Quelle: Pixabay / Elchinator
BSI-WARNUNG:
IT-Sicherheitsmängel bei smarten Heizkörperthermostaten
Das BSI hat smarte Heizkörperthermostate untersucht. Obwohl viele Geräte EU-Sicherheitsstandards erfüllen, zeigen sich Schwächen bei IT-Sicherheit, Support und Nutzerfreundlichkeit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Sicherheit smarter Heizkörperthermostate geprüft.
Die Ergebnisse zeigen, dass trotz hoher Konformität mit europäischen Standards erhebliche Schwächen bestehen, insbesondere
bei der Nutzerfreundlichkeit, im Produktsupport und im Umgang mit Sicherheitslücken. Dies teilte die Behörde am 10. Dezember mit.
Viele der Produkte zeichnen sich laut dem BSI durch kurze Entwicklungszyklen aus, bei denen „die IT-Sicherheit häufig zu kurz kommt“, schreibt die Behörde. Schlecht gesicherte Geräte und Netzwerke würden Cyberkriminellen Angriffsmöglichkeiten bieten, um Informationen wie sensible Daten auszuspähen oder die Geräte für andere kriminelle Zwecke zu missbrauchen. Darüber hinaus können fehlerhaft konfigurierte Geräte auch ohne feindliche Akteure zu Datenabfluss führen. Im Rahmen der Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt “ untersuchte das BSI eine Zufallsstichprobe von zehn smarten Heizkörperthermostaten.
Neun von zehn untersuchten Geräten erfüllten mindestens 75 Prozent der Testkriterien nach ETSI EN 303 645 − also die europäische Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“. Dennoch wurden sicherheitsrelevante Schwächen festgestellt. Beispielsweise erlaubte eine Cross-Site-Scripting-Schwachstelle Angriffe über den Webbrowser, während ein anderes Gerät Daten unverschlüsselt übertrug. Bedien-Apps schnitten zwar gut ab, zeigten aber Probleme bei der Verschlüsselung und der sicheren Datenspeicherung.
Drei Produkte speicherten zum Beispiel vertrauliche Daten auf unsichere Weise und zwei Produkte versäumten es, einzelne Verbindungen zum Schutz vor Man-In-The-Middle-Angriffen zu verschlüsseln. Hinzu kamen unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen.
Transparenz und Support verbessern
Drei Geräte basierten auf Whitelabel-Lösungen, wodurch Sicherheitslücken vervielfacht werden können. Zudem mangelte es an Transparenz, etwa zur Herkunft der Produkte. Auch die Anleitungen wiesen Defizite auf: Bei einem Großteil der Anleitungen wurde lediglich und teilweise unvollständig die Installation beschrieben, ohne auf IT-Sicherheitsaspekte einzugehen, bemängelt der Test der Behörde.
Mehr als die Hälfte der Hersteller hatte keine Responsible Disclosure Policy (Richtlinie für verantwortungsvolle Offenlegung), was die Bearbeitung von Schwachstellen verzögerte. Oft fehlte eine zentrale Kontaktstelle für Sicherheitsfragen, ein Punkt, den der kommende Cyber Resilience Act adressieren wird, teilte das BSI dazu weiter mit.
Das BSI rät Verbraucherinnen und Verbrauchern zu einem sparsamen Umgang mit sensiblen Daten. Bei der Erstkonfiguration und dem Betrieb smarter Heizkörperthermostate sollten Nutzende eigenverantwortlich auf IT-Sicherheitsaspekte achten.
Viele der Produkte zeichnen sich laut dem BSI durch kurze Entwicklungszyklen aus, bei denen „die IT-Sicherheit häufig zu kurz kommt“, schreibt die Behörde. Schlecht gesicherte Geräte und Netzwerke würden Cyberkriminellen Angriffsmöglichkeiten bieten, um Informationen wie sensible Daten auszuspähen oder die Geräte für andere kriminelle Zwecke zu missbrauchen. Darüber hinaus können fehlerhaft konfigurierte Geräte auch ohne feindliche Akteure zu Datenabfluss führen. Im Rahmen der Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt “ untersuchte das BSI eine Zufallsstichprobe von zehn smarten Heizkörperthermostaten.
Neun von zehn untersuchten Geräten erfüllten mindestens 75 Prozent der Testkriterien nach ETSI EN 303 645 − also die europäische Norm „Cyber Security for Consumer Internet of Things: Baseline Requirements“. Dennoch wurden sicherheitsrelevante Schwächen festgestellt. Beispielsweise erlaubte eine Cross-Site-Scripting-Schwachstelle Angriffe über den Webbrowser, während ein anderes Gerät Daten unverschlüsselt übertrug. Bedien-Apps schnitten zwar gut ab, zeigten aber Probleme bei der Verschlüsselung und der sicheren Datenspeicherung.
Drei Produkte speicherten zum Beispiel vertrauliche Daten auf unsichere Weise und zwei Produkte versäumten es, einzelne Verbindungen zum Schutz vor Man-In-The-Middle-Angriffen zu verschlüsseln. Hinzu kamen unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen.
Transparenz und Support verbessern
Drei Geräte basierten auf Whitelabel-Lösungen, wodurch Sicherheitslücken vervielfacht werden können. Zudem mangelte es an Transparenz, etwa zur Herkunft der Produkte. Auch die Anleitungen wiesen Defizite auf: Bei einem Großteil der Anleitungen wurde lediglich und teilweise unvollständig die Installation beschrieben, ohne auf IT-Sicherheitsaspekte einzugehen, bemängelt der Test der Behörde.
Mehr als die Hälfte der Hersteller hatte keine Responsible Disclosure Policy (Richtlinie für verantwortungsvolle Offenlegung), was die Bearbeitung von Schwachstellen verzögerte. Oft fehlte eine zentrale Kontaktstelle für Sicherheitsfragen, ein Punkt, den der kommende Cyber Resilience Act adressieren wird, teilte das BSI dazu weiter mit.
Das BSI rät Verbraucherinnen und Verbrauchern zu einem sparsamen Umgang mit sensiblen Daten. Bei der Erstkonfiguration und dem Betrieb smarter Heizkörperthermostate sollten Nutzende eigenverantwortlich auf IT-Sicherheitsaspekte achten.
© 2025 Energie & Management GmbH
Dienstag, 10.12.2024, 15:51 Uhr
Dienstag, 10.12.2024, 15:51 Uhr
teilen
teilen
teilen
teilen
Mehr zum Thema
Gebündelte Kräfte für den digitalen Netzausbau
