IT

Sicherheitsbehörde: Smarte Heizkörperthermostate weisen IT-Sicherheitsmängel auf

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat festgestellt: Insbesondere bei Nutzerfreundlichkeit, Produktsupport und im Umgang mit Schwachstellen gibt es Optimierungsbedarf.
10.12.2024

Grundsätzlich rät das BSI Verbraucherinnen und Verbrauchern, beim Umgang mit smarten Heizkörperthermostaten und deren Apps möglichst sparsam mit persönlichen und sensiblen Daten umzugehen.


Angesichts hoher Energiepreise setzen immer mehr Verbraucherinnen und Verbraucher intelligente Energiemanagementsysteme ein – zum Beispiel intelligente Heizkörperthermostate. Viele dieser Produkte zeichnen sich durch kurze Entwicklungszyklen aus, bei denen die IT-Sicherheit häufig zu kurz kommt. Schlecht gesicherte Geräte und Netzwerke bieten Cyberkriminellen Angriffsmöglichkeiten, um sensible Daten auszuspähen oder die Geräte für andere kriminelle Zwecke zu missbrauchen, so die Bonner Behörde.

Darüber hinaus können fehlerhaft konfigurierte Geräte auch ohne feindliche Akteure zu Datenabfluss führen, heißt es in der Pressemitteilung dazu. Im Rahmen der Studienreihe "IT-Sicherheit auf dem digitalen Verbrauchermarkt“ untersuchte das BSI eine Zufallsstichprobe von zehn smarten Heizkörperthermostaten. Dabei wurden einerseits Interviews mit Herstellern und Händlern und andererseits technische Schwachstellenanalysen durchgeführt.
 

Ergebnisse

Die Untersuchung ergab, dass ein Großteil der untersuchten smarten Heizkörperthermostate den europäischen Basissicherheitsanforderungen an IoT-Geräte für Verbraucher entspricht: Neun von zehn der untersuchten Geräte erfüllten drei Viertel der geprüften Testfälle nach ETSI EN 303 645. Trotz hoher Konformität seien Risiken bei der Nutzung allerdings nicht auszuschließen.

Beispielsweise wurde bei einem Produkt eine Cross-Site-Scripting-Schwachstelle identifiziert, die genutzt werden kann, um Verbraucherinnen und Verbraucher über den Webbrowser anzugreifen und möglicherweise kritische Funktionen in der Bedien-App auszulösen. Zudem hat ein getestetes Produkt eine unverschlüsselte Kommunikation mit dem Backend aufgebaut, wodurch Daten im Klartext übertragen wurden.

Vereinzelte Sicherheitsprobleme

Die den getesteten Produkten zugehörigen Bedien-Apps wiesen eine hohe Konformität mit den Anforderungen des Teststandards OWASP Mobile Application Security Testing Guide (MASTG) auf. Dennoch wurden vereinzelte Sicherheitsprobleme festgestellt: Drei Produkte speicherten vertrauliche Daten auf unsichere Weise und zwei Produkte versäumten es, einzelne Verbindungen zum Schutz vor Man-In-The-Middle-Angriffen zu verschlüsseln. Hinzu kamen unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen.

Drei der untersuchten Geräte und drei Apps basieren auf einer Whitelabel-Lösung eines Drittanbieters. Das bedeutet, die vordergründigen Hersteller bedienen sich eines fertigen Endprodukts und labeln es auf den eigenen Markennamen. Dies führt auf der einen Seite zu einer einheitlichen Konformität der Produkte, auf der anderen Seite zu einer entsprechend vervielfachten Angriffsfläche im Falle von Schwachstellen in der Whitelabel-Lösung. Zudem sei den Verbraucherinnen und Verbrauchern nicht transparent, in welchem Land das Produkt hergestellt wurde.

Produktionssicherheit und Anwenderfreundlichkeit

Um ein hohes Maß an IT-Sicherheit zu gewährleisten, spielt neben der Produktsicherheit auch die Anwenderfreundlichkeit eine entscheidende Rolle, betont das BSI. Der Schwerpunkt sollte dabei auf einer leicht auffindbaren, verständlichen und übersichtlichen Gebrauchsanleitung liegen, welche auch Hinweise zu sicherer Einrichtung und sicherem Betrieb der Produkte enthält.

In diesem Punkt besteht bei der getesteten Produktgruppe laut BSI noch Aufholbedarf: Bei einem Großteil der Anleitungen wurde lediglich und teilweise unvollständig die Installation beschrieben, ohne auf IT-Sicherheitsaspekte einzugehen. Das Überprüfen von Installationen auf sichere Konfiguration wurde bei neun von zehn Produkten nicht beschrieben.

Auch beim Produktsupport hat die BSI-Studie Optimierungsbedarf festgestellt: Neun von zehn Herstellern machten keine Angaben hinsichtlich eines garantierten Mindestzeitraumes, in welchem die Produkte mit Sicherheitsupdates versorgt werden. Begründet wird dies u. a. mit hohem Aufwand und mangelnder Flexibilität.

Zudem sieht das BSI Verbesserungsbedarf bezüglich des Umgangs der Hersteller mit Sicherheitslücken: Bei mehr als der Hälfte existierte keine Responsible Disclosure Policy; in einem Fall wurde festgestellt, dass Schwachstellen nicht zeitnah behoben wurden. Ansprechpartner für Schwachstellen ist zumeist der Kundensupport und es gibt keine gesondert ausgewiesene, einheitliche Kontaktadresse hierfür, wie sie etwa die neue EU-Verordnung Cyber Resilience Act (CRA) künftig vorschreibt. (sg)