Smart Locks: So findest du das sichere Schloss fürs Zuhause

Viele Käufer wählen ein Smart Lock, weil es das Leben bequemer macht: Schlüssel werden seltener verloren, Zustellungen und Handwerkerzugang lassen sich zeitlich begrenzen. Doch Komfort darf nicht zum Sicherheitsrisiko werden. In den vergangenen Jahren zeigten Sicherheitsanalysen wiederholt, dass Lücken in Funkprotokollen, fehlerhafte Update‑Mechanismen oder fehlende Transparenz dazu führen, dass sich Angreifer Türen per Funk öffnen oder durch Schwachstellen in einer Cloud‑Schnittstelle Zugriff bekommen konnten.

Dieser Text legt den Blick auf die Aspekte, die du kontrollieren kannst: Wie Hersteller mit Sicherheitsmeldungen umgehen, ob Updates regelmäßig bereitgestellt werden, welche Authentifizierungsoptionen es gibt und wie du das Gerät im Heimnetz absicherst. Es geht nicht um einzelne Marken‑Angriffe, sondern um die Entscheidungskriterien, die auch in zwei Jahren noch relevant sind.

Ein Smart Lock ist ein Türschloss, das zusätzliche elektronische Steuerungen hat — meist ein Motor, eine Funk- oder Netzwerkschnittstelle und eine Verwaltungs‑App. Viele Modelle ersetzen das klassische Zylinderschloss nicht, sondern ergänzen es mit einem „Wanderknauf“ oder einem Aufsatz, der den Schlüssel dreht. Technisch unterscheidet man übliche Verbindungsarten: Bluetooth, Z‑Wave oder WLAN. Bluetooth verbindet direkt mit dem Smartphone, Z‑Wave ist ein Smart‑Home‑Protokoll mit geringer Reichweite und guter Mesh‑Fähigkeit, WLAN erlaubt direkten Internetzugang.

Sicherheit hängt weniger vom Verbindungstyp als von Update‑Management, Verschlüsselung und Hersteller‑Transparenz ab.

Wichtig sind drei einfache Kerneigenschaften, die auch Standards wie ETSI EN 303 645 ansprechen: keine universellen Default‑Passwörter, ein öffentlich erreichbarer Vulnerability‑Disclosure‑Punkt (VDP) und ein klar dokumentierter Update‑Lifecycle. ETSI EN 303 645 ist ein anerkannter Baseline‑Standard für Consumer‑IoT‑Sicherheit; er enthält rund 13 Kernforderungen, die als Mindestmaß betrachtet werden.

Die folgende Vergleichstabelle hilft, die Praxis zu unterscheiden:

Zwei Zahlen, die du im Hinterkopf behalten solltest: Regulatorische Leitlinien empfehlen, kritische Sicherheitsupdates zügig bereitzustellen (als Richtwert werden oft 14 Tage für kritische Patches genannt). Außerdem verlangt die heutige Regulierungslandschaft, dass Hersteller einen Mindest‑Zeitraum für Sicherheitsupdates und einen VDP angeben (siehe UK PSTI‑Regime seit 2024).

Wenn du ein Smart Lock bewertest, lautet die Reihenfolge: Hersteller‑Transparenz (VDP, SoC/Statement of Compliance), Update‑Politik, eingesetzte Kryptographie und schließlich die lokale Installationshygiene.

Ein sicherer Einbau beginnt bei der Frage, ob das Smart Lock mechanisch zum Türzylinder passt und ob die Elektronik durch Türkörper oder Abdeckungen vor physischem Zugriff geschützt ist. Praktisch bedeutet das: Prüfe, ob sichtbare Test‑Pins, offene JTAG‑Anschlüsse oder leicht zugängliche USB‑Schnittstellen vorhanden sind—diese erleichtern Angreifern das direkte Auslesen.

Vor dem Kauf und direkt nach der Inbetriebnahme kannst du mehrere einfache Prüfungen durchführen:

1. Support‑ und Update‑Informationen prüfen: Wie viele Jahre Sicherheitsupdates garantiert der Hersteller? Ist ein Statement of Compliance (SoC) auffindbar?
2. Vulnerability‑Disclosure: Gibt es eine öffentliche Kontaktadresse für Sicherheitsforscher (VDP)? Wenn ja, ist sie aktiv?
3. App‑Rechte kontrollieren: Fordert die App unnötige Berechtigungen (z. B. vollständigen Netzwerkzugriff, Standort ohne Grund)?
4. Netzwerksegmentierung: Betreibe Smart‑Home‑Geräte in einem separaten WLAN oder Gastnetz, um den Zugriff auf private Rechner zu minimieren.

Ein weiteres wichtiges Detail: Bridges und Cloud‑Zugänge. Viele Hersteller nutzen eine „Bridge“, die Funk‑Signale ins Internet bringt. Solche Bridges erhöhen die Angriffsfläche — sie ermöglichen zwar komfortablen Fernzugriff, sollten aber in puncto Verschlüsselung und Update‑fähigkeit geprüft werden. Wenn möglich, konfiguriere die Bridge so, dass sie nur ausgehende Verbindungen zu den Servern des Herstellers nutzt und nicht alle Ports offenhält.

