Es gibt diesen Moment, in dem Du mit zwei Einkaufstüten, einem schreienden Kind auf dem Arm und der Pizza vom Lieferdienst vor der Haustür stehst und merkst, dass Dein Schlüssel irgendwo ganz tief in der Hosentasche unter dem Geldbeutel begraben liegt. Genau für diesen Moment sind smarte Türschlösser erfunden worden. Du hältst das Telefon gegen die Tür, hörst ein leises Surren, und schon bist Du drin. Romantisch ist das nicht, aber Dein Rücken wird es Dir danken.
Was vor fünf Jahren noch ein Gadget für Tech-Enthusiasten war, ist 2026 erwachsen geworden. Matter funktioniert. Home Assistant verwaltet PINs nativ. Stiftung Warentest hat Schlösser durchfallen lassen, weil sich der Riegel mit einem Akkuschrauber rausziehen ließ. Und der Cyber Resilience Act zwingt die Hersteller endlich dazu, Sicherheitslücken nicht mehr unter den Teppich zu kehren. Höchste Zeit für eine Bestandsaufnahme.
Worum es eigentlich geht
Ein Smart-Lock ersetzt entweder Deinen Schließzylinder komplett, oder es setzt sich von innen über den Knauf und dreht für Dich am Schlüssel. Letzteres ist der typische Aufbau in Deutschland, weil die Profilzylinder hier in fast jeder Tür stecken und das nachrüstbare Modell auch der Mieter ohne Genehmigung des Vermieters montieren darf. Du klebst oder schraubst das Gerät innen an, und draußen bleibt alles, wie es war. Der Notfallschlüssel funktioniert weiter.
Die Modelle, die 2026 wirklich relevant sind, lassen sich an einer Hand abzählen: Nuki Smart Lock 4, Pro und Ultra, Aqara U200, Yale Linus L2 und Ultraloq Bolt. Alles andere ist entweder zu alt, zu unsicher oder nicht in Deutschland verfügbar.
Der BSI-Schock von 2022, der bis heute nachwirkt
Im August 2022 hat das Bundesamt für Sicherheit in der Informationstechnik beim Abus HomeTec Pro CFA3000 eine Sicherheitslücke entdeckt, mit der sich das Schloss aus der Ferne öffnen ließ. Stiftung Warentest hat daraufhin das Qualitätsurteil zurückgezogen. Wer das Ding noch an der Tür hatte, stand plötzlich vor der Frage, ob er sich darauf verlassen kann oder lieber den alten Schließzylinder zurückbaut. Abus hat zwar nachgebessert, aber der Vertrauensverlust hängt der Marke bis heute nach.
Die Geschichte erklärt, warum das BSI bei Smart-Locks 2026 so genau hinschaut. Lange Passwörter, gesicherte Updates, verschlüsselte Funkverbindung, kein Default-PIN-Code wie 1234: Was banal klingt, war in der Vergangenheit längst nicht selbstverständlich. Stiftung Warentest hat in ihrem letzten Vergleich zwei Modelle bemängelt, die noch vierstellige Codes ohne Sperrzeit nach Falscheingaben akzeptierten. Brute-Force-Angriffe sind damit Kinderspiel.
Wichtig zu wissen: Ein Smart-Lock ersetzt keine ordentliche Tür. Wenn Dein Türblatt aus Pappspan ist und der Rahmen sich mit einem beherzten Tritt aufhebeln lässt, hilft Dir auch das beste Schloss nichts. Stiftung Warentest hat im Test ein Modell mit dem klassischen Akkuschrauber in unter drei Minuten geknackt, weil die Mechanik durch Bohren überbrückt werden konnte. Das hatte mit der Smartness nichts zu tun, sondern mit der Bauweise des Zylinders darunter.
Cyber Resilience Act: Warum 2027 alles anders wird
Am 11. Dezember 2024 ist der Cyber Resilience Act in Kraft getreten. Ab Dezember 2027 darf in der EU kein Produkt mit digitalen Bestandteilen mehr verkauft werden, das die neuen Cybersecurity-Anforderungen nicht erfüllt. Smart-Locks gehören ganz vorne mit dazu. Das BSI ist als Marktüberwachungsbehörde benannt und kann Geräte aus dem Verkehr ziehen, die nicht mitspielen.
Ab September 2026 müssen Hersteller ausgenutzte Schwachstellen innerhalb von 24 Stunden melden. Wer also Nuki, Aqara oder Yale heute kauft, profitiert davon, dass die Hersteller sich längst auf die neuen Regeln einstellen. Nuki hat schon 2024 ein öffentliches Bug-Bounty-Programm gestartet und verschlüsselt die Kommunikation zwischen App und Schloss Ende-zu-Ende. Aqara liefert Updates über die Cloud, was praktisch ist, aber bei manchen Datenschützern Bauchschmerzen auslöst, weil Server in China stehen. Yale ist von ASSA ABLOY und damit einer der größten Schließtechnik-Konzerne weltweit, was beim Thema Reaktionszeit auf Sicherheitslücken ein dickes Plus ist.
Praktisch heißt das: Kauf kein No-Name-Schloss vom Drittanbieter-Marktplatz, dessen Hersteller Du nicht aussprechen kannst. In zwei Jahren wirst Du keine Updates mehr bekommen, und Dein Schloss wird langsam, aber sicher zur Sicherheitslücke an der Wohnungstür.
Nuki Smart Lock 4 und Pro: Der Platzhirsch
Nuki ist das, was die meisten Leute meinen, wenn sie über smarte Türschlösser reden. Der österreichische Hersteller hat den deutschen Markt vor knapp zehn Jahren aufgemischt und ist bis heute die Referenz. Mit dem Smart Lock 4 in der Standardversion fängt es bei 169 Euro an, das Pro-Modell mit integriertem WLAN kostet 279 Euro, das brandneue Ultra rund 350 Euro. Wer einen Keypad mit Fingerabdrucksensor draußen montieren will, legt 159 Euro für den Keypad 2 obendrauf.
Was Nuki gut macht: Die Installation dauert keine fünf Minuten und kommt ohne Bohren aus. Der bürstenlose Motor in Pro und Ultra ist überraschend leise, vor allem im Gentle-Modus. Wer den Insane-Modus ausprobiert, weckt allerdings auch die Nachbarn um drei Uhr morgens. Die Akkulaufzeit liegt bei drei bis sechs Monaten, die Pro-Variante hat einen Wechselakku, das Ultra einen fest verbauten USB-C-Akku.
Seit Juli 2025 sind Smart Lock Go, Pro und Ultra offiziell für Works with Home Assistant zertifiziert. Sie kommunizieren über Matter über Thread direkt mit Deinem Home-Assistant-Server. Heißt: Du brauchst keinen Cloud-Account, keine Bridge, kein Abo. Die Nuki-App ist nur einmal nötig, um das Schloss zu kalibrieren und Matter zu aktivieren. Danach kannst Du sie wieder löschen, falls Dich der österreichische Server nervt. Für Pro und Ultra gibt es zusätzlich eine Cloud-Anbindung, falls Du das Schloss von unterwegs öffnen willst, ohne Dein Home Assistant über VPN nach draußen zu reichen.
Der Nuki 4 ohne Pro hat keinen WLAN-Chip, sondern nur Bluetooth und Thread. Das ist günstiger, hat aber den Nachteil, dass Du einen Thread Border Router brauchst, sonst funktioniert Matter nicht. Wenn Du eine Apple TV der vierten Generation, einen HomePod mini oder einen Home-Assistant-Yellow mit Thread-Modul hast, ist das gegeben. Falls nicht, kostet ein eigener Thread Border Router rund 50 Euro extra.
Aqara U200: Der Herausforderer mit Apple HomeKey
Aqara ist 2024 mit dem U200 in Deutschland angetreten und hat Nuki spürbar unter Druck gesetzt. Der Preis liegt aktuell bei 149,99 Euro auf Amazon, und das ist mit Keypad. Bei Nuki kostet der Keypad allein schon 159 Euro extra. Der Geschwindigkeitstest ist eindeutig: Im Schnellmodus öffnet das U200 die Tür in etwas mehr als drei Sekunden, der Fingerabdrucksensor reagiert in 0,5 Sekunden, App-Entriegelung quasi in Echtzeit. Nuki ist da spürbar langsamer, dafür aber mechanisch robuster gebaut.
