Zurück zum Blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Proxys für Home Assistant: sicherer Remote-Zugriff auf das Smart Home ohne Hacking

Der offene Port von Home Assistant ist ein Sicherheitsrisiko für Ihr Smart Home. Wir erklären, wie Sie sicheren Remote-Zugriff über einen Proxy einrichten und nicht Opfer eines Hacks werden.

📅12. Juni 2026
```html

Sie haben Home Assistant installiert, intelligente Steckdosen, Thermostate und Kameras angeschlossen – und möchten all dies von Ihrem Smartphone aus überall auf der Welt steuern. Aber der offene Zugriff auf das Internet ohne Schutz macht Ihr Smart Home zu einem leichten Ziel für Hacker. In diesem Artikel werden wir besprechen, wie Sie den Fernzugriff auf Home Assistant über einen Proxy richtig organisieren und Ihr Heimnetzwerk absichern.

Warum der direkte Zugriff auf Home Assistant gefährlich ist

Home Assistant ist eine leistungsstarke Plattform zur Automatisierung von Smart Homes mit offenem Quellcode. Millionen von Nutzern weltweit steuern damit Beleuchtung, Klima, Schlösser, Kameras und Dutzende anderer Geräte. Aber gerade diese Popularität macht Home Assistant zu einem attraktiven Ziel für Angreifer.

Wenn Sie den Port 8123 (den Standardport von Home Assistant) direkt über den Router ins Internet weiterleiten, hängen Sie buchstäblich ein „Willkommen“-Schild für automatische Scanner auf. Solche Scanner durchforsten den gesamten IP-Adressbereich und suchen nach offenen Ports bekannter Dienste. Laut Shodan (Suchmaschine für Geräte im Internet) sind ständig zehntausende Instanzen von Home Assistant im offenen Zugriff.

Was passiert, nachdem Ihr Home Assistant von einem Angreifer entdeckt wurde:

  • Brute-Force-Passwortangriff – Automatische Skripte probieren tausende Kombinationen von Benutzername/Passwort aus. Wenn Sie ein schwaches Passwort haben, ist der Hack nur eine Frage von Minuten.
  • Ausnutzung von Sicherheitslücken – In alten Versionen von Home Assistant werden gelegentlich kritische Sicherheitslücken gefunden, die den Zugriff ohne Passwort ermöglichen.
  • Überwachung durch Kameras – Hat der Angreifer Zugriff auf HA, sieht er den Live-Stream aller angeschlossenen Kameras.
  • Steuerung von Schlössern und Alarmsystemen – Wenn Sie ein intelligentes Schloss angeschlossen haben, kann der Hacker Ihre Haustür aus der Ferne öffnen.
  • Diebstahl von Automatisierungsdaten – Aus der HA-Historie kann man erfahren, wann Sie zu Hause sind, wann Sie gehen, den Schlafmodus und andere private Daten.

⚠️ Echter Fall

Im Jahr 2023 entdeckten Sicherheitsforscher die Schwachstelle CVE-2023-27482 in Home Assistant, die es ermöglichte, die Authentifizierung ohne jegliche Anmeldedaten zu umgehen. Alle Instanzen mit offenem Internetzugang waren bis zur Veröffentlichung des Patches anfällig. Diejenigen, die eine Proxy-Schicht oder ein VPN verwendeten, waren automatisch geschützt.

Wie ein Proxy das Smart Home schützt: Funktionsweise

Ein Proxy fungiert im Kontext von Home Assistant als Vermittler zwischen dem Internet und Ihrem Server. Anstatt dass Ihr Home Assistant direkt aus dem Netzwerk sichtbar ist, ist von außen nur der Proxy-Server sichtbar – und dieser leitet die Anfragen nach innen weiter und führt zusätzliche Überprüfungen durch.

Das Funktionsschema sieht folgendermaßen aus: 

Ihr Smartphone (Internet)
        ↓
  Proxy-Server
  (Filterung, Verschlüsselung, Autorisierung)
        ↓
  Heimnetzwerk (geschlossen)
        ↓
  Home Assistant (192.168.1.X:8123)

Was dieser zusätzliche Schutzlayer bietet:

  • Verbergen der echten IP – Scanner sehen die IP des Proxys und nicht Ihre Heimadresse. Selbst wenn der Proxy gehackt wird, erhalten sie keinen direkten Zugriff auf das Heimnetzwerk.
  • SSL/TLS-Verschlüsselung – Der Proxy kann die HTTPS-Verbindung terminieren und ein gültiges Zertifikat ausstellen, um den Datenverkehr vor Abhörung zu schützen.