Ein Alltagsbeispiel: Wenn du einem Paketdienst einmaligen Zugang geben willst, ist eine temporäre PIN oder ein einmaliger digitalen Schlüssel sicherer als ein dauerhaftes Gastkonto. Moderne Systeme bieten zeitlimitierte Zugangscodes; nutze diese Funktion, statt festen Fernzugriff einzurichten.

Wenn du technisch versierter bist, schau in den Hersteller‑Changelogs nach Häufigkeit und Art der Patches. Eine nachvollziehbare Patch‑Historie ist ein signalstarker Indikator für seriöse Wartung.

Die meisten dokumentierten Vorfälle bei Smart‑Locks liefen über drei Pfade: ungepatchte Firmware, unsichere Bridge/Cloud‑APIs und fehlerhafte Implementierung von Kryptographie. Beispiele aus der Praxis zeigen, dass Hersteller zwar oft Patches liefern, aber nicht alle Nutzer diese aufspielen, weil automatische Updates deaktiviert sind oder Geräte offline bleiben.

Was kannst du tun? Zunächst solltest du automatische Updates aktivieren, sofern vertrauenswürdig—das schließt kritische Sicherheitslücken, ohne dass du jede Woche manuell prüfen musst. Zweitens: Aktiviere starke Authentifizierung für das Benutzerkonto der App, idealerweise mit MFA (Multi‑Factor Authentication). MFA verlangt zwei verschiedene Nachweise, zum Beispiel Passwort plus Einmalcode; das verhindert, dass ein kompromittiertes Passwort allein ausreicht.

Netzwerkseitig hilft Segmentierung: Platziere Smart‑Home‑Geräte in einem Gastnetz oder VLAN, so dass ein kompromittiertes Gerät nicht automatisch Zugriff auf PC‑Backups, NAS oder Steuersoftware hat. Zusätzlich sind lokale Zugangsbeschränkungen sinnvoll: Deaktiviere unnötige Fernzugriffe, schränke Zugriffslisten (ACLs) ein und nutze, wenn möglich, sichere Tunnel (VPN) für Remote‑Zugriff.

Ein drittes Thema ist Hersteller‑transparenz: Seriöse Anbieter veröffentlichen VDP‑Kontaktdaten, eine Patch‑Historie und erklären, wie lange Sicherheitsupdates geliefert werden. Regulatorische Initiativen (z. B. UK PSTI seit 2024, ETSI‑Baseline‑Standards) fordern solche Informationen. Wenn ein Anbieter diese Transparenz nicht bietet, ist das ein deutliches Warnsignal.

Schließlich: Prüfe bekannte Sicherheitsmeldungen (z. B. NVD, Sicherheitsadvisories unabhängiger Prüfer). Bei älteren, nicht mehr unterstützten Geräten ist Ersatz oft sicherer als das Hoffen auf einen Patch.

Die Sicherheitsanforderungen für Smart‑Home‑Geräte sind heute Teil eines wachsenden Regulierungsrahmens. Normen wie ETSI EN 303 645 legen Basiskriterien fest; nationale Regimes ergänzen dies, indem sie Herstellern Update‑Zeiträume und VDP‑Pflichten vorschreiben. Solche Regelungen erhöhen den Druck auf Hersteller, Sicherheitsprozesse nachweisbar zu implementieren.

Auf technischer Ebene sind folgende Entwicklungen absehbar: verbesserte Firmware‑Signaturverfahren, standardisierte Konformitätsprüfungen und mehr Geräte mit sicherem Boot‑Mechanismus, sodass manipulierte Firmware nicht startet. Auch werden Hersteller in Ausschreibungen häufiger einen dokumentierten Support‑Zeitraum angeben müssen. Für Nutzer bedeutet das: Die Auswahlkriterien von heute (Patch‑History, VDP, MFA) bleiben relevant, und Zertifikate oder offizielle Prüfzeichen werden an Bedeutung gewinnen.

Gleichzeitig entstehen neue Fragen: Wie lange halten Support‑Versprechen? Was passiert mit Altbeständen auf dem Markt? Für Privathaushalte ist wichtig, dass Geräte im Alltag einfach zu härtenden Netzwerkeinstellungen unterstützen—etwa Gastnetz‑Funktionen in Routern oder einfache Möglichkeiten, Fernzugriffe per Default zu deaktivieren.

Fazit der Perspektive: Sicherheit wird weder ausschließlich durch neue Protokolle noch durch ein einzelnes Label erfüllt. Es bleibt eine Kombination aus Hersteller‑Verantwortung, transparenten Prozessen und informierten Nutzerentscheidungen. Wer beim Kauf auf Update‑Transparenz und VDP‑Informationen achtet, trifft eine Entscheidung, die auch langfristig Bestand hat.

Beim Smart Lock entscheidet nicht allein die Marke, sondern drei Dinge: Lieferbare und dokumentierte Sicherheitsupdates, eine klare Anlaufstelle für Sicherheitsmeldungen und eine robuste Authentifizierung. Mechanische Qualität und ordentlicher Einbau bleiben wichtig, doch die digitale Seite bestimmt zunehmend, ob ein Schloss wirklich sicher ist. Im Zweifel ist ein etwas teureres Modell mit nachweisbarer Patch‑Historie, klarer VDP‑Politik und Support‑Zeitraum die bessere Wahl als ein günstiges Gerät ohne solche Nachweise. Netzsegmentierung, MFA und die Nutzung zeitlich begrenzter Schlüssel sind einfache, sofort wirksame Schutzmaßnahmen für deinen Alltag.