Gefährliche Schwachstellen:: Smarte Heizkörperthermostate im Sicherheitscheck
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Sicherheit smarter Heizkörperthermostate genauer unter die Lupe genommen – mit ernüchternden Ergebnissen. Besonders beim Umgang mit Schwachstellen, der Nutzerfreundlichkeit und dem Produktsupport offenbarten die Geräte laut der Studie teils erhebliche Defizite.
Angesichts steigender Energiepreise greifen immer mehr Menschen auf intelligente Energiemanagementsysteme wie smarte Heizkörperthermostate zurück. Diese Geräte werden jedoch oft in kurzen Entwicklungszyklen produziert, bei denen die IT-Sicherheit zu kurz kommt. Schwachstellen in solchen Geräten und Netzwerken können von Cyberkriminellen genutzt werden, um sensible Daten zu stehlen oder die Geräte für kriminelle Zwecke zu missbrauchen. Sogar ohne äußere Angriffe können falsch konfigurierte Geräte ungewollt Daten preisgeben.
Das BSI hat im Rahmen seiner Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ zehn zufällig ausgewählte smarte Heizkörperthermostate untersucht. Dabei wurden Interviews mit Herstellern und Händlern geführt sowie technische Schwachstellenanalysen durchgeführt.
Schlüsselergebnisse der Untersuchung
Die meisten der getesteten Geräte erfüllen grundlegende europäische Sicherheitsstandards für IoT-Geräte: Neun von zehn Produkten bestanden 75 Prozent der geprüften Testkriterien nach ETSI EN 303 645. Dennoch bleiben Risiken bestehen. Beispielsweise wurde bei einem Produkt eine Schwachstelle entdeckt, die Cross-Site-Scripting ermöglicht. Angreifer könnten dadurch Nutzer über den Webbrowser attackieren und kritische Funktionen der Bedien-App auslösen. Ein weiteres Gerät übertrug Daten unverschlüsselt an das Backend, wodurch sensible Informationen im Klartext einsehbar waren.
Die zugehörigen Apps der getesteten Thermostate zeigten ebenfalls eine hohe Konformität mit dem OWASP Mobile Application Security Testing Guide (MASTG). Trotzdem gab es Schwachstellen: Drei Apps speicherten vertrauliche Daten unsicher, und zwei verschlüsselten nicht alle Verbindungen, wodurch sie anfällig für Man-in-the-Middle-Angriffe waren. Außerdem gab es unklare Berechtigungskonzepte und fehlende Sicherheitsprüfungen.
Whitelabel-Produkte
Drei der getesteten Geräte und Apps basierten auf sogenannten Whitelabel-Lösungen. Dabei handelt es sich um vorgefertigte Produkte eines Drittanbieters, die unter unterschiedlichen Markennamen verkauft werden. Diese Lösung bietet zwar eine einheitliche Qualität, erhöht jedoch die Angriffsfläche bei Schwachstellen. Zudem bleibt für Verbraucher oft unklar, in welchem Land das Produkt hergestellt wurde.
Schwächen bei Sicherheit, Nutzerfreundlichkeit und Support
Die Studie zeigte, dass die meisten Gebrauchsanleitungen unzureichend waren. Neun von zehn Geräten enthielten keine Hinweise zur sicheren Konfiguration oder zum Schutz vor IT-Risiken. Auch der Produktsupport weist Mängel auf: Nur eines der zehn Geräte hatte Angaben zur Dauer von Sicherheitsupdates. Die Hersteller begründeten dies mit hohem Aufwand und mangelnder Flexibilität.
Beim Umgang mit Sicherheitslücken schnitten viele Anbieter ebenfalls schlecht ab. Mehr als die Hälfte der Hersteller hatte keine klare Richtlinie für die Meldung und Behebung von Schwachstellen (Responsible Disclosure Policy). In einem Fall wurden erkannte Sicherheitslücken nicht rechtzeitig behoben. Kunden können Schwachstellen meist nur über den allgemeinen Support melden, spezielle Ansprechstellen fehlen. Dies widerspricht den Vorgaben der kommenden EU-Verordnung Cyber Resilience Act (CRA).
Empfehlungen des BSI:
Das BSI rät, sparsam mit sensiblen Daten umzugehen und bei der Erstkonfiguration sowie dem Betrieb smarter Thermostate auf IT-Sicherheitsaspekte zu achten. Nützliche Hinweise finden Verbraucherinnen und Verbraucher in der BSI-Publikation „Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen“.