Die echte Sensation am U200 ist die Apple-HomeKey-Unterstützung. Du kannst die Tür mit dem iPhone öffnen, indem Du es einfach an den Sensor hältst, ohne App zu starten, ohne Display zu entsperren. Bei kalten Händen im Winter rettet Dir das den Tag. Android-Nutzer schauen leider in die Röhre, denn die NFC-Funktion arbeitet nur mit Apple HomeKey oder mit den proprietären Aqara-NFC-Karten. Standard-Android-NFC funktioniert nicht.
Matter über Thread läuft, allerdings mit Einschränkungen. Aqara behält sich die komplexen Funktionen wie Geofencing oder erweiterte Zeitpläne für die Verwaltung über den eigenen Hub M3 vor. Wer das Schloss rein über Home Assistant nutzt, bekommt Sperren, Entsperren, Status und PIN-Verwaltung. Mehr nicht. Für viele reicht das, aber wer maximale Smart-Home-Logik will, kommt um den Aqara-Hub nicht herum, was wiederum Cloud-Abhängigkeit bedeutet.
Die Akkulaufzeit ist mit sechs Monaten ordentlich, der Lithium-Ionen-Akku lädt per USB-C nach. Das ist angenehmer als die AA-Batterien beim Nuki Smart Lock Go, kostet aber Flexibilität, weil Du nicht einfach im Notfall einen Satz Batterien aus der Schublade nachschiebst.
Yale Linus L2: Die solide Alternative
Yale gehört zum schwedischen ASSA-ABLOY-Konzern und produziert Schlösser seit 1843. Das Linus L2, der Nachfolger des Linus, hat 2025 das Matter-Update bekommen und ist seitdem nativ in Home Assistant integrierbar. Preislich liegt er zwischen Nuki Smart Lock 4 und Pro, also bei rund 220 Euro. Was für Yale spricht, ist die schiere Erfahrung im Schließtechnik-Bereich. Die Mechanik unter dem digitalen Deckel ist absolut solide, und der Konzern reagiert auf Sicherheitslücken nach Industriestandard.
Was gegen Yale spricht: Das Design ist klobiger als bei Aqara oder Nuki Pro, der Motor lauter, und die App fühlt sich an wie aus 2018. Wenn Du auf Optik und Bedien-Eleganz Wert legst, schau Dir lieber die Konkurrenz an. Wenn Dir Robustheit und Markenvertrauen wichtig sind, ist der Linus L2 eine gute Wahl.
Ultraloq Bolt: Der Geheimtipp aus den USA
Der Ultraloq Bolt Fingerprint ist über Amazon erhältlich, kostet rund 200 Euro und gehört zu den ersten Schlössern, die mit Home Assistant 2026.4 die neue native PIN-Verwaltung über Matter unterstützen. Das ist relevant, wenn Du Gästen einmalige Zugangscodes geben willst, ohne sie in der Cloud des Herstellers zu hinterlegen. Putzkraft kommt einmal die Woche, der Code funktioniert Mittwoch zwischen neun und zwölf Uhr, Punkt. Alles lokal, alles im Schloss gespeichert, kein Cloud-Account nötig.
Der Haken: Ultraloq passt mechanisch nicht auf jeden europäischen Türzylinder. Du musst genau prüfen, ob Dein Profilzylinder kompatibel ist, sonst stehst Du mit einem teuren Stück Elektronik da, das nicht passt. Und der Support ist auf Englisch. Für Bastler ist das kein Problem, für Gelegenheits-Smart-Home-Nutzer schon eher eines.
Was Home Assistant 2026.4 wirklich verändert
Bis Anfang 2026 war die Verwaltung von PIN-Codes für Matter-Schlösser eine Krücke. Du musstest die Codes in der Hersteller-App anlegen, was bei Aqara hieß, einen Cloud-Account zu pflegen, und bei Nuki, dass die Codes über die Nuki-Server liefen. Mit Home Assistant Core 2026.4 ist das vorbei. Die PIN-Verwaltung läuft nativ über das Matter-Protokoll, die Codes werden direkt im Schloss gespeichert, und Home Assistant kann sie zentral verwalten.
Praktisch bedeutet das, dass Du in der Home-Assistant-Oberfläche unter dem Schloss einen Punkt Benutzerverwaltung hast. Dort legst Du eine neue Person an, vergibst einen vier- bis achtstelligen PIN, definierst Gültigkeitszeiträume und siehst im Logbuch, wann der Code zuletzt benutzt wurde. Die Funktion ist Anfang 2026 noch als Beta gekennzeichnet, was sich in kleinen Bugs bemerkbar macht. Ein User berichtet, dass Einmal-Codes manchmal mehrfach funktionieren, statt nur einmal. Wer auf Nummer sicher gehen will, vergibt zeitlich begrenzte Codes statt Einmal-Codes.
Unterstützt sind aktuell Ultraloq Bolt und Bolt Fingerprint, Aqara U200 und U400, sowie laut Community-Berichten auch das Nuki Pro mit Matter-Modus. Yale Linus L2 fehlt noch, soll aber laut Roadmap im Sommer 2026 dazukommen.
So integrierst Du Dein Schloss in Home Assistant
Die Einrichtung ist 2026 deutlich einfacher als noch vor zwei Jahren, weil Matter standardisiert ist. Du brauchst drei Dinge: ein Smart-Lock mit Matter-Unterstützung, einen Thread Border Router, und einen Home Assistant Server mit aktivierter Matter-Integration. Der Home Assistant Yellow und der Home Assistant Green bringen das Matter-Modul ab Werk mit. Bei einem Raspberry Pi mit HA OS musst Du einen separaten Thread-Stick wie den SkyConnect anschließen oder einen Apple HomePod mini im Netzwerk haben, der die Thread-Vermittlung übernimmt.
Schritt eins: Schloss mit der Hersteller-App aktivieren und kalibrieren. Das geht bei Nuki über die Nuki-App, bei Aqara über Aqara Home, bei Yale über Yale Access. Während der Kalibrierung lernt das Schloss, wie weit es drehen muss, um abzuschließen oder aufzuschließen. Diesen Schritt kannst Du nicht überspringen, sonst weiß das Schloss nicht, wo Anschlag und Endpunkt sind.
Schritt zwei: In der Hersteller-App Matter aktivieren. Du bekommst einen elfstelligen Pairing-Code oder einen QR-Code angezeigt. Schreib den auf, Du brauchst ihn gleich wieder.
Schritt drei: In Home Assistant unter Einstellungen, Geräte und Dienste, Hinzufügen, Matter-Gerät hinzufügen, den Pairing-Code eingeben oder den QR-Code scannen. Das Schloss meldet sich, lädt seine Funktionen, und nach 30 bis 60 Sekunden taucht die neue Lock-Entität in Home Assistant auf.
Schritt vier: Automatisierungen anlegen. Tür beim Verlassen automatisch abschließen, sobald alle Smartphones außer Reichweite sind. Tür entsperren, wenn jemand klingelt und gleichzeitig im Kalender ein Lieferdienst eingetragen ist. Lichter im Flur einschalten, sobald die Tür von außen geöffnet wird. Hier zeigt Home Assistant seine Stärke. Das Schloss ist nur ein Schalter unter vielen, und genau das willst Du.
Was, wenn das WLAN ausfällt
Eine Sorge, die immer wieder kommt: Was passiert, wenn das Internet weg ist oder der Strom für eine Stunde fällt. Die kurze Antwort: Nichts. Smart-Locks haben einen eigenen Akku, der Wochen oder Monate hält. Sie kommunizieren lokal über Bluetooth oder Thread, das funktioniert auch ohne Internetverbindung. Und Dein mechanischer Schlüssel passt weiter, falls Du ihn nicht weggeworfen hast.
Heikel wird es nur, wenn Du Dich blind auf Geofencing oder App-Bedienung verlässt und das Smartphone der Akku entglitten ist. Deshalb gilt: Mindestens ein Hardware-Token sollte da sein, sei es ein Keypad mit PIN, ein Fingerabdrucksensor, eine NFC-Karte oder eben der gute alte Schlüssel. Wer alles auf das Smartphone setzt, baut sich einen Single Point of Failure, den er nicht braucht.
Was Du nicht kaufen solltest
Es gibt drei Kategorien, von denen Du die Finger lassen solltest. Erstens No-Name-Schlösser von Amazon-Marktplatz-Händlern aus Fernost, deren Hersteller nicht in Europa zertifiziert sind. Sie haben oft keine richtigen Updates, keinen Support, und ab Dezember 2027 dürfen sie offiziell nicht mehr verkauft werden. Wer heute eines kauft, sitzt 2028 auf einem Stück Elektroschrott, der vielleicht noch funktioniert, aber keine Sicherheitsupdates mehr bekommt.
Zweitens reine Bluetooth-Schlösser ohne Cloud- oder Hub-Anbindung. Die kosten zwar nur 80 Euro, aber Du kannst sie nur öffnen, wenn Du direkt vor der Tür stehst. Kein Pizza-Lieferdienst-Code aus dem Büro, keine Putzkraft-Zugangsverwaltung, keine Integration in Home Assistant. Die paar Euro Ersparnis ärgern Dich spätestens nach drei Wochen.
Drittens Schlösser, die unbedingt einen Cloud-Account erfordern und keine lokale API anbieten. Aqara macht das halb, ist aber zumindest mit Matter ein Stück weit lokal kontrollierbar. Komplette Cloud-Lock-ins sind 2026 nicht mehr zeitgemäß, vor allem nicht, wenn Du eh schon Home Assistant betreibst.
Empfehlung für drei Profile
Du wohnst in der Mietwohnung und willst es einfach: Aqara U200 für 149,99 Euro, Keypad ist dabei, Apple HomeKey wenn Du iPhone-Nutzer bist, Matter über Thread für die Home-Assistant-Integration. Installation klebt von innen über den Knauf, der Vermieter merkt nichts.
Du baust ein Smart Home mit Anspruch und willst alles lokal: Nuki Smart Lock Pro für 279 Euro, Keypad 2 mit Fingerabdruck für 159 Euro extra. Matter zertifiziert mit Home Assistant, lokal ohne Cloud-Zwang, leiseste Mechanik, deutsche Datenschutzbestimmungen am österreichischen Hersteller.
Du willst granulare Zugangsverwaltung und vergibst regelmäßig Codes an Putzkraft, Babysitter, Ferienwohnungs-Gäste: Ultraloq Bolt Fingerprint für 200 Euro, sofern er mechanisch passt, kombiniert mit Home Assistant 2026.4 und der nativen PIN-Verwaltung. Alle Codes lokal, keine Cloud, volle Kontrolle.
Was 2027 kommt
Der Cyber Resilience Act tritt im Dezember 2027 voll in Kraft. Bis dahin werden viele aktuelle Smart-Locks ein Firmware-Update bekommen, das die neuen Anforderungen erfüllt. Hersteller wie Nuki, Aqara und Yale sind darauf vorbereitet, kleinere Anbieter werden den Aufwand scheuen und vom Markt verschwinden. Erwartbar ist außerdem, dass Matter 1.6 oder 1.7 noch tiefere Funktionen freischaltet, etwa Mehr-Faktor-Authentifizierung direkt im Schloss oder besseres Logging.
Was sich nicht ändern wird, ist die Bedeutung der Tür dahinter. Ein Smart-Lock ist genauso sicher wie der Türrahmen, in dem es steckt. Wenn Du in einer Altbauwohnung mit dünner Holztür wohnst, kauf zuerst ein gescheites Sicherheitsschloss, dann das smarte Modul drauf. Sonst rüstest Du eine Festung mit einem Hightech-Tor aus, dessen Zaun aus Pappe ist.
Smart-Locks sind 2026 erwachsen. Sie funktionieren, sie sind sicherer als ihr Ruf, und mit Matter und Home Assistant gibt es endlich einen Weg, sie ohne Cloud-Zwang zu betreiben. Wer jetzt einsteigt, hat zwei oder drei Jahre Zeit, sich an die neue Bequemlichkeit zu gewöhnen, bevor der Cyber Resilience Act den Markt aufräumt. Und das nächste Mal, wenn Du mit Pizza, Kind und Einkaufstüten vor der Haustür stehst, wirst Du Dich freuen, dass der Schlüssel ganz unten in der Hosentasche bleiben darf.
