Portfreigaben wirken einfach, sind aber ein massives Sicherheitsrisiko für dein Smart Home. Wer aus dem Internet auf Home Assistant & Co. zugreifen will, braucht mehr als nur ein gutes Passwort. In diesem Video zeige ich dir, warum und welche Alternativen deutlich sicherer sind.
Ich beschäftige mich gerade mit dem Thema Fernzugriff auf das Smart Home – und dabei wird schnell klar: Es gibt mittlerweile eine ganze Menge cooler Möglichkeiten, abhängig vom Sicherheitsbedürfnis, Budget und der eigenen technischen Expertise.
Umso schockierender ist es, dass viele Nutzer immer noch einfach Portfreigaben nutzen, um ihre Dienste im Heimnetz aus dem Internet erreichbar zu machen. Warum das gefährlich ist? Wir schauen mal genauer drauf.
Zum Aktivieren des Videos musst Du auf das Bild klicken. Ich möchte Dich darauf hinweisen,
dass durch die Aktivierung Daten an YouTube übermittelt werden.
Moin und herzlich willkommen! Mein Name ist Joachim und das hier ist Smart Home – aber sicher. Eigentlich wollte ich heute nur ein Video vorbereiten, um euch zu zeigen, wie ich seit vielen Jahren meinen sicheren Fernzugriff auf Home Assistant umsetze.
Aber bei meinen Recherchen habe ich festgestellt: Es gibt mittlerweile eine ganze Menge Möglichkeiten, das Problem Fernzugriff elegant und sicher zu lösen. Aber es gibt auch immer noch sehr viele Nutzer, die einfache Portfreigaben nutzen (etwas technischer auch Port-Forwarding genannt), um von unterwegs auf ihre Smart-Home-Systeme zuzugreifen. Und das hat mich ehrlich gesagt ein bisschen erschreckt.
Wenn du jetzt denkst: “Klar, alter Hut – das musst Du mir nicht erklären, Joachim!”, dann lade ich dich ein, jetzt meinen Kanal zu abonnieren. Ich hab das Gefühl, das Thema hat Potenzial für mehr als ein Video – und es wird definitiv noch ein paar technischere Videos dazu geben.
Wenn du aber sagst: “Hä? Wieso, was ist das Problem mit Portfreigaben?” – dann lass uns da jetzt mal genauer drauf schauen.
Warum Portfreigaben so beliebt ist
Zuerst einmal: Es ist nachvollziehbar, warum viele Nutzer darauf zurückgreifen. Es ist einfach, schnell umgesetzt und verursacht in der Regel keine zusätzlichen Kosten.
Und selbst das Problem mit der dynamischen IP-Adresse lässt sich über einen Dynamic-DNS-Dienst schnell lösen. Aber:
Man muss sich bewusst machen: Man stellt den Dienst – zum Beispiel Home Assistant oder OpenHAB – ungeschützt ins Internet, genau so wie er auch im Heimnetz verfügbar ist.
Erstes Risiko: Die Schutzschicht des Heimnetzes entfällt
Auch wenn ihr für euren Dienst ein gutes Passwort gesetzt habt: Das Heimnetz selbst ist eine zusätzliche Schutzschicht. Hier tummeln sich in der Regel deutlich weniger dunkle Gestalten als im offenen Internet.
Mit einer Portfreigabe entfernt ihr genau diese Schutzschicht. Euer Dienst ist jetzt unmittelbar im Internet erreichbar – für Millionen von Nutzern, Hackern und anderen “Spielkindern”.
Und auch wenn ihr ein sicheres Passwort und 2FA verwendet – niemand kann garantieren, dass nicht gerade eine neue Sicherheitslücke existiert, die die Authentifizierung umgeht. Und Updates könnt ihr zwar fleissig einspielen, die helfen aber nur gegen bekannte und behobene Schwachstellen.
Deshalb solltet ihr diese zweite Schutzschicht, euer Heimnetz, durch einen anderen Schutz ersetzen, wenn ihr eure Dienste im Internet exponieren wollt.
Zweites Risiko: Unverschlüsselte Verbindungen
Es kommt aber noch ein zweiter Faktor hinzu. Sobald eure Daten übers Internet laufen, müssen sie verschlüsselt sein – sonst kann sie jeder mitlesen oder manipulieren.
Nehmen wir Home Assistant als Beispiel: Die Standardverbindung ist nicht verschlüsselt. Wenn ihr einfach einen Port ins Internet öffnet, ist der Zugriff ungesichert, genau so wie zu Hause, wo das in der Regel weniger ein Problem ist.
Natürlich kann man das absichern – z. B. mit einem kostenfreien Let’s Encrypt-Zertifikat. Aber das bedeutet zusätzliche Software und Konfiguration. Die „einfache“ Portfreigabe wird dann schnell zum komplexen Softwareprojekt - und das macht sie nicht nur fehleranfälliger sondern oft auch unsicherer. Ein Teufelskreis.
Meine Empfehlung
Ich empfehle euch deshalb ganz klar: Nutzt keine Portfreigaben, um euer Smart Home aus dem Internet zugänglich zu machen.
Selbst wenn ihr kein besonders hohes Sicherheitsbedürfnis habt, gibt es bessere Alternativen:
VPN
VPN: Wenn ihr z. B. eine FRITZ!Box habt oder andere Router die das unterstützen, kann ein VPN eine gute Wahl sein. Das ist kostenlos, deutlich sicherer und in der Regel einfach einzurichten. Die Authentifizierung am VPN stellt dabei die zweite Schutzschicht da, die für den Zugriff aus dem Internet meiner Ansicht nach so wichtig ist.
