Stellen Sie sich vor, ein Hacker öffnet Ihre Haustür – aber nicht mit einem Dietrich, sondern mit Hilfe von Daten. Was nach Science Fiction klingt, ist inzwischen Realität.
Jedes smarte Türschloss, jede vernetzte Glühbirne ist eine potenzielle Schwachstelle. „Im Bayerischen Forschungsverbund ForDaySec untersuchen wir, wie der digitale Alltag sicher gestaltet werden kann, egal ob das den Saugroboter betrifft oder den digitalen KI-Assistenten“, sagt Prof. Dr. Stefan Katzenbeisser im Video. Der Inhaber des Lehrstuhls für Technische Informatik an der Universität Passau ist Sprecher des Forschungsverbunds, in dem sich Forschende von fünf bayerischen Universitäten und aus unterschiedlichen Disziplinen zusammengetan haben. Seit vier Jahren untersuchen sie, wie sich Sicherheit im Internet der Dinge (IoT) besser umsetzen lässt, ohne die Nutzerinnen und Nutzer mit technischen Details zu überfrachten.
Am Mittwoch, 25. März 2026, stellen die Forschenden in München die Ergebnisse vor. Einige der technischen Highlights haben sie kurz und prägnant im Video zusammengefasst. Zu Gast auf dem Event in München sind Vertreterinnen und Vertreter aus Wissenschaft und Praxis, darunter Caroline Krohn-Atug vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie Tatjana Halm von der Verbraucherzentrale Bayern e.V.. Die Keynote hält Tech-Journalistin Eva Wolfangel zum Thema: „Die Schwachstelle sitzt nicht vor dem Bildschirm, sondern im System.“
Im sogenannten Security Show Case haben die Forschenden Prototypen für realitätsnahe Szenarien entwickelt, anhand derer sich die Absicherung des digitalen Alltags zeigen lässt. Dr. Henrich C. Pöhls, Geschäftsführer des IT-Sicherheitszentrums an der Universität Passau, hat die Arbeiten koordiniert. „Wir haben in ForDaySec gesehen, dass Nutzerinnen und Nutzer gerne Zeit in IT-sicherheitskritische Entscheidungen investierten wollen wir ihnen aber auch die technischen Möglichkeiten dazu zugänglich machen müssen.“
Szenario 1: Wenn smarte Türschlösser keine Sicherheitsupdates bekommen
Smarte Türschlüssel versprechen einen bequemen Zugang, doch viele billige IoT-Geräte werden nicht vom Hersteller auf dem neuesten Stand gehalten. Sebastian Jänich von der Ludwig-Maximilians-Universität München zeigt, wie Angreifer solche Systeme übernehmen könnten: "Ein Türschloss mit einer Sicherheitslücke lässt sich per Funk manipulieren, ohne physischen Zugriff.“ Jänich, der am Lehrstuhl für Programmiersprachen und KI forscht, hat dafür folgende Lösung entwickelt: das nachträgliche Update der Firmware.
Was heißt das konkret? Statt auf Updates des Herstellers zu warten, wird der Code des Türschlosses lokal nachgerüstet und die Firmware verbessert. „Wir identifizieren kritische Funktionen und schützen sie durch zusätzliche Sicherheitschecks.“ Das nachgerüstete Türschloss blockiert verdächtige Zugriffe in der Folge automatisch. Das Besondere an der in ForDaySec entwickelten Lösung: Die Methode funktioniert auch bei älteren Geräten und verlängert deren Lebensdauer, indem sie bekannte Schwachstellen behebt, die der Hersteller ignoriert oder nicht mehr mit Hersteller-Updates nachpflegt.
Szenario 2: Wenn ein Angreifer die Überwachungskamera imitiert
Überwachungskameras sollen eigentlich für Sicherheit sorgen, doch oft weiß der Empfänger nicht, woher das Videobild stammt. Wie im Video gezeigt könnte der Angreifer ein Standbild während seines Einbruchs senden. Emiliia Geloczi, wissenschaftliche Mitarbeiterin am Lehrstuhl für Technische Informatik an der Universität Passau, zeigt zwei identische smarte Häuser: "Das eine hat einen normalen IoT-Hub, das andere ist mit unserem in ForDaySec entwickelten Sicherheitsmonitor ausgestattet."
