Smarte Heizkörperthermostate versprechen ihren Nutzern eine einfachere Steuerung der heimischen Heizung. Dank ihrer Verbindung zum Internet sollen sie zudem per App eine bessere Kontrolle des individuellen Verbrauchs erlauben. Damit sind sie allerdings auch ein mögliches Angriffsziel für Hacker. Erst kürzlich wurde der Android-Trojan DroidBot entdeckt, der das in diesem Bereich gängige MQTT-Protokoll zur Datenübertragung nutzt und damit auch auf Smart-Home-Geräte als Ziele ins Visier nimmt.
Das sind die getesteten Modelle
Doch wie groß ist die Gefahr tatsächlich? Dieser Frage hat sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer umfassenden Analyse von zehn smarten Temperaturregler gewidmet, die aus drei unterschiedlichen Preissegmenten entnommen wurden. Leider veröffentlichte das Bundesamt für Sicherheit in der Informationstechnologie zwar eine Liste mit den getesteten Produkten, allerdings lassen sich die Untersuchungsergebnisse keinem der Hersteller konkret zuweisen. Die Tests fanden mit den Standardeinstellungen statt, um das Agieren von Nutzern ohne Sicherheitsvorkenntnisse zu simulieren.
| Liste der vom BSI getesteten Thermostate und deren Hersteller | |
|---|---|
| Fritz! Dect 301 | AVM |
| Netatmo Thermostat | Netatmo |
| V3+ Basic | Tado |
| Heizkörper-Thermostat II Bosch | Bosch |
| Evo Homematic | IP/eQ-3 AG |
| Hama Hama | Hama |
| Shelly TRV | Shelly |
| ZX5280-944 | Revolt |
| HT CZ01 | Brennenstuhl |
| Kasa KE 100 | TP-Link |
Apps ohne gravierenden Mängel, aber mit vielen kleinen Problemen
Das Ergebnis ist zumindest größtenteils beruhigend. Bei den für die Steuerung der Thermostate zur Verfügung gestellten Apps wurden keine gravierenden Sicherheitsmängel entdeckt, kleinere Unzulänglichkeiten wurden dennoch ausgemacht. So wurden fünf der zehn Apps für Android mit einem veralteten Signatur-Schema bedacht, in drei Fällen wurden Zugangsdaten bzw. Zugangstoken nicht mit der nötigen Sicherheitshöhe gespeichert.
Drei Hersteller nutzten für ihre Produkte sogenannte White-Label-Lösungen, das heißt, die für die Steuerung der Thermostate benötigte App stammte jeweils vom selben Anbieter. Das erleichtert Hackern unter Umständen ihre Attacken, weil sie unter Umständen eine Sicherheitslücke gleich dreimal ausnutzen können.
Bei den für iOS bestimmten Apps wurden lediglich bei zwei Anwendungen Schwachstellen zu Tage gefördert. In einem Fall wurden die Daten unverschlüsselt übertragen, was sie für Dritte leicht lesbar macht. Die zweite App war für Cross-Site-Scripting anfällig. Über einen Webbrowser können Angriffe lanciert werden, mit denen kritische Funktionen in der App ausgelöst werden können, etwa um diese für sogenannte DDOS-Attacken zu nutzen.
Sicherheitslücken auch bei den Thermostaten selbst
Auch bei der Hardware selbst sehen die Tester des BSI mit Blick auf die Sicherheit noch Nachholbedarf. So konnte bei acht der zehn Kandidaten die Firmware ausgelesen werden, was letztlich den Zugriff auf sensiblen Informationen und Funktionen erlaubt. Bei fünf der getesteten Modelle war dies dem Bericht zufolge ohne größere Schwierigkeiten möglich. Nur eines der überprüften Thermostate besaß einen Hardware-Schutz, der das Auslesen der Firmware aktiv verhindert. Zudem luden zwei der Regler Updates über unverschlüsselte Kanäle herunter. Eine Prüfung der Echtheit der Updates fand dabei nicht statt.
Daneben wurden die verwendeten Betriebssysteme durch das BSI kritisiert. Dabei handelt es sich zwar nicht um eine Sicherheitslücke im eigentlichen Sinne, doch acht der Testmodelle wurden mit quelloffenen Echtzeitbetriebssystemen bedacht, bei denen die Möglichkeit einer Aktualisierung mit Hilfe eines Software-Updates zumindest fraglich ist. Die Nutzer werden hier unter Umständen vorschnell zum Kauf neuer Hardware gedrängt. Bei nur zwei Thermostaten wurde auf Linux gesetzt, das ohne größeren Aufwand auf einen neuen Stand gebracht werden kann.
Nur drei Hersteller beheben Lücken
Sicherheitslücken sind aufgrund des komplexen Zusammenspiels aus Hard- und Software nicht nur bei Smart-Home-Geräten keine Seltenheit. Umso mehr muss der Nutzer darauf hoffen, dass diese nach Bekanntwerden schnellstmöglich beseitigt werden.
Allerdings ist die Reaktion der Mehrheit der Hersteller im Anschluss an den Sicherheitstest des BSI nicht sonderlich vertrauenserweckend. Lediglich drei von ihnen regierten direkt und schlossen die Lücken. Zwei weitere reagierten zwar auf die Meldung der Fehler, verzichteten jedoch auf Änderungen an ihren Produkten, während die Hälfte der Produzenten getesteter Geräte gar nicht reagierte.
