Smart-Home-Geräte: Warum WLAN‑Gadgets schnell altern

Wenn eine WLAN‑Kamera oder ein smartes Thermostat nach zwei bis fünf Jahren keine Updates mehr bekommt, ist das mehr als eine Komforteinschränkung: Es wird zu einem Sicherheits- und Datenschutzproblem. Viele dieser Geräte sind fest mit Heimnetzen verbunden, melden Statusdaten in die Cloud und steuern physische Funktionen. Wenn Sicherheitslücken nicht gepatcht werden, können Angreifer Zugriff auf das lokale Netz gewinnen oder Geräte für größere Angriffe missbrauchen.

Die Gründe dafür sind vielfältig: technisch eingeschränkte Hardware, unklare Geschäftsmodelle, fehlende gesetzliche Vorgaben und mangelnde Transparenz auf Produktseiten. Behörden- und Branchenberichte zeigen, dass Hersteller oft keine klaren Supportzeiträume nennen. Für Nutzer heißt das: Ein Gerät ist nicht automatisch langfristig sicher, nur weil es „smart“ ist.

Die technische Basis vieler Smart‑Home‑Geräte ist knapp bemessen: Prozessor, Arbeitsspeicher und Flash‑Speicher sind oft auf niedrige Kosten und Energieeffizienz ausgelegt. Diese «constrained devices» können neuere, resourcehungrigere Sicherheitsstandards oder moderne Verschlüsselungen nicht mehr zuverlässig ausführen. Gleichzeitig entwickeln sich Protokolle und Angriffsstrategien weiter; ein Gerät, das vor fünf Jahren sicher wirkte, hat heute möglicherweise ungeschützte Schnittstellen.

Normen und Empfehlungen adressieren dieses Problem. Die europäische Norm ETSI EN 303 645 verlangt, dass Hersteller einen definierten Support‑Zeitraum veröffentlichen und sichere Update‑Mechanismen vorsehen; sie beschreibt auch Ausweichstrategien für nicht updatefähige Geräte. Das schafft eine Grundlage für Transparenz und Verantwortlichkeit (ETSI EN 303 645, 2020). (Diese Norm ist von 2020 und damit älter als zwei Jahre.)

Die technische Lebensdauer eines Geräts ist nicht gleichbedeutend mit seiner sicheren Nutzungsdauer.

In der Praxis bedeutet das: Selbst wenn die Hardware noch funktioniert, kann fehlender Software‑Support das Gerät unsicher machen. ENISA hat wiederholt empfohlen, Updates und Patch‑Management frühzeitig einzuplanen; in manchen EU‑Analysen fehlt jedoch eine verbindliche Mindestdauer für den Support (ENISA‑Guidelines, 2019/2020). (Diese Leitfäden sind älter als zwei Jahre.)

Eine kleine Tabelle fasst typische Kategorien und typische Supportdauern zusammen, wie sie in Untersuchungen und Advocacy‑Papieren häufig genannt werden:

Diese Werte sind orientierend; die tatsächliche Supportdauer hängt vom Hersteller, Gerätemodell und Geschäftsmodell ab. Wo Hersteller keine Frist nennen, übernimmt niemand die Verantwortung für die langfristige Sicherheit.

Es gibt vier typische Gründe, warum Updates ausbleiben: 1) fehlende Hardware‑Kapazität, 2) Kosten‑/Geschäftsentscheidungen, 3) organisatorische Lücken beim Patch‑Management und 4) mangelnde Transparenz gegenüber Kundinnen und Kunden.

Hersteller entscheiden sich manchmal, Unterstützung einzustellen, weil der Aufwand, Firmware für viele verschiedene Hardware‑Revisionen zu pflegen, hoch ist. Bei sehr günstigen Produkten bleibt kaum Marge für langfristigen Support. Andere Gründe sind organisatorisch: Fehlt ein Prozess zur Koordination von Sicherheitsmeldungen (Vulnerability Disclosure), verlangsamt das die Reaktion auf Schwachstellen.

Untersuchungen der US‑Behörden und Verbraucherschützer zeigen: Produktseiten geben selten klare Informationen. Die FTC fand 2024, dass nur rund 11,4 % der geprüften Produktseiten eine Supportdauer nannten. Das macht es für Käufer schwierig, die langfristige Sicherheit eines Geräts im Voraus abzuschätzen.

