BSI untersucht Sicherheit von smarten Heizkörperthermostaten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich passend zur Jahreszeit smarte Heizungsthermostate genauer angesehen. Dabei ging es darum, die IT-Sicherheit der Systeme zu untersuchen.

Vorneweg erörtert das BSI in der Analyse, dass Smart-Home-Geräte wie Heizkörperthermostate kurze Entwicklungszyklen aufweisen, "bei denen die IT-Sicherheit häufig eine geringere Priorität als andere Produkteigenschaften einnimmt. Dies geht mit fehlenden oder unzureichenden Security-by-Design-Ansätzen einher", so die Behörde. Viele Produkte böten daher "keinen wirksamen Schutz gegen Hackerangriffe".

Mangelnde IT-Sicherheit gefährdet Daten und Dritte

Angreifer könnten kompromittierte Geräte missbrauchen, um personenbezogene Daten abzugreifen oder damit distributed Denial-of-Service-Attacken (dDoS) auszuführen. Fehlerhafte Konfigurationen können auch ohne bösartige Angreifer zu Informationsabfluss führen. Um also die Hersteller solcher Geräte dazu zu motivieren, Security-by-Design und Security-by-Default in der Entwicklung zu berücksichtigen, hat das BSI Interviews mit Herstellern und Händlern diesbezüglich geführt. Außerdem hat die IT-Sicherheitsbehörde eine zufällige Stichprobe von zehn smarten Heizkörperthermostaten technisch untersuchen lassen, nachdem sie ein Prüfkopnzept dafür erstellt hat. Dabei wurden die Geräte selbst und die zugehörigen Apps, also deren Ökosystem, analysiert. Für gefundene Schwachstellen strebt das BSI eine "kooperative Zusammenarbeit" mit den Herstellern an und verfolgt eine Responsible-Disclosure-Politik.

Das BSI hat dabei den Netzwerkverkehr überwacht und analysiert. Zudem hat es die Apps einer statischen und dynamischen Analyse unterzogen. Aber auch eine technische Analyse der Platinen, Mikroprozessoren und Kommunikation etwa auf Bussystemen in den Thermostaten stand auf dem Programm.

Untersuchungsergebnisse des BSI

Die Apps sind allesamt "nicht für Hochsicherheitsszenarien konzipiert". Zwei Hersteller patzten bei der Datenübertragung der iOS-App: Die erfolgte schlicht unverschlüsselt. Eine iOS-App wies eine Cross-Site-Scripting-Lücke auf. Zertifikatspinning findet zumeist nicht statt, was Man-in-the-Middle-Angriffe erleichtert. Biometrische Authentifizierung verlangte keine der Apps, drei der zehn Apps speicherten Token und Zugangsdaten zudem nicht in dem sicheren Keystore oder der Keychain. Drei Produkte im Test basieren auf einem OEM-Design, einem chinesischen White-Label. Die Apps sind nahezu gleich und haben nur ausgetauschte Logos, bei einen Produkt wurde das Gehäuse der Hardware etwas verändert. Alle drei haben einen geheimen Schlüssel, der extrahiert und zur Interaktion mit dem Gerät über das Netzwerk genutzt werden kann. Das BSI bemängelt, dass einige Apps Komponenten nutzen, bei denen etwa kein Schutz vor Pufferüberläufen aktiviert wurde.

Die Hardware-Prüfung ergab, dass bei sechs Probanden die Debug-Schnittstellen zugänglich waren. Damit ließ sich die Firmware recht leicht auslesen und sogar modifizieren. Das Risiko für Endkunden ist überschaubar, das BSI sieht hier das geistige Eigentum der Hersteller in Gefahr. Auch hier wurde ein Hersteller mit "nahezu unverschlüsselter Kommunikation" entdeckt, der alle Daten im Klartext über das Netzwerk übertrug. Für Verbraucher relevante Sicherheitslücken fand das BSI dabei nahezu nicht. Zwei Probanden luden Firmware-Updates aus dem Netz über unverschlüsselte Kanäle und prüften die Authentizität der Updates nicht.

Das BSI fasst am Ende zusammen: "Die Analysen zeigen, dass Verbraucherinnen und Verbraucher bei der Nutzung smarter Geräte und deren mobiler Apps mit gewissen Risiken konfrontiert sind. Während die meisten Schwachstellen nicht unmittelbar bedrohlich sind, können sie bei tatsächlicher Ausnutzung durch Angreifer schwerwiegende Konsequenzen für Privatsphäre und Sicherheit haben". Die Hersteller müssten jedoch ihre Sicherheitsmaßnahmen weiter verbessern und etablierte Standards umsetzen, "um ein höheres Maß an Schutz zu gewährleisten".

Das 93-seitige PDF gibt für Hersteller, Händler und sonstige Interessierte noch zahlreiche Handreichungen und Hinweise, wie sie bessere IT-Sicherheit auch schon in der Produktentwicklung umsetzen können. Die Ergebnisse sind lediglich in anonymisierter Form enthalten, konkrete Schwachstellen lassen sich keinem Hersteller oder Produkt zuordnen.

(dmk)