Cybersicherheit fürs Elektro-Handwerk

Okay, das heißt, ihr habt eng mit Herstellern zu tun? Ihr kriegt die Produkte von den Herstellern und testet die dann auf Herz und Nieren für euren jeweiligen Bereich?

Genau, wir prüfen Geräte von Herstellern, und wenn die den jeweiligen Standards entsprechen, dann vergeben wir die Zertifikate. Das ist unsere Hauptaufgabe: Wir stellen sicher, dass die Sicherheitsnormen eingehalten werden. Und das können wir dann durch unsere Prüfungen nachweisen.

Jetzt ist das Thema, über das wir heute sprechen, Cybersicherheit. Ein Thema, das immer mehr Relevanz bekommt. Kannst du da mal eine grobe Einschätzung geben? Wie sieht es denn aus bei der Sicherheit in der Gebäudetechnik?

Wir haben im Jahr 2012 mit den ersten Prüfungen begonnen – dort waren auch schon Smarthome-Geräte dabei. Damals haben wir festgestellt, dass das Bewusstsein, es könnten Sicherheitslücken von diesen Geräten ausgehen, nicht besonders ausgeprägt war. Es gab einzelne Firmen, die haben sich schon darum gekümmert, aber es gab auch viele Produkte, die offen wie ein Scheunentor waren.

Das hat sich doch sehr gewandelt. Es sind mehr Geräte jetzt auf dem Markt, die sicher sind. Bis zum August dieses Jahres gab es noch keine Verpflichtung für Hersteller, dass sie wirklich Cybersecurity in irgendeiner Form prüfen lassen und dass sie irgendwelche Nachweise führen müssen. Das war den Herstellern überlassen. Wie gesagt, einige Hersteller haben das auch schon von Anfang an getan. Einige kamen nachträglich dazu, aber es gibt eben immer noch einige Hersteller, die das sehr vernachlässigten. Aber sie werden jetzt mit der ersten Regulierung, die jetzt im August gültig wurde, dazu gezwungen, für bestimmte Produkte auch solche Nachweise zu führen. Und das wird später ausgeweitet werden, dass wirklich alle Produkte mit digitalen Elementen auch solche Nachweise für die Cybersicherheit haben müssen. Das heißt aktuell, wenn jetzt das CE-Zeichen vergeben wird, müssen die Produkte auch solche Anforderungen erfüllen. Das ist jetzt im Moment in der ersten Phase nur für einen gewissen Teil von Produkten Pflicht. Und wird später mit dem Cyber Resilience Act ausgeweitet, der 2027 komplett aktiv wird.

Alexander, jetzt kann ich mir vorstellen, viele fragen sich, was wollen denn jetzt Betrüger mit meinem Smarthome-System genau anfangen? Wo liegen da genau die Gefahren?

Also erstmal besteht eher weniger die Gefahr für die Endkunden, dass ein einzelnes System gehackt wird. Das könnte es zwar auch geben, dass jemand dort an persönliche Daten kommen möchte. Aber das ist gar nicht die größte Gefahr. Die größte Gefahr ist, dass Geräte übernommen werden und diese Geräte dann verwendet werden, um dann weitere Massen-Cyber-Angriffe zu fahren, sogenannte Distributed Denial-of-Service-Angriffe, also DDoS-Attacken. Das ist auch der Hauptteil, den die EU-Kommission verhindern möchte. Sie möchte verhindern, dass Hacker Geräte in der Masse übernehmen und damit weiteren wirtschaftlichen Schaden z.B. durch Erpressungen durchführen können. Diese Gefahr gibt es und sie ist real. Da entsteht aktuell ein großer Schaden in Milliardenhöhe. In Deutschland sind das 178 Mrd. Euro pro Jahr. Das ist eine Zahl des Bitkom vom letzten Jahr. Und das war auch der Grund, warum der Cyber Resilience Act von der EU Kommission auf den Weg gebracht wurde.

Um jetzt konkret zur Technik zu kommen: Vielleicht gibst Du uns mal einen Überblick, was ihr für Geräte prüft und was für das Elektrohandwerk davon relevant ist?

Vor allem haben wir Produkte aus dem Bereich der Smarthome-Installation, z.B. Anwendungen, die man über Schalter bedient, Jalousien steuern oder Licht schalten kann. Dort gibt es oft auch zentrale Steuergeräte. Über die Zentrale kann man das Haus dann fernsteuern: Was passiert gerade in der Gebäudetechnik, wie sind die Energieströme, sind die Lichter an oder ich möchte gerne von unterwegs mal im Garten das Licht einschalten oder die Heizung nach oben drehen. Das sind die zentralen Systeme, die wir betrachten, und da geht es immer darum, welche Geräte setze ich ein? Von welchem Hersteller? Und wie mache ich die Konfiguration dazu?

Viele dieser Geräte werden dann von Handwerkern vor Ort installiert und eingerichtet. Die Produkte werden, wie gesagt, immer besser, was die Sicherheit angeht, aber es liegt dann auch am Handwerker, dass keine unsicheren Passwörter verwendet werden. Es dürfen keine Standardpasswörter genutzt werden. Wenn der Installateur solche Technik konfiguriert, gehört es auch zu seiner Aufgabe, sichere Passwörter zu vergeben und zu verwenden. Sonst ist das nämlich das leichteste zu öffnende Einfallstor. Auch bei einer späteren Fernwartung muss man ganz genau darauf aufpassen: Wie sichert man das ab? Wie schützt man das? Und wie schützt man die persönlichen Daten, die man von seinem Kunden bekommt? Es gibt auch Lösungen, die von einigen Handwerkern selber angeboten werden, z.B. Fernwartung über VPN-Verbindungen. Aber da muss man sehr stark aufpassen, dass diese wirklich sicher sind, sonst hat man nämlich einen weiteren Angriffspunkt.

Eine ganz wichtige Sache ist auch immer die Updatefunktion. Auch das darf man nicht unterschätzen. Dadurch, dass man solche Systeme einsetzt, die Software enthalten, muss die Software auch regelmäßig upgedatet werden. Das ist eine zentrale Sache für die Sicherheit und es muss klar sein: Wer macht dieses Update, wann wird dieses Update durchgeführt? Die Sicherheit des Systems ist nur dann gegeben, wenn man regelmäßig diese Sicherheitsupdates einspielt.

Alexander, ich fasse das mal so zusammen: Die größte Sicherheitslücke befindet sich oft in den Köpfen derjenigen, die die Geräte benutzen und die sie installieren. Das muss man sich bewusst machen, oder?

Ja, das ist richtig. Man muss sich bewusst sein, was man tut. Man hat eben auch die Verpflichtung dazu, ein Gerät oder System sicher zu installieren und es auch so zu betreiben. Natürlich ist es in der Praxis lästig, ein komplexes, schwer zu merkendes Passwort zu wählen. Aber es hat seinen Sinn, dass man ein sicheres Passwort wählt, das kompliziert ist, das lang ist. Es gibt Scanner, die automatisch durch das Internet scrollen und versuchen, über unsichere Standard-Passwörter irgendwo hineinzukommen. Diese Zugänge können Hacker dann sehr einfach nutzen.

Das Passwort Sonne123 sollte man dann tunlichst lassen?

Auf alle Fälle, ja. Man muss immer individuelle Passwörter wählen: Das muss auch entsprechend lang und kompliziert sein. Also wie man das kennt: Groß-, Kleinschreibung, Ziffern oder Sonderzeichen gemischt. Und da rate ich immer zu Passwortmanagern mit einem sehr starkes Eingangspasswort. Das muss dann wiederum auch irgendwo gesichert sein, damit man es nicht verliert. Aber ohne Passwortmanager kann man heute eigentlich nicht mehr arbeiten. Da individuelle, separate Passwörter für die verschiedenen Internet-Dienste verwendet werden sollen.

Okay, das heißt also auch, als guter Handwerker muss nicht nur die Installation professionell sein, sondern auch die Dokumentation und halt die Soft Skills drumherum – also, wie das Passwort gewählt wird und wie man damit umgeht. Oder wie siehst Du das?

Das sehe ich auch so, ja. Man kann sich dabei auch von seinem Wettbewerb unterscheiden, wenn man sich mit den Systemen gut auskennt, und nach außen vermittelt: Okay, wir legen hier Wert auf die Sicherheit, nehmen nicht immer den einfachsten, sondern den sicheren Weg und führen die entsprechenden Konfigurationen sicher aus. Wenn dies entsprechend gut dokumentiert wird, ist dies sicherlich ein Wettbewerbsvorteil.

Wenn ich jetzt Handwerker bin und ein System installieren möchte, worauf sollte ich denn bei der Komponentenauswahl achten?

Es gibt Informationen von den verschiedenen Herstellern auf deren Webseiten, wie sie mit Cybersecurity umgehen - das ist schon mal eine große Hilfe. Wenn es das nicht gibt, sollte man schauen, dass man nicht unbedingt No-Name-Produkte einsetzt. Es ist klar, Cybersecurity zu etablieren, ist aufwändig. Tendenziell kümmern sich Premium-Hersteller stärker um Sicherheit. Bei No-Name-Firmen muss man noch besser aufpassen oder eventuell noch mal anfragen, wie es mit der Cybersecurity aussieht.

Es wird, wie schon erwähnt, Regulierungen zur Security geben, die das ein bisschen erleichtern, weil diese Cybersecurity-Anforderung dann jeder einhalten muss. Aber erst ab 2027 ist das für alle verpflichtend.

Wir leben aktuell auch in einer Welt, in der auch in politischen Konflikten Smarthome-Geräte gesteuert werden könnten. Wie wahrscheinlich ist aus deiner Sicht dieser Ansatz? Können z.B. Wechselrichter tatsächlich so beeinflusst werden?

Diese Art des Angriffes ist auf alle Fälle möglich, aber das ist natürlich eine Sache, die man als einzelne Person nicht in der Hand hat. Da kann man als Handwerker nicht viel dagegen tun, außer in seinem Bereich darauf zu achten, dass alle Sicherheitskonfigurationen gut durchgeführt werden. Aber die Bedrohung durch diesen Angriffsfaktor ist real und die Möglichkeit besteht, dass Energiesysteme gehackt werden und dann massenhaft aus- oder eingeschaltet werden, um die Stromversorgung massiv zu stören. Das müssen die Hersteller auch in ihrer Risikobetrachtung bedenken.

Es wird grundsätzlich keinen hundertprozentigen Schutz in der Cybersecurity geben. Es gibt immer ein Restrisiko. Denn es werden ständig neue Wege gefunden, neue Angriffe zu starten. Aber mit den neuen Vorgaben aus der Regulierung versucht man, das zu vermindern.

Fürs Handwerk heißt das, sie müssen „nur“ den Level und den Standard der aktuellen Technik erreichen und das am besten dann auch dokumentieren.

Es ist eine Frage des Aufwandes. Ich meine, wir merken ja, wie das Thema Sicherheit zum Beispiel beim Online-Banking mit den entsprechenden Sicherheitssystemen in den letzten Jahren hochgefahren wurde. Und diese Entwicklung wird auch bei smarten Geräten und bei automatisierten Systemen Anwendung finden.

Hast Du irgendwelche Tipps für Handwerker aus dem Fachbereich, auf dem neuesten Stand zu bleiben?

Ja, wir beim VDE haben verschiedene Webinare. Die findet man auf unserer Prüfinstitut-Webseite unter www.vde.com/tic-de. Dort werden verschiedene Webinare im Jahr angeboten, zu allen möglichen Themen, zur Safety, aber eben auch zur Cybersecurity. Zusätzlich gibt es die ganzen Informationen des VDE-Verlags. Auch gibt es verschiedene Kongresse, die abgehalten werden. Und wir sind auf einigen Messen vertreten. Aber speziell für das Handwerk ist natürlich auch der ZVEH ein guter Ansprechpartner.

Was muss man als Handwerker aus deiner Sicht aus diesem Gespräch jetzt mitnehmen? Wie ist dein Fazit zum Thema Cybersecurity?

Die Gebäudeautomation wird immer mehr Einzug halten. Sie wird sich in der nächsten Zeit sehr viel weiterentwickeln, auch in Richtung künstliche Intelligenz. Es wird weitere Regulierungen geben, die die Cybersicherheit fordern, sodass die Informationssicherheit in den Produkten direkt vom Hersteller integriert wird. Aber trotzdem wird es immer noch viele Pflichten geben, die ein Elektrohandwerker einhalten muss, wenn er die Systeme installiert, einrichtet und dann auch dem Endkunden übergibt. Am besten mit entsprechender Dokumentation. Dazu muss auch manchmal ein unbequemer Weg beschritten werden, was gute Passwörter und auch die Updates betrifft. Aber wenn man das tut, dann kann man auch eine entsprechend gute Kundenbindung eingehen und hat die Möglichkeit, auch viele neue Dinge dort einzusetzen, um auch zukunftssicher zu sein. Von daher ist es ein spannendes Thema. Das ist, glaube ich, der wichtigste Punkt, den man mitnehmen sollte.

Aktuell ist genau die richtige Zeit für das Elektrohandwerk, sich mit diesen Themen zu befassen, dort dranzubleiben und sich in diesem Bereich weiterzubilden.

Vielen Dank für das Gespräch!‍