Technisch gibt es ebenfalls Barrieren. Manche Update‑Mechanismen sind nicht robust implementiert: fehlende Signaturprüfung, kein Anti‑Rollback, unsichere Update‑Kanäle. Standards wie ETSI EN 303 645 empfehlen signierte Updates und Integritätsprüfungen; in der Praxis fehlen diese Mechanismen nicht nur bei Billigprodukten.

Schließlich ist die Kommunikation ein Problem: Auch wenn Updates verfügbar sind, erreichen sie nicht immer alle Geräte. Nutzer deaktivieren automatische Updates aus Sorge um Funktionalität oder weil Updates Strom/Datennutzung verursachen. Ohne klaren Hinweis auf den Supportzeitraum ist die Motivation, regelmäßig zu patchen, gering.

Kurzfristig bedeutet fehlender Support ein erhöhtes Risiko für Einbruch in Heimnetze, Datendiebstahl oder die Einbindung von Geräten in Botnets. ENISA und andere Threat‑Analysen listen IoT‑Geräte seit Jahren als häufige Angriffsvektoren auf; ungepatchte Geräte tragen erheblich zur Angriffsfläche bei.

Neben Sicherheitsfragen hat das Thema auch eine ökologische Dimension. Wenn Geräte wegen fehlender Softwareunterstützung aus dem Verkehr gezogen oder ersetzt werden müssen, erhöht sich der Elektroschrott. Verbraucher erwarten oft eine längere Lebensdauer, besonders bei größeren Haushaltsgeräten; Studien zeigen eine Diskrepanz zwischen Erwartung und tatsächlicher Supportpraxis.

Ökonomisch sind die Folgen ebenfalls spürbar: Kosten für Nachrüstungen, Sicherheitsvorfälle oder den Austausch von Geräten landen letztlich bei Anwendern und Entsorgungsinfrastruktur. Zudem entstehen Reputationsrisiken für Hersteller, die langfristig die Kundenbindung schwächen.

Gleichzeitig eröffnet das Thema Chancen: Ein verpflichtender Mindest‑Supportzeitraum, bessere Kennzeichnung und einheitliche Update‑Mechaniken würden Transparenz schaffen und langfristig Marktanreize für nachhaltigere Produkte setzen.

Auf europäischer Ebene gibt es bereits Bausteine: ETSI EN 303 645 verlangt die Veröffentlichung eines definierten Support‑Zeitraums sowie sichere Update‑Mechanismen. ENISA empfiehlt sichere Update‑Pipelines und Lifecycle‑Planung, nennt aber in den Richtlinien keine feste Mindestdauer für den Support; das bleibt politische Entscheidungsaufgabe. (ENISA‑Publikationen 2019/2020 sind älter als zwei Jahre.)

Verbraucherorganisationen und Behörden fordern mehr Transparenz: Die FTC und Consumer Reports dokumentieren, dass viele Produktseiten keine Supportinformationen enthalten, und schlagen verpflichtende Offenlegung vor. Modellgesetze und Labels werden als praktikable Wege diskutiert, um Vergleichbarkeit zu schaffen und Plattformbetreiber in die Pflicht zu nehmen.

Für Hersteller gibt es konkrete technische Maßnahmen: signierte Over‑the‑Air‑Updates, Rollback‑Schutz, sichere Boot‑Ketten und eine published Vulnerability Disclosure Policy. Für Produkte mit begrenzter Updatefähigkeit sind Austausch‑strategien oder Isolationsempfehlungen sinnvoll.

Für Käufer sind drei einfache Verhaltensweisen hilfreich: auf veröffentlichte Supportzeiträume achten, beim Kauf nach Update‑Mechanismen fragen und Plattform‑/Shop‑Informationen prüfen. Langfristig werden regulatorische Maßnahmen die größte Wirkung haben — sie sollten Mindestanforderungen, Transparenzpflichten und Übergangsregelungen kombinieren.

Smart‑Home‑Geräte altern schnell, wenn Softwareunterstützung ausbleibt. Technische Beschränkungen, wirtschaftliche Entscheidungen und eine unzureichende Informationslage führen dazu, dass Geräte noch funktional, aber nicht mehr sicher sind. Standards wie ETSI EN 303 645 und Empfehlungen von ENISA liefern eine Basis, doch ohne verbindliche Transparenzpflichten oder Mindestlaufzeiten bleibt die Situation uneinheitlich. Verbraucher können durch informierte Kaufentscheidungen kurzfristig Risiken mindern; langfristig sind verbindliche Regelungen und verlässliche Update‑mechaniken nötig, damit smarte Geräte wirklich sicher und nachhaltig genutzt werden können.