BSI: IT-Sicherheitsmängel bei smarten Heizkörperthermostaten

Angesichts hoher Energiepreise setzen immer mehr Verbraucher intelligente Energiemanagementsysteme ein, z. B. intelligente Heizkörperthermostate. Viele dieser Produkte zeichnen sich durch kurze Entwicklungszyklen aus, bei denen die IT-Sicherheit häufig zu kurz kommt. Schlecht gesicherte Geräte und Netzwerke bieten Cyberkriminellen Angriffsmöglichkeiten, um Informationen wie sensible Daten auszuspähen oder die Geräte für andere kriminelle Zwecke zu missbrauchen. Darüber hinaus können fehlerhaft konfigurierte Geräte auch ohne feindliche Akteure zu Datenabfluss führen.

Innerhalb der Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ untersuchte das BSI eine Zufallsstichprobe von zehn smarten Heizkörperthermostaten. Dabei wurden einerseits Interviews mit Herstellern und Händlern und andererseits technische Schwachstellenanalysen durchgeführt.

Die Untersuchung ergab, dass ein Großteil der untersuchten smarten Heizkörperthermostate den europäischen Basissicherheitsanforderungen an IoT-Geräte für Verbraucher entspricht: Neun von zehn der untersuchten Geräte erfüllten drei Viertel der geprüften Testfälle nach ETSI EN 303 645.

Trotz hoher Konformität sind Risiken bei der Nutzung allerdings nicht auszuschließen. Beispielsweise wurde bei einem Produkt eine Cross-Site-Scripting-Schwachstelle identifiziert, die genutzt werden kann, um Verbraucher über den Webbrowser anzugreifen und möglicