Smart Home absichern – Sicherheit & Datenschutz 2026
Ein vernetztes Smart Home bietet enormen Komfort – aber auch Angriffsflächen. Schlecht gesicherte IoT-Geräte sind eines der häufigsten Einfallstore für Hacker in Heimnetzwerke. Die gute Nachricht: Mit ein paar gezielten Maßnahmen kannst du dein Smart Home erheblich sicherer machen, ohne auf Komfort verzichten zu müssen.
In diesem Guide gehen wir systematisch vor: Router-Absicherung, Netzwerksegmentierung, sichere Passwörter, Home Assistant Härtung, Fernzugriff und Datenschutz.
Inhalt
- Bedrohungslandschaft: Was kann schieflaufen?
- Router absichern
- Netzwerksegmentierung: IoT-WLAN einrichten
- Passwörter und Zugangsdaten
- Home Assistant absichern
- Sicherer Fernzugriff
- Updates und Patch-Management
- Datenschutz und Cloud-Dienste
- Netzwerk-Monitoring
- FAQ
Bedrohungslandschaft: Was kann schieflaufen?
Bevor wir konkrete Maßnahmen besprechen, ist es wichtig zu verstehen, welche Bedrohungen realistisch sind:
| Bedrohung | Risiko | Häufigkeit |
|---|---|---|
| Standard-Passwörter auf IoT-Geräten | Übernahme durch Bots (Mirai-Botnet) | Sehr hoch |
| Unverschlüsselte Kommunikation | Datenabgriff im lokalen Netz | Mittel |
| Veraltete Firmware | Bekannte Exploits ausnutzbar | Hoch |
| Offener Port 8123 (Home Assistant) | Brute-Force-Angriffe auf HA-Login | Hoch bei direktem Zugang |
| Cloud-Abhängigkeit | Datenweitergabe an Dritte | Strukturell vorhanden |
Das Gute: Die häufigsten Angriffe richten sich gegen Geräte mit Standard-Passwörtern oder ungepatchten Sicherheitslücken. Wer diese Basics erledigt, ist bereits deutlich besser aufgestellt als der Durchschnitt.
Router absichern
Der Router ist das Herzstück deines Heimnetzwerks – und der erste Verteidigungswall. Diese Maßnahmen sind Pflicht:
Router-Firmware aktuell halten
Die meisten modernen Router (FritzBox, AVM-Geräte) aktualisieren sich automatisch. Überprüfe in den Einstellungen, ob automatische Updates aktiviert sind:
# System → Update → Automatisch aktualisieren: EIN
Admin-Passwort ändern
Das Standard-Passwort deines Routers ist oft schwach oder bekannt. Ändere es auf ein starkes, einzigartiges Passwort (mind. 16 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen).
Remote-Management deaktivieren
Viele Router erlauben den Zugriff auf das Admin-Interface von außen. Diese Funktion sollte deaktiviert sein, wenn du sie nicht aktiv verwendest.
DNS-over-HTTPS aktivieren
Mit DoH werden DNS-Anfragen verschlüsselt übertragen – sinnvoll auf FritzBox über Heimnetz → Netzwerk → DNS-Rebind-Schutz. Als sichere DNS-Server empfehlen sich 1.1.1.1 (Cloudflare) oder 9.9.9.9 (Quad9).
Netzwerksegmentierung: IoT-WLAN einrichten
Das wichtigste Sicherheits-Konzept für Smart Homes: Netzwerktrennung. IoT-Geräte sollten in einem eigenen WLAN-Netz isoliert sein, das keinen Zugriff auf PC, Raspberry Pi Heimserver oder andere sensible Geräte hat.
Gastnetz als IoT-WLAN nutzen (FritzBox)
2. Gastnetz aktivieren: smarthome-praxis-iot
3. „Zugang zu Heimnetz verbieten“ → aktiv
4. Alle Zigbee-Koordinatoren, Shelly-Geräte etc. ins IoT-WLAN einbuchen
# Home Assistant bleibt im Hauptnetz (muss IoT-Geräte steuern können)
Wichtig: Der Home-Assistant-Raspberry-Pi muss im Hauptnetz bleiben, da er auf die IoT-Geräte zugreifen muss. Die IoT-Geräte ihrerseits haben dann aber keinen Zugriff auf deinen PC oder Raspberry Pi Heimserver.
VLAN-Segmentierung (fortgeschritten)
Wer einen Managed Switch (z.B. TP-Link TL-SG108E) hat, kann echte VLANs einrichten. Das bietet noch bessere Isolation – ist aber für die meisten Heimanwender nicht zwingend notwendig.
Was ins IoT-Netz kommt
- Alle Shelly-Geräte
- Zigbee-Koordinator (falls über WLAN verbunden – besser: USB direkt am Pi)
- Smart-TV, Spielekonsolen, Smart-Speaker (Alexa, Google Home)
- IP-Kameras
- Drucker und Smart-Haushaltsgeräte
Passwörter und Zugangsdaten
Passwort-Manager verwenden
Starke, einzigartige Passwörter für jedes Gerät und jeden Dienst – das schafft man nur mit einem Passwort-Manager. Empfehlenswert sind Bitwarden (Open Source, selbst hostbar) oder KeePassXC (lokal, keine Cloud).
Standard-Passwörter sofort ändern
Bei der Ersteinrichtung eines neuen IoT-Geräts: Passwort ändern ist die erste Amtshandlung. Besonders kritisch bei:
- Router (admin/admin ist oft Standard)
- IP-Kameras (häufig admin/12345)
- NAS-Systemen (admin/admin)
- Shelly-Geräten (kein Passwort ab Werk!)
Shelly-Geräte absichern
→ Settings → Login → Username/Password setzen
→ Settings → Cloud → Cloud deaktivieren (lokale Steuerung bevorzugen)
→ Settings → Firmware → automatisch aktualisieren
Zwei-Faktor-Authentifizierung (2FA)
Für alle Cloud-Dienste (Amazon, Google, Apple, Hersteller-Apps) sollte 2FA aktiviert sein. Nutze eine Authenticator-App (Google Authenticator, Authy) statt SMS-Codes.
Home Assistant absichern
Starkes Passwort und 2FA in HA
Home Assistant unterstützt seit Version 2023.x TOTP-basierte Zwei-Faktor-Authentifizierung direkt im Core:
2. „Multi-Faktor-Authentifizierung“ → TOTP einrichten
3. QR-Code mit Authenticator-App scannen
Nicht genutzten Zugriff einschränken
Überprüfe regelmäßig unter Einstellungen → Personen → Benutzer, welche Accounts angelegt sind. Deaktiviere den Standard-„homeassistant“-Nutzer, wenn du einen eigenen Benutzer eingerichtet hast.
Long-Lived Access Tokens verwalten
Unter Profil → Long-Lived Access Tokens findest du alle API-Schlüssel. Revoziere Token, die du nicht mehr verwendest – jeder Token hat vollen HA-Zugriff.
Home Assistant Backups
Täglich automatische Backups sind essenziell. Konfiguriere in Home Assistant unter Einstellungen → System → Backups automatische Sicherungen auf dein NAS oder in die Cloud:
backup:
exclude:
– .cloud
– .storage
Alternativ: Das Samba Backup Add-on schreibt täglich ein Backup auf dein NAS-Freigabe.
Bekannte Sicherheitsprobleme in HA vermeiden
- Port 8123 nie direkt ans Internet freigeben – nutze stattdessen VPN oder Nabu Casa
- SSH-Zugang absichern: SSH Add-on nur mit Key-Authentifizierung, Port von 22 auf einen anderen Port ändern
- Add-ons kritisch prüfen: Nur Add-ons aus dem offiziellen Store installieren, Community-Add-ons vorher recherchieren
Sicherer Fernzugriff
Fernzugriff auf Home Assistant ist praktisch – aber nur wenn richtig umgesetzt. Diese drei Methoden sind empfehlenswert:
| Methode | Aufwand | Sicherheit | Kosten |
|---|---|---|---|
| Nabu Casa (Cloud) | Sehr gering | Gut (TLS, HA-Auth) | ~7 €/Monat |
| WireGuard VPN | Mittel | Sehr hoch | Kostenlos |
| Reverse Proxy (Nginx/Caddy) | Hoch | Hoch (wenn korrekt) | Server-Kosten |
Option 1: WireGuard VPN (empfohlen)
WireGuard ist ein modernes, schlankes VPN-Protokoll mit exzellenter Performance. Das WireGuard Add-on für Home Assistant OS macht die Einrichtung einfach:
2. Port 51820 UDP im Router freigeben (FritzBox: Portfreigabe)
3. DynDNS einrichten (FritzBox hat eigenen MyFRITZ!-Dienst)
4. WireGuard-App auf Smartphone: QR-Code aus HA scannen
# Jetzt gesamter Handydatenverkehr läuft verschlüsselt über Heimnetz
Vorteil: Per VPN verbunden zu sein gibt dir sicheren Zugriff auf alle Heimnetz-Ressourcen – nicht nur Home Assistant.
Option 2: Nabu Casa
Der offizielle Cloud-Dienst von Nabu Casa (Home Assistant-Entwickler) ist die einfachste Option und unterstützt gleichzeitig die HA-Entwicklung. Für ~7 €/Monat bekommst du eine sichere HTTPS-URL für deinen HA.
Was du NICHT tun solltest
- Port 8123 direkt im Router freigeben (ohne VPN/Reverse Proxy)
- HTTP statt HTTPS für externen Zugriff nutzen
- HA ohne Passwort oder mit schwachem Passwort von außen erreichbar machen
Updates und Patch-Management
Regelmäßige Updates sind der einfachste Weg, bekannte Sicherheitslücken zu schließen:
Home Assistant Updates
HA meldet neue Versionen im Dashboard. Aktualisiere monatlich – lies vorher die Release Notes auf Breaking Changes:
# Vorher: Backup erstellen!
Firmware-Updates für IoT-Geräte
- Shelly: Settings → Firmware → Jetzt aktualisieren (oder automatisch)
- Zigbee-Koordinator: Über Zigbee2MQTT → OTA-Updates für Geräte aktivieren
- Router: FritzBox → System → Update → Automatisch aktivieren
Raspberry Pi OS aktuell halten
# Bei Raspberry Pi OS (z.B. für Heimserver):
sudo apt update && sudo apt upgrade -y
sudo apt autoremove -y
Datenschutz und Cloud-Dienste
Viele Smart-Home-Geräte senden Daten in die Cloud – oft auch dann, wenn du es nicht weißt. Hier die wichtigsten Maßnahmen:
Lokale Steuerung bevorzugen
Der wichtigste Datenschutz-Grundsatz: Was lokal gesteuert werden kann, sollte lokal gesteuert werden:
- Shelly: Cloud deaktivieren, lokale API oder MQTT nutzen
- Zigbee: Zigbee2MQTT oder ZHA – komplett lokal, kein Cloud-Zwang
- Home Assistant: Kernfunktionen funktionieren ohne Cloud
Outbound-Traffic überwachen (Pi-hole)
Pi-hole ist ein DNS-Sinkhole, das Werbung und Tracking-Domains auf DNS-Ebene blockiert. Als Home Assistant Add-on oder separater Container installiert, gibt es dir einen Überblick, welche Geräte mit welchen Servern sprechen:
docker run -d –name pihole
-p 53:53/tcp -p 53:53/udp
-p 8080:80
-e TZ=“Europe/Berlin“
-e WEBPASSWORD=“deinPasswort“
pihole/pihole:latest
Datenschutz-Einstellungen der Hersteller prüfen
Prüfe in den Hersteller-Apps, welche Daten weitergegeben werden. Deaktiviere „Produktverbesserung“ und anonyme Nutzungsstatistiken wo möglich.
Netzwerk-Monitoring
Wer sein Netzwerk im Blick hat, erkennt Anomalien frühzeitig:
FritzBox Protokoll prüfen
Die FritzBox führt ein internes Protokoll aller Verbindungen. Unter System → Protokoll siehst du fehlgeschlagene Login-Versuche und ungewöhnliche Verbindungen.
Home Assistant Logbuch
Unter Einstellungen → System → Protokolle in Home Assistant siehst du alle Verbindungen und Fehler. Ungewöhnlich viele Login-Fehler können auf Brute-Force-Versuche hinweisen.
Fail2Ban für SSH
Wenn SSH-Zugriff auf deinen Pi aktiv ist, sollte Fail2Ban laufen – es blockiert IPs nach mehreren fehlgeschlagenen Login-Versuchen automatisch:
# Konfiguration:
sudo nano /etc/fail2ban/jail.local[sshd]
enabled = true
port = ssh
maxretry = 3
bantime = 3600
Nmap-Scan: Was lauscht im Netz?
Mit Nmap kannst du dein eigenes Netzwerk scannen und sehen, welche Geräte welche Ports geöffnet haben:
nmap -sn 192.168.0.0/24
# Offene Ports eines bestimmten Geräts:
nmap -sV 192.168.0.50
FAQ – Smart Home absichern
Muss ich für Smart-Home-Sicherheit ein Netzwerk-Experte sein?
Nein. Die grundlegenden Maßnahmen – starke Passwörter, separates IoT-WLAN und regelmäßige Updates – sind auch für Einsteiger einfach umzusetzen. Fortgeschrittene Themen wie VLANs oder Reverse Proxies sind optional.
Wie gefährlich ist es, Home Assistant ohne VPN von außen zu betreiben?
Sehr riskant, wenn Port 8123 direkt freigegeben ist. Automatisierte Bots scannen das Internet permanent nach offenen Ports. Ohne VPN oder Reverse Proxy mit guter Absicherung können deine Zugangsdaten per Brute Force kompromittiert werden.
Sind Zigbee-Geräte sicherer als WLAN-Geräte?
In gewisser Weise ja: Zigbee-Geräte kommunizieren nur mit dem Koordinator, nicht direkt mit dem Internet. Das Angriffspotenzial ist geringer. Allerdings sollte der Koordinator (und Zigbee2MQTT/ZHA) trotzdem aktuell gehalten werden.
Wie oft sollte ich mein Smart Home auf Sicherheit überprüfen?
Eine vollständige Überprüfung alle 6 Monate ist sinnvoll: Alle Passwörter, Zugriffsrechte, Firmware-Stände und installierte Add-ons/Plugins reviewen. Updates sollten monatlich eingespielt werden.
Was tun, wenn ein IoT-Gerät gehackt wurde?
Gerät sofort vom Netz trennen (aus dem WLAN werfen oder Strom trennen). Dann: Passwörter aller anderen Geräte im Netz ändern, Router-Protokoll prüfen, ggf. Gerät auf Werkseinstellungen zurücksetzen und mit aktuellem Firmware-Stand neu einrichten.
Welche Geräte stellen das größte Sicherheitsrisiko dar?
IP-Kameras und günstige No-Name-IoT-Geräte aus fragwürdigen Quellen sind am häufigsten Ziel von Angriffen. Achte auf bekannte Marken (Shelly, IKEA, Philips Hue), die regelmäßige Firmware-Updates liefern und lokale Steuerung unterstützen.
