichts symbolisiert die Gefahr, sich durchs "Internet der Dinge" Ärger ins Haus zu holen, so schön wie ein Türschloss.

Smart Locks - auch in Deutschland ein Thema

Morgenstern ist Technikchef des IT-Sicherheitsinstituts "AV-Test " in Magdeburg. Gerade erst hat sein Team sechs in Deutschland verfügbare Smart Locks genauer untersucht. Insgesamt waren die Tester zufrieden, mitunter wurden aber auch peinliche Pannen entdeckt.

Eine typische Sicherheitslücke bei Smart Locks besteht etwa darin, dass die Funk- oder Internetkommunikation zwischen Schloss, App und Anbieter nicht verschlüsselt wird. Wozu das in der Praxis führen kann, haben die beiden IT-Sicherheitsforscher Anthony Rose und Ben Ramsey 2016 auf der Hackerkonferenz Defcon vorgeführt : Von 16 Bluetooth-gesteuerten Smart Locks konnten die beiden Hacker zwölf knacken. Wurden Passwörter im Klartext übermittelt, gelang es ihnen sogar, diese zu überschreiben. Der Besitzer wäre dann aus seinem eigenen Haus ausgesperrt gewesen.

Auch AV-Test stieß bei seinem Test auf Anbieter, die ihre Firmware-Updates unverschlüsselt losschickten. Angreifer könnten das ausnutzen, falsche Updates auf die Geräte spielen und die Funktionen des Smart Locks manipulieren, so die Sorge. Morgenstern kritisiert zudem Hersteller, die ihr Produkt mit voreingestellten Standardpasswörtern ausliefern, denn viele Kunden ändern das Passwort aus Bequemlichkeit nie.

Botnetze mit Haushaltsgeräten

"Wir gehen nicht davon aus, dass Angreifer Schwachstellen im großen Stil ausnutzen werden, um ins Haus zu kommen", sagt Maik Morgenstern. Zumindest Internetkriminelle seien nicht an Wohnungseinbrüchen interessiert, denn "dafür müsste man ja hingehen oder Leute vor Ort haben".

Vielmehr habe die Erfahrung gezeigt, dass Hacker Sicherheitslücken in Smart-Home-Anwendungen - wie es sie selbst bei großen Herstellern gibt - nutzen, um die Geräte mit Schadsoftware zu infiltrieren. So können zum Beispiel aus mit dem Internet verbundenen Glühbirnen oder Heizreglern Spambotnetze werden.

Auch Erpressungsversuche sind denkbar: Kriminelle Hacker, die ferngesteuerte Schlösser unter ihre Kontrolle bringen, könnten anschließend Lösegeld von den Wohnungseigentümern verlangen.

Angreifer vor der Tür und über das Netz

Im Fall von "Amazon Key" spricht Morgenstern von "Unsicherheiten auf mehreren Ebenen". "Ich muss mit lokalen Angreifern vor der Tür rechnen", sagt er, "und mit Angreifern über das Internet." Darüber hinaus bestehe prinzipiell das Risiko, dass Amazon gehackt wird - als Unternehmen, das eines Tages vielleicht die Haustüren von Millionen Prime-Kunden kontrolliert.

Amazon sichert seinen digitalen Schlüsseldienst nach eigenen Angaben auf verschiedene Arten ab. So soll etwa die Zugangsberechtigung eines jeden Besuchers durch einen verschlüsselten Authentifizierungsprozess bestätigt werden. Für 250 Dollar liegt dem "Amazon Key"-Paket außerdem eine smarte Sicherheitskamera bei, die automatisch zu filmen beginnt, wenn die Tür aufgeht. Kunden können sich die Ankunft des Paketboten dann live oder zeitversetzt ansehen.

Für viele Nutzer könnte diese gefühlte Kontrolle über das Geschehen das entscheidende Kaufargument für das Amazon-Servicepaket sein. Für den IT-Sicherheitsexperten Morgenstern wäre es eher ein Grund, die Datenschutzstandards des Anbieters genauer unter die Lupe zu nehmen. "Ist die Kamera wirklich aus, wenn sie aus sein soll?", fragt er sich.

Bei "Amazon Key" geht es also um Vertrauen, und das gleich auf mehreren Ebenen: Die Kunden brauchen Vertrauen in die Diskretion eines globalen, datengetriebenen Konzerns, Vertrauen in dessen Mitarbeiter und in die Technik.

IT-Sicherheitsexperte Morgenstern zumindest weiß schon, für welche Seite er am ehesten noch die Hand ins Feuer legen würde: "Ich persönlich hätte viel zu viele Bedenken, Fremde bei mir reinzulassen", sagt er. Das Risiko der Technik könne er wenigstens einschätzen.