Smarte Heizkörperthermostate im Test: Sicherheitslücken und Optimierungsbedarf

Smarte Heizkörperthermostate im Test: Sicherheitslücken und Optimierungsbedarf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat smarte Heizkörperthermostate unter die Lupe genommen. Die Ergebnisse zeigen: Es gibt erheblichen Verbesserungsbedarf bei der Nutzerfreundlichkeit, dem Produktsupport und dem Umgang mit Sicherheitslücken.

IT-Sicherheit bleibt oft auf der Strecke

Angesichts steigender Energiepreise greifen viele auf intelligente Energiemanagementsysteme wie smarte Thermostate zurück. Doch die kurzen Entwicklungszyklen dieser Produkte lassen die IT-Sicherheit häufig zu kurz kommen. Schlecht geschützte Geräte bieten Angriffsflächen für Cyberkriminelle, die sensible Daten ausspähen oder die Geräte für illegale Zwecke nutzen können. Auch fehlerhafte Konfigurationen können zu Datenverlust führen – selbst ohne externen Angriff.

Untersuchungsergebnisse im Überblick

In einer Zufallsstichprobe von zehn smarten Thermostaten hat das BSI technische Schwachstellen und Sicherheitsrisiken untersucht. Neun von zehn Geräten erfüllten drei Viertel der Anforderungen nach ETSI EN 303 645. Trotzdem wurden Schwachstellen entdeckt, wie etwa eine Cross-Site-Scripting-Lücke, die über den Webbrowser ausgenutzt werden könnte. Zudem baute ein Produkt unverschlüsselte Verbindungen auf und übertrug Daten im Klartext.

Apps mit Sicherheitslücken

Die zugehörigen Apps wiesen zwar eine hohe Konformität mit dem OWASP Mobile Application Security Testing Guide (MASTG) auf, dennoch gab es Probleme: Vertrauliche Daten wurden unsicher gespeichert, und nicht alle Verbindungen waren gegen Man-In-The-Middle-Angriffe geschützt. Auch unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen wurden bemängelt.

Whitelabel-Produkte erhöhen die Angriffsfläche

Drei der untersuchten Geräte und Apps basierten auf Whitelabel-Lösungen. Solche Produkte bieten zwar eine einheitliche Konformität, vervielfachen jedoch die Angriffsfläche bei Schwachstellen. Zusätzlich fehlt oft Transparenz darüber, in welchem Land die Produkte hergestellt wurden.

Gebrauchsanleitungen oft unzureichend

Eine verständliche Anleitung ist essenziell für sichere Nutzung. Doch hier gibt es Nachholbedarf: Viele Anleitungen beschreiben lediglich die Installation, ohne auf IT-Sicherheitsaspekte einzugehen. In neun von zehn Fällen wurden keine Hinweise zur Überprüfung sicherer Konfigurationen gegeben.

Mangelhafter Produktsupport

Nur ein Hersteller gab einen garantierten Zeitraum für Sicherheitsupdates an. Die Gründe für die fehlende Unterstützung reichen von hohem Aufwand bis zu mangelnder Flexibilität. Auch beim Umgang mit Sicherheitslücken gab es Defizite: Mehr als die Hälfte der Hersteller hatte keine Responsible Disclosure Policy, und Schwachstellen wurden teils nicht zeitnah behoben.

Empfehlungen für Nutzende

Smarte Thermostate sollten sparsam mit persönlichen Daten konfiguriert werden. Bei der Einrichtung ist besondere Vorsicht gefragt, um Sicherheitslücken zu vermeiden. Es lohnt sich, die IT-Sicherheitsaspekte selbst kritisch zu prüfen, da viele Hersteller in diesem Bereich noch Verbesserungsbedarf haben.

Text basiert auf einer Pressemeldung vom BSI

Image by Susanne from Pixabay
Über Volker 1431 Artikel
Volker ist ein erfahrener Experte auf dem Gebiet der Digitalisierung und Smart-Technologie. Mit seiner langjährigen Erfahrung und seinem fundierten Fachwissen ist er ein vertrauenswürdiger Autor für Digital-Smartness.de. Seine Leidenschaft für innovative Technologien und sein Engagement für qualitativ hochwertige Inhalte spiegeln sich in seinen Beiträgen wider. Volker ist bestrebt, seinen Lesern fundierte Einblicke und praktische Tipps zu bieten, um ihnen dabei zu helfen, das Beste aus der digitalen Welt herauszuholen. Mit Volker als Autor können die Leser sicher sein, dass sie verlässliche und relevante Informationen erhalten, um ihre digitalen Fähigkeiten und ihr Verständnis kontinuierlich zu verbessern.