Home Assistant Cloud
Home Assistant Cloud: Der Dienst von den HA-Machern Nabu Casa lässt sich einfach einrichten und kümmert sich darum, das alles verschlüsselt ist. Auch mit dynamic DNS müsst ihr Euch nicht rumschlagen. Aber: Er kostet Euch ein monatlichen Abo-Preis, die fliesst aber wenigstens zu der Firma die Home Assistant entwickelt. Aber was problematisch ist, es fehlt die zweite Schutzschicht – der Login-Screen ist direkt im Internet erreichbar, was ihr schnell an den “Login fehlgeschlagen” Meldungen in Eurem Home Assistant Log merken werdet.
Cloudflare
Reverse Proxies wie z.B. Cloudflare: hier baut ihr aus Eurem Heimnetz einen verschlüsselten Tunnel zum Proxy auf. Hier gibt es bereits viele tolle Videos der großen Smarthome Kanäle auf YouTube, aber ich rate Euch auf dem Proxy unbedingt eine zusätzliche Authentifizierung zu aktivieren (bei Cloudflare “Access” genannt), dann habt ihr Eure zweite Schutzschicht auch hier. Cloudflare ist aber ein Anbieter aus USA, was für einige von Euch mit Datenschutzbedenken ein Tabu sein könnte. Ich habe bei meinen Recherchen kein vergleichbares Angebot in Europa gefunden. Vielleicht kennt ihr eines, dann lasst es mich wissen!
Twingate
Twingate ist ein Anbieter, der Zero-Trust-Netzwerke ermöglicht und eine moderne VPN-Alternative verspricht. Die Einrichtung ist überraschend einfach, es gibt Clients für alle Plattformen, und der Zugriff auf einzelne Dienste kann sehr granular gesteuert werden. Auch wenn der Dienst eher für Unternehmen gedacht ist, kann er im Smart-Home-Kontext interessant sein – vor allem, wenn man ohnehin mehrere Geräte oder Benutzer absichern möchte.
Tailscale
Tailscale verfolgt einen anderen Ansatz: Hier wird mit Hilfe von WireGuard eine Art privates Mesh-Netzwerk aufgebaut, in dem sich alle Geräte direkt erreichen können – egal wo sie sich befinden. Besonders spannend ist die neue Funktion Tailscale Funnel: Damit lässt sich ein Dienst im Heimnetz über das Internet öffentlich erreichbar machen – inklusive HTTPS und Zugriffskontrolle. Funnel ist noch nicht überall verfügbar, aber ein vielversprechender Ansatz, insbesondere für technikaffine Nutzer.
Beide Ansätze (Twingate und Tailscale) habe ich selbst aber noch nicht genauer unter die Lupe genommen.
Welchen Stellenwert hat das Thema Fernzugriff in deinem Smart Home? Welche Lösung nutzt du – oder worüber denkst du gerade nach? Schreib’s mir in die Kommentare.
Was ich persönlich nutze
Ich habe mir selbst einen Reverse Proxy beim deutschen Hoster netcup aufgesetzt. Dazu baue ich aus meinem Heimnetz einen SSH-Tunnel auf. Dieser exponiert nur ausgewählte Dienste Richtung Reverse Proxy. Dieser Wiederrum ist für die Authentifikation zuständig und kontrolliert wer darauf zugreifen darf. Ich habe dies so konfiguriert, dass zur Authentifizierung ein Client-Zertifikat notwendig ist. So habe ich meine zweite Schutzschicht realisiert – ohne Ports zu öffnen. Gleichzeitig ist es superbequem, weil die Authentifizierung im Hintergrund abläuft und ich kein VPN aufbauen oder zusätzliche Passworte eingeben muss. Das ist sicher nicht für jeden die richtige Lösung – aber für technisch versierte Nutzer eine meiner Meinung nach sehr elegante Variante für das realisierte Schutzniveau.
Netcup ist ein deutscher Hosting-Anbieter, bei dem ich selbst seit 2011 Kunde bin – mittlerweile mit neun Produkten (Domains, Webhosting, vServer und Root-Server). In all den Jahren war ich durchgehend zufrieden. Besonders hervorheben möchte ich die verlässliche Infrastruktur, den guten Support und die transparenten Preise.
Ein echtes Alleinstellungsmerkmal: Sonderangebote gelten bei Netcup oft dauerhaft. Das hebt Netcup deutlich von anderen Anbietern ab, bei denen sich der Preis nach dem ersten Jahr häufig erhöht.
Wenn ihr mich und meine Inhalte unterstützen wollt, freue ich mich, wenn ihr bei Interesse über meinen Empfehlungslink bucht:
👉 https://www.netcup.com/de/?ref=21226
Ich habe außerdem Gutscheine für Neukunden für verschiedene Netcup-Produkte. Meldet euch einfach bei mir – ich helfe euch gern weiter!
Danke für eure Unterstützung! Sie hilft mir, weiterhin Inhalte für euch zu erstellen.
― Joachim
Ausblick
In den nächsten Videos schauen wir uns die Alternativen mal im Detail an – damit du für dich die richtige Lösung findest. Wenn Du diese Videos nicht verpassen möchtest, ist jetzt der richtige Zeitpunkt den Kanal zu abonnieren.
Bis dahin, macht’s gut und passt auf Euch auf. Eurer Joachim.
Zum Aktivieren der Kommentare musst Du auf 'Kommentare anzeigen' klicken. Ich möchte Dich darauf hinweisen,
dass durch die Aktivierung Daten an Disqus übermittelt werden.