  • Zusätzliche Authentifizierung – Vor Home Assistant kann Basic Auth oder eine Zwei-Faktor-Authentifizierung direkt auf Proxy-Ebene eingerichtet werden.
  • Rate Limiting – Die Begrenzung der Anzahl der Anfragen von einer IP blockiert Brute-Force-Angriffe, bevor sie Home Assistant erreichen.
  • Geoblocking – Der Zugriff kann nur aus bestimmten Ländern oder IP-Bereichen erlaubt werden.
  • Protokollierung – Alle Zugriffsversuche werden protokolliert, was hilft, verdächtige Aktivitäten zu erkennen.

Es ist wichtig, den Unterschied zwischen zwei Typen von Proxys zu verstehen, die in diesem Szenario verwendet werden: Reverse Proxy wird auf Ihrem Server oder Router installiert und akzeptiert eingehende Verbindungen, während ein externer Proxy ein Zwischenserver in der Cloud ist, über den Ihr Datenverkehr tunnelt. Beide Ansätze haben ihre Vorteile, und wir werden jeden einzeln betrachten.

Welche Proxy-Typen für Home Assistant geeignet sind

Bevor Sie eine Lösung wählen, ist es wichtig zu verstehen, dass die Aufgaben von Home Assistant und beispielsweise von einem Arbitragehändler oder SMM-Spezialisten grundlegend unterschiedlich sind. Für das Smart Home benötigen wir keinen anonymen Proxy zum Umgehen von Sperren, sondern einen geschützten Tunnel für die Fernsteuerung. Lassen Sie uns die Optionen durchgehen:

Typ der Lösung Wie es funktioniert Vorteile Nachteile Schwierigkeit
Reverse Proxy (Nginx/Caddy) Akzeptiert HTTPS-Anfragen von außen und leitet sie an HA weiter Kostenlos, vollständige Kontrolle, SSL Benötigt eine öffentliche IP oder DDNS, offener Port 443 Mittel
Cloudflare Tunnel Tunnel von HA zu den Cloudflare-Servern, keine Ports erforderlich Kostenlos, keine öffentliche IP erforderlich, DDoS-Schutz Datenverkehr läuft über Cloudflare, benötigt eine Domain Niedrig
VPS + Proxy Mieten Sie einen VPS, tunneln Sie den Datenverkehr darüber Eigene IP, maximale Kontrolle Kostenpflichtig, erfordert Konfiguration Hoch
Nabu Casa (offiziell) Cloud-Service von den Entwicklern von HA Maximal einfach, unterstützt Alexa/Google Kostenpflichtiges Abonnement ~$6.50/Monat Sehr niedrig
Residential Proxy Leitet ausgehenden Datenverkehr über eine echte Heim-IP Echte IP, wird von Diensten nicht blockiert Geeignet für ausgehenden Datenverkehr, nicht für eingehenden Niedrig

Für die meisten Benutzer von Home Assistant wird die optimale Wahl Cloudflare Tunnel (kostenlos, keine öffentliche IP erforderlich) oder Reverse Proxy auf Nginx/Caddy (wenn eine öffentliche IP oder dynamisches DNS vorhanden ist) sein. Nabu Casa eignet sich für diejenigen, die sich überhaupt nicht mit Einstellungen beschäftigen möchten. Lassen Sie uns jede Option im Detail betrachten.

Reverse Proxy (Nginx, Caddy): Schritt-für-Schritt-Anleitung

Ein Reverse Proxy ist die klassische und flexibelste Methode, um sicheren Zugriff auf Home Assistant zu organisieren. Er wird auf demselben Gerät wie HA (z. B. auf einem Raspberry Pi oder Home Assistant OS) oder auf einem separaten Server im Heimnetzwerk installiert.

Option 1: Caddy (empfohlen für Anfänger)

Caddy ist ein moderner Webserver, der automatisch SSL-Zertifikate über Let's Encrypt erhält und aktualisiert. Keine manuellen Einstellungen mit certbot erforderlich.

Schritt 1: Was Sie benötigen

  • Domainname (kann kostenlos bei DuckDNS oder No-IP sein)
  • Port 443 auf dem Router auf die IP Ihres Home Assistant weiterleiten
  • Installiertes Home Assistant (jede Version)

Schritt 2: Installation von Caddy als Add-On in Home Assistant OS

Wenn Sie Home Assistant OS (HAOS) verwenden, öffnen Sie den Abschnitt Einstellungen → Add-Ons → Add-On-Store und suchen Sie nach dem Add-On Caddy 2. Installieren Sie es und gehen Sie zur Konfiguration.

Schritt 3: Grundkonfiguration der Caddyfile

your-domain.duckdns.org {
    reverse_proxy localhost:8123
    
    # Zusätzlicher Schutz: Basic Auth vor HA
    # basicauth {
    #     admin $2a$14$hash_passwort
    # }
    
    # Rate Limiting: nicht mehr als 10 Anfragen pro Sekunde
    rate_limit {
        zone static_zone {
            key    {remote_host}
            events 10
            window 1s
        }
    }
    
    # Sicherheitsheader
    header {
        X-Frame-Options DENY
        X-Content-Type-Options nosniff
        Referrer-Policy no-referrer
    }
}

Schritt 4: Konfigurieren von Home Assistant für den Betrieb hinter dem Proxy

Öffnen Sie die Datei configuration.yaml und fügen Sie die folgenden Zeilen hinzu. Dies ist erforderlich – andernfalls wird HA Anfragen vom Proxy ablehnen: 

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - ::1

Nach dem Speichern starten Sie Home Assistant neu. Jetzt können Sie darauf unter der Adresse https://your-domain.duckdns.org zugreifen – die Verbindung wird verschlüsselt, und die echte IP Ihres Routers wird hinter der Domain verborgen.

Option 2: Cloudflare Tunnel (ohne öffentliche IP)

Wenn Sie keine öffentliche IP haben (die meisten Heimprovider vergeben graue IPs über NAT), ist Cloudflare Tunnel die ideale Lösung. Sie installieren einen kleinen Agenten cloudflared auf dem Gerät mit Home Assistant, und er erstellt selbstständig einen verschlüsselten Tunnel zu den Cloudflare-Servern. Keine offenen Ports am Router!

Schritt-für-Schritt-Anleitung:

  1. Registrieren Sie sich bei cloudflare.com und fügen Sie Ihre Domain hinzu (oder verwenden Sie eine kostenlose Subdomain).
  2. Gehen Sie im Cloudflare-Dashboard zu Zero Trust → Netzwerke → Tunnel.
  3. Klicken Sie auf Ein Tunnel erstellen, geben Sie dem Tunnel einen Namen (z. B. home-assistant).
  4. Kopieren Sie den Installationsbefehl und führen Sie ihn auf dem Gerät mit HA aus (oder installieren Sie das Add-On Cloudflared aus dem HAOS-Store).
  5. Geben Sie im Abschnitt Öffentlicher Hostname an:
    — Subdomain: ha
    — Domain: Ihre Domain
    — Service: http://localhost:8123
  6. Fügen Sie in configuration.yaml die vertrauenswürdigen Proxys von Cloudflare hinzu (IP-Bereiche finden Sie auf cloudflare.com/ips).
  7. Optional: Aktivieren Sie Zero Trust Access – eine zusätzliche Authentifizierungsebene über E-Mail oder Google-Konto vor dem Zugriff auf HA.

💡 Tipp

Cloudflare Tunnel ist für die persönliche Nutzung völlig kostenlos. Die einzige Einschränkung ist, dass der Datenverkehr über die Server von Cloudflare läuft. Für die Steuerung eines Smart Homes ist dies absolut akzeptabel, und der Schutz vor DDoS und Bots ist im Paket enthalten.

Externer Proxy-Server: Wann er benötigt wird und wie man ihn verbindet

Ein externer Proxy-Server ist ein Zwischenknoten in der Cloud, über den Ihr Datenverkehr geleitet wird. Im Kontext von Home Assistant wird er in mehreren spezifischen Szenarien verwendet, die nicht durch einen Reverse Proxy abgedeckt werden.

Szenario 1: Zugriff auf Home Assistant aus einem Unternehmensnetzwerk

Viele Unternehmensnetzwerke blockieren nicht standardmäßige Ports und VPN-Verbindungen. Wenn Sie Ihr Smart Home von einem Arbeitscomputer aus steuern möchten, wo die meisten Verbindungen blockiert sind, sieht der Datenverkehr über einen Residential Proxy aus wie normaler HTTPS-Datenverkehr eines Heimnutzers und weckt keine Verdachtsmomente beim Unternehmensfirewall.

Szenario 2: Integrationen mit geo-eingeschränkten Diensten

Home Assistant kann mit Tausenden von externen Diensten integriert werden: Wetter-APIs, Smart Speakern, Streaming-Plattformen. Einige von ihnen sind nur in bestimmten Ländern verfügbar. Beispielsweise erfordert die Integration mit Amazon Alexa oder Google Assistant, dass der Server aus den USA oder Europa zugänglich ist. In diesem Fall kann der ausgehende Datenverkehr von HA über einen Datacenter-Proxy in der benötigten Region geleitet werden.

Szenario 3: Anonymisierung der ausgehenden Anfragen von HA

Home Assistant greift regelmäßig auf externe APIs zu: prüft das Wetter, erhält Verkehrsdaten, synchronisiert sich mit Cloud-Diensten. All diese Anfragen werden von Ihrer Heim-IP gesendet, wodurch Ihr Standort gegenüber externen Diensten offenbart wird. Die Konfiguration eines ausgehenden Proxys in den Systemeinstellungen von HA ermöglicht es, die echte IP zu verbergen.

So konfigurieren Sie einen ausgehenden Proxy in Home Assistant:

Gehen Sie in Home Assistant OS zu Einstellungen → System → Netzwerk. Hier können Sie einen HTTP/HTTPS-Proxy für alle ausgehenden Verbindungen angeben. Geben Sie die Proxy-Daten im Format ein: 

HTTP Proxy:  http://benutzer:passwort@proxy-server:port
HTTPS Proxy: http://benutzer:passwort@proxy-server:port

Alternativ, wenn Sie HA in Docker ausführen, können Sie die Umgebungsvariablen HTTP_PROXY und HTTPS_PROXY in der Datei docker-compose.yml festlegen: 

version: '3'
services:
  homeassistant:
    image: ghcr.io/home-assistant/home-assistant:stable
    environment:
      - HTTP_PROXY=http://benutzer:passwort@proxy-server:port
      - HTTPS_PROXY=http://benutzer:passwort@proxy-server:port
      - NO_PROXY=localhost,127.0.0.1,192.168.0.0/16
    volumes:
      - ./config:/config
    network_mode: host
    restart: unless-stopped

Beachten Sie die Variable NO_PROXY – sie schließt lokale Adressen vom Proxieren aus, damit HA direkt mit Geräten in Ihrem Heimnetzwerk kommunizieren kann.

Nabu Casa vs. selbstgehosteter Proxy: Was wählen?

Nabu Casa ist der offizielle Cloud-Service des Home Assistant-Teams. Es löst das Problem des Fernzugriffs mit einem Klick: keine DNS-, SSL- oder offenen Port-Einstellungen. Sie abonnieren einfach und erhalten eine fertige URL wie https://your-id.ui.nabu.casa.

Kriterium Nabu Casa Cloudflare Tunnel Nginx/Caddy
Kosten ~$6.50/Monat Kostenlos Kostenlos
Schwierigkeitsgrad der Einrichtung ⭐ Sehr einfach ⭐⭐ Einfach ⭐⭐⭐ Mittel
Öffentliche IP erforderlich Nein Nein Ja (oder DDNS)
Eigene Domain Nein Ja Ja
Alexa / Google Home ✅ Integriert Manuelle Einrichtung Manuelle Einrichtung
Datenschutz Datenverkehr über Nabu Casa-Server Datenverkehr über Cloudflare Vollständige Kontrolle
Unterstützung durch HA-Entwickler ✅ Ja Nein Nein

Fazit: Wenn Sie gerade erst anfangen und wenig Aufwand haben möchten – wählen Sie Nabu Casa. Wenn Sie eine kostenlose Lösung ohne öffentliche IP möchten – verwenden Sie Cloudflare Tunnel. Wenn vollständige Kontrolle und eine eigene Domain wichtig sind – richten Sie Nginx oder Caddy ein.

Sicherheitscheckliste: 10 Regeln zum Schutz von Home Assistant

Ein Proxy ist ein wichtiger, aber nicht der einzige Schutzmechanismus. Hier ist die vollständige Checkliste, die die meisten Angriffsvektoren auf Ihr Smart Home schließt:

✅ Sicherheitscheckliste für Home Assistant

  1. Richten Sie eine Proxy-Schicht ein (Caddy, Nginx oder Cloudflare Tunnel) – öffnen Sie niemals den Port 8123 direkt.
  2. Aktivieren Sie HTTPS – nur verschlüsselte Verbindungen. Caddy erledigt dies automatisch.
  3. Verwenden Sie ein komplexes Passwort – mindestens 16 Zeichen, Zahlen, Sonderzeichen. Am besten einen Passwortmanager.
  4. Aktivieren Sie die Zwei-Faktor-Authentifizierung in Home Assistant: Einstellungen → Benutzer → 2FA aktivieren (TOTP über Google Authenticator oder Authy).