Im ersten Haus gelingt es einem Angreifer im Test mühelos, den im Monitor angezeigten Videostream zu manipulieren. Im zweiten Haus sieht es anders aus: " Unser Monitor fordert in regelmäßigen Abständen eine neue Authentifizierung – und zwar mit Signaturen, die nur auf einem bestimmten Gerät erstellt werden können. "
Vereinfacht gesagt, handelt es sich um eine digitale Ausweiskontrolle für genau diese Hardware in der Kamera: Sie muss sich in kurzen Abständen neu legitimieren, und zwar mit einer digitalen Signatur. Selbst wenn ein Hacker eine Übertragung mitliest, kann er diese Signatur nicht reproduzieren, ohne das Gerät zu besitzen. "Die Signatur wird nur im Arbeitsspeicher auf Anfrage generiert, nutzt die einzigartigen physikalischen Eigenschaften des jeweiligen Geräts und wird nirgendwo gespeichert", erklärt Geloczi. Der oder die Hauseigentümerin bemerkt davon nichts, denn der Prozess läuft automatisiert im Hintergrund.
Szenario 3: Wenn das Smartphone zum Einfallstor wird
Marius Momeu, wissenschaftlicher Mitarbeiter am Lehrstuhl für IT-Sicherheit an der Technischen Universität München, hat sich mit folgendem Szenario beschäftigt: "Ein Angreifer nutzt eine Schwachstelle im Betriebssystemkern (Kernel), um das Smartphone einer Nutzerin zu übernehmen – und damit auch ihr ganzes Smart Home."
Der Kernel ist das Herzstück eines Betriebssystems. Er verwaltet Speicher, Prozesse und Hardware-Zugriffe. Ein Fehler hier kann einem Angreifer nahezu uneingeschränkte Kontrolle geben. "Plötzlich öffnet der Angreifer die Haustür, schaltet Kameras aus oder manipuliert Alarmanlagen", schildert Momeu.
Er hat in ForDaySec Schutzmechanismen entwickelt, die solche Attacken verhindern sollen. "Wir isolieren kritische Systemfunktionen, sodass selbst ein kompromittierter Kernel keine Geräte mehr angreifen kann."
Szenario 4: Wenn die smarte Glühbirne als Insider die Haustür öffnet
Dr. Henrich C. Pöhls von der Universität Passau hat ein oft unterschätztes Risiko untersucht: ausrangierte Smart-Home-Geräte. „Nutzerinnen und Nutzer denken selten daran, dass eine scheinbar harmlose smarte Glühbirne beim Entsorgen noch sensitive Sicherheitsinformationen enthalten kann – etwa das WLAN-Passwort oder Zugangsdaten zur Smart-Home-Zentrale.“
Die Glühbirne wird zum Wertstoffhof gebracht, landet aber nicht im Recycling, sondern in falschen Händen. „Ein Angreifer könnte die Daten auslesen und damit Zugang zum ursprünglichen Smart Home erlangen“, erklärt Pöhls. Er vergleicht das heutige Smart Home mit einem Hotel, wo alle eingecheckten Hotelgäste mit ihren Zimmerschlüsseln auch alle anderen Zimmertüren öffnen können: "Ein Türschloss, welches man mit dem Smartphone steuert, sollte im WLAN gar keine Befehle von einer Glühlampe empfangen können – leider werden heute häufig alle internen Teilnehmer des WLAN als gleich vertrauenswürdig behandelt."
Sein alternativer Ansatz, den er am Lehrstuhl für IT-Sicherheit der Universität Passau von Prof. Dr. Joachim Posegga erarbeitet hat: Jedes Gerät bekommt einen kryptographischen Schlüssel. Wenn dieser im WLAN-Router gelöscht werde, könne selbst eine kompromittierte Glühbirne kein Türschloss mehr öffnen. „Mit dieser für die Nutzerinnen und Nutzer recht einfach umzusetzenden Maßnahme reduzieren wir das Angriffspotential, schaffen mehr digitale Privatsphäre und stärken die Sicherheit im Smart Home.“
Der interdisziplinäre Forschungsverbund „ForDaySec – Sicherheit in der Alltagsdigitalisierung“ umfasst Forschende von fünf bayerischen Universitäten aus Informatik, Soziologie und Rechtswissenschaften. Sprecher ist Prof. Dr. Stefan Katzenbeisser von der Universität Passau. Das Alleinstellungsmerkmal des Verbunds ist die interdisziplinäre Verknüpfung technischer Verfahren mit juristischen Fragestellungen – wie beispielsweise Update-Pflichten - und soziologischen Analysen zur Nutzerakzeptanz. Das Bayerische Wissenschaftsministerium fördert den Verbund mit 3,3 Millionen Euro.
