Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat smarte Heizkörperthermostate unter die Lupe genommen. Die Ergebnisse zeigen: Es gibt erheblichen Verbesserungsbedarf bei der Nutzerfreundlichkeit, dem Produktsupport und dem Umgang mit Sicherheitslücken.
IT-Sicherheit bleibt oft auf der Strecke
Angesichts steigender Energiepreise greifen viele auf intelligente Energiemanagementsysteme wie smarte Thermostate zurück. Doch die kurzen Entwicklungszyklen dieser Produkte lassen die IT-Sicherheit häufig zu kurz kommen. Schlecht geschützte Geräte bieten Angriffsflächen für Cyberkriminelle, die sensible Daten ausspähen oder die Geräte für illegale Zwecke nutzen können. Auch fehlerhafte Konfigurationen können zu Datenverlust führen – selbst ohne externen Angriff.
Untersuchungsergebnisse im Überblick
In einer Zufallsstichprobe von zehn smarten Thermostaten hat das BSI technische Schwachstellen und Sicherheitsrisiken untersucht. Neun von zehn Geräten erfüllten drei Viertel der Anforderungen nach ETSI EN 303 645. Trotzdem wurden Schwachstellen entdeckt, wie etwa eine Cross-Site-Scripting-Lücke, die über den Webbrowser ausgenutzt werden könnte. Zudem baute ein Produkt unverschlüsselte Verbindungen auf und übertrug Daten im Klartext.
Apps mit Sicherheitslücken
Die zugehörigen Apps wiesen zwar eine hohe Konformität mit dem OWASP Mobile Application Security Testing Guide (MASTG) auf, dennoch gab es Probleme: Vertrauliche Daten wurden unsicher gespeichert, und nicht alle Verbindungen waren gegen Man-In-The-Middle-Angriffe geschützt. Auch unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen wurden bemängelt.
Whitelabel-Produkte erhöhen die Angriffsfläche
Drei der untersuchten Geräte und Apps basierten auf Whitelabel-Lösungen. Solche Produkte bieten zwar eine einheitliche Konformität, vervielfachen jedoch die Angriffsfläche bei Schwachstellen. Zusätzlich fehlt oft Transparenz darüber, in welchem Land die Produkte hergestellt wurden.
Gebrauchsanleitungen oft unzureichend
Eine verständliche Anleitung ist essenziell für sichere Nutzung. Doch hier gibt es Nachholbedarf: Viele Anleitungen beschreiben lediglich die Installation, ohne auf IT-Sicherheitsaspekte einzugehen. In neun von zehn Fällen wurden keine Hinweise zur Überprüfung sicherer Konfigurationen gegeben.
Mangelhafter Produktsupport
Nur ein Hersteller gab einen garantierten Zeitraum für Sicherheitsupdates an. Die Gründe für die fehlende Unterstützung reichen von hohem Aufwand bis zu mangelnder Flexibilität. Auch beim Umgang mit Sicherheitslücken gab es Defizite: Mehr als die Hälfte der Hersteller hatte keine Responsible Disclosure Policy, und Schwachstellen wurden teils nicht zeitnah behoben.
Empfehlungen für Nutzende
Smarte Thermostate sollten sparsam mit persönlichen Daten konfiguriert werden. Bei der Einrichtung ist besondere Vorsicht gefragt, um Sicherheitslücken zu vermeiden. Es lohnt sich, die IT-Sicherheitsaspekte selbst kritisch zu prüfen, da viele Hersteller in diesem Bereich noch Verbesserungsbedarf haben.
Text basiert auf einer Pressemeldung vom BSI