Smarte Geräte sind oft nur so sicher wie das Konto dahinter. Warum Passkeys, Zwei-Faktor-Authentifizierung, Recovery-Codes und saubere Familienfreigaben im Smart Home wichtiger werden – und wo sie Geräteupdates nicht ersetzen.
Warum das Konto wichtiger wird als das einzelne Gerät
Im Smart Home hängt Sicherheit selten nur an einer Lampe, einem Sensor oder einem Schloss. Der eigentliche Knotenpunkt ist oft das Herstellerkonto: Dort werden Geräte registriert, Apps verbunden, Familienmitglieder eingeladen, Sprachassistenten gekoppelt und Fernzugriffe erlaubt. Wer dieses Konto übernimmt, muss nicht jedes Gerät einzeln knacken. Er steht bereits im Flur des digitalen Hauses.
Das macht Passkeys und Zwei-Faktor-Authentifizierung zu mehr als einer bequemen Login-Option. Sie schützen den Ort, an dem viele Smart-Home-Rechte zusammenlaufen. Besonders kritisch wird das bei Kameras, Türschlössern, Garagentoren, Alarmanlagen und Heizungssteuerungen – also überall dort, wo ein Konto nicht nur Komfort, sondern reale Alltagsfunktionen kontrolliert.
Was Passkeys im Alltag leisten
Passkeys basieren auf moderner kryptografischer Anmeldung statt auf einem Passwort, das man eintippt, wiederverwendet oder auf einer Phishing-Seite verliert. Vereinfacht gesagt liegt ein geheimer Schlüssel auf dem eigenen Gerät, während der Dienst nur den passenden öffentlichen Teil kennt. Die Anmeldung wird dann etwa per Geräte-PIN, Fingerabdruck, Gesichtserkennung oder Sicherheitsschlüssel freigegeben.
Der wichtigste Vorteil: Ein Passkey ist an die echte Webseite oder App gebunden. Eine nachgebaute Login-Seite kann ihn nicht einfach abgreifen wie ein Passwort. Die FIDO Alliance beschreibt Passkeys deshalb als phishing-resistentere Form der Anmeldung. Für Smart-Home-Konten ist genau das relevant, weil ein gestohlenes Passwort dort nicht nur E-Mails gefährdet, sondern Kamerabilder, Gerätefreigaben und Fernzugriff.
2FA bleibt wichtig – auch wenn Passkeys kommen
Nicht jedes Smart-Home-Ökosystem unterstützt bereits Passkeys, und nicht jede Familie wird sofort komplett umstellen. Zwei-Faktor-Authentifizierung bleibt deshalb der robuste Mindeststandard. CISA empfiehlt MFA ausdrücklich, weil ein zweiter Faktor viele Angriffe stoppt, selbst wenn ein Passwort bekannt wird. Am besten sind App-basierte Bestätigungen, Sicherheitsschlüssel oder Passkeys; SMS-Codes sind besser als nichts, aber anfälliger für SIM-Tausch und Weiterleitung.
Wichtig ist die nüchterne Einordnung: 2FA macht ein Konto nicht unverwundbar. Sie schützt nicht vor jedem kompromittierten Gerät, nicht vor alten Firmware-Lücken und nicht vor zu großzügigen Freigaben. Sie verhindert aber sehr häufig, dass ein gestohlenes oder wiederverwendetes Passwort allein reicht. Für viele Haushalte ist das der größte Sicherheitsgewinn mit dem geringsten Aufwand.
Familienfreigaben sind ein unterschätztes Risiko
Smart Home ist selten ein Einzelspieler-System. Partner, Kinder, Großeltern, Mitbewohner, Handwerker oder Feriengäste bekommen temporär Zugriff. Genau dort entstehen Schwachstellen: gemeinsam genutzte Passwörter, alte Freigaben nach einem Umzug, Konten auf verlorenen Smartphones oder Geräte, die nach dem Verkauf noch mit einem alten Account verknüpft sind.
Besser ist ein Rechtekonzept, auch wenn es klein wirkt. Jede Person bekommt ein eigenes Konto. Admin-Rechte bleiben selten. Temporäre Codes laufen ab. Nach Trennungen, Mieterwechseln, Geräteverkauf oder Smartphone-Verlust werden Freigaben aktiv geprüft. Bei Türschlössern, Kameras und Alarmanlagen sollte diese Kontrolle so selbstverständlich sein wie der Blick auf den echten Schlüsselbund.
Recovery-Codes entscheiden im Ernstfall
Kontowiederherstellung klingt langweilig, ist aber sicherheitskritisch. Wer Recovery-Codes offen in der Cloud speichert, in unverschlüsselten Notizen ablegt oder an dieselbe E-Mail-Adresse bindet, macht aus dem Notausgang einen Seiteneingang für Angreifer. NIST betont bei Authentifizierung und Wiederherstellung, dass Prozesse zum Zurücksetzen von Zugangsdaten sauber abgesichert werden müssen.
Für Haushalte heißt das: Recovery-Codes ausdrucken oder in einem vertrauenswürdigen Passwortmanager speichern, nicht im Fotoalbum des Smartphones. Die Wiederherstellungs-E-Mail selbst braucht ebenfalls starke Anmeldung. Und wenn ein Gerät verloren geht, sollte klar sein, welche Smart-Home-Apps, Sicherheitsschlüssel und geteilten Zugänge widerrufen werden müssen.
Kameras und Schlösser brauchen strengere Maßstäbe
Nicht jedes smarte Gerät verdient dieselbe Risikoklasse. Ein Lichtstreifen im Regal ist etwas anderes als eine Innenraumkamera oder ein Schloss. Bei Kameras geht es um private Bilder, Routinen und Aufenthaltsorte. Bei Schlössern und Garagentoren kommt physische Sicherheit hinzu. Hier reicht „funktioniert bequem“ als Kaufargument nicht.
Gerade solche Geräte sollten nur mit Herstellerkonten laufen, die starke Anmeldung, 2FA oder Passkeys, klare Freigaben und nachvollziehbare Geräteverwaltung bieten. Wer nicht sehen kann, welche Smartphones angemeldet sind, welche Personen Zugriff haben und wann zuletzt Geräte aktiv waren, betreibt sein Smart Home im Blindflug.
Passkeys ersetzen keine Geräteupdates
Ein häufiger Denkfehler wäre: Wenn das Konto gut geschützt ist, ist das Smart Home sicher. So einfach ist es nicht. Passkeys schützen den Login. Sie reparieren keine veraltete Firmware, schließen keine offenen Ports, trennen kein unsicheres IoT-Gerät vom Heimnetz und ersetzen keine lokale Notbedienung.
Die robuste Sicherheitsbasis bleibt mehrschichtig: Updates einschalten, Standardpasswörter ändern, nicht benötigte Dienste deaktivieren, Geräte in ein getrenntes IoT- oder Gastnetz legen und bei wichtigen Funktionen einen manuellen Fallback behalten. Passkeys und 2FA gehören in diese Schichtarchitektur – als Schutz des zentralen Kontos, nicht als magischer Sicherheitsmantel für alles.
Gerade ältere Geräte zeigen diese Grenze deutlich. Ein alter Sensor kann weiter unsichere Funkprotokolle nutzen, eine Kamera kann trotz gutem Konto zu lange Cloud-Clips speichern, ein Schloss kann bei leerer Batterie scheitern. Kontoschutz senkt das Risiko des Fernzugriffs, ersetzt aber nicht die technische Hygiene am Gerät selbst.
Welche Konto-Einstellungen jetzt geprüft werden sollten
Eine sinnvolle Prüfung beginnt bei den Basics: Gibt es für das Herstellerkonto 2FA oder Passkeys? Sind alle alten Geräte abgemeldet? Nutzen alle Beteiligten eigene Konten? Gibt es unbekannte Familienmitglieder, Gastzugänge oder Integrationen? Sind Wiederherstellungsoptionen aktuell und sicher abgelegt?
Danach lohnt der Blick auf gekoppelte Dienste. Sprachassistenten, Automationen, SmartThings-, HomeKit-, Google-Home- oder Alexa-Verbindungen können nützlich sein, erweitern aber die Angriffsfläche. Jede Integration sollte einen Zweck haben. Was nicht mehr gebraucht wird, wird getrennt. Das klingt banal, verhindert aber genau jene stillen Altlasten, die Jahre später Probleme machen. Ein kurzer halbjährlicher Konto-Check reicht in vielen Haushalten schon aus.
Warum das dauerhaft relevant ist
Die Zahl vernetzter Geräte wächst, aber der entscheidende Trend ist die Bündelung: Ein Konto steuert immer mehr Alltag. Licht, Heizung, Kameras, Zutritt, Energieverbrauch und Automationen liegen nicht mehr getrennt nebeneinander, sondern hängen an Plattformen, Apps und Cloud-Diensten. Dadurch verschiebt sich Sicherheit vom einzelnen Gerätepasswort hin zur Identität des Nutzers.
Passkeys und gute Zwei-Faktor-Verfahren sind deshalb keine Modebegriffe aus der IT-Sicherheit. Sie werden zum digitalen Haustürschlüssel. Wer Smart Home ernsthaft nutzt, sollte Kontoschutz, Freigaben und Wiederherstellung genauso sorgfältig behandeln wie Firmware-Updates und Netzwerksicherheit. Genau diese Kombination macht ein vernetztes Zuhause nicht perfekt, aber deutlich widerstandsfähiger.
Quellen und weiterführende Informationen
Der Artikel nutzt öffentlich zugängliche Quellen von Behörden, Standardisierungs- und Fachorganisationen:
- CISA: More than a Password / Multi-Factor Authentication
- NIST SP 800-63B: Authentication and Authenticator Requirements
- FIDO Alliance: Passkeys
- ENISA: Security and resilience for smart home environments
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde menschlich redaktionell geprüft. Stand: 6. Mai 2026.