  5. Deaktivieren Sie die Erstellung von Konten über die Benutzeroberfläche (Onboarding) nach der Ersteinrichtung.
  6. Richten Sie Rate Limiting im Proxy ein – nicht mehr als 5-10 Anmeldeversuche pro Minute von einer IP.
  7. Aktivieren Sie fail2ban oder ein ähnliches Tool – automatische Sperrung von IPs nach mehreren fehlgeschlagenen Anmeldeversuchen.
  8. Halten Sie Home Assistant regelmäßig auf dem neuesten Stand – die meisten kritischen Sicherheitslücken werden innerhalb von 24-48 Stunden nach Entdeckung geschlossen.
  9. Isolieren Sie Smart Home-Geräte in ein separates VLAN oder ein Gäste-WLAN – wenn ein Gerät gehackt wird, bleibt das restliche Netzwerk sicher.
  10. Deaktivieren Sie unnötige Integrationen und Add-Ons – jede aktive Komponente vergrößert die Angriffsfläche.

Zusätzlich: fail2ban für Home Assistant einrichten

Wenn Sie ein Linux-System verwenden (z. B. Home Assistant Supervised auf Debian), installieren Sie fail2ban zur automatischen Sperrung angreifender IPs: 

# fail2ban installieren
sudo apt install fail2ban

# Erstellen Sie die Datei /etc/fail2ban/filter.d/hass.conf
[Definition]
failregex = ^%(__prefix_line)s.*Login attempt or request with invalid authentication from <HOST>.*$
ignoreregex =

# Erstellen Sie eine Regel in /etc/fail2ban/jail.d/hass.conf
[hass]
enabled  = true
filter   = hass
logpath  = /config/home-assistant.log
maxretry = 5
bantime  = 3600
findtime = 600

Diese Regel sperrt die IP für 1 Stunde nach 5 fehlgeschlagenen Anmeldeversuchen innerhalb von 10 Minuten. Sie können die Parameter verschärfen: erhöhen Sie bantime auf 86400 (24 Stunden) oder verringern Sie maxretry auf 3.

Überwachung verdächtiger Aktivitäten

Home Assistant hat ein integriertes Authentifizierungsprotokoll. Überprüfen Sie es regelmäßig über Einstellungen → System → Protokolle. Suchen Sie nach Zeilen mit Login attempt und invalid authentication. Wenn Sie Versuche von unbekannten IPs sehen, ist das ein Zeichen dafür, dass Ihr HA von Scannern entdeckt wurde.

Sie können auch eine automatische Benachrichtigung in Telegram bei fehlgeschlagenen Anmeldeversuchen einrichten. Erstellen Sie eine Automatisierung in Home Assistant: 

alias: Benachrichtigung über fehlgeschlagenen Login
trigger:
  - platform: event
    event_type: system_log_event
    event_data:
      level: WARNING
condition:
  - condition: template
    value_template: "{{ 'Login attempt' in trigger.event.data.message }}"
action:
  - service: notify.telegram
    data:
      message: "⚠️ Versuch, sich bei Home Assistant anzumelden: {{ trigger.event.data.message }}"

Fazit

Sicherer Fernzugriff auf Home Assistant ist keine optionale „Funktion“, sondern eine zwingende Voraussetzung für alle, die ihr Smart Home über das Internet steuern möchten. Ein offener Port ohne Schutzschicht ist nicht die Frage „ob gehackt wird“, sondern „wann“. Eine Proxy-Schicht (Reverse Proxy oder Tunnel) verändert die Situation grundlegend: Angreifer sehen nur den Proxy und nicht Ihren echten Server und Ihr Heimnetzwerk.

Kurze Zusammenfassung zur Auswahl der Lösung:

  • Anfänger, möchte es einfach und schnell → Nabu Casa oder Cloudflare Tunnel
  • Öffentliche IP vorhanden, möchte Kontrolle → Caddy oder Nginx als Reverse Proxy
  • Keine öffentliche IP, möchte kostenlos → Cloudflare Tunnel + DuckDNS
  • Maximaler Datenschutz → VPS + WireGuard-Tunnel + Reverse Proxy

Vergessen Sie nicht, dass ein Proxy die erste Verteidigungslinie ist. Ergänzen Sie diese durch Zwei-Faktor-Authentifizierung, regelmäßige Updates und Protokollüberwachung. Ihr Smart Home sollte auch in Sicherheitsfragen „smart“ sein.

Wenn Sie neben dem Schutz des eingehenden Datenverkehrs auch die ausgehenden Anfragen von Home Assistant an externe APIs verbergen oder auf geo-eingeschränkte Integrationen zugreifen müssen, empfehlen wir, Residential Proxys in Betracht zu ziehen – sie bieten echte Heim-IP-Adressen, die von Cloud-Diensten und API-Anbietern nicht blockiert werden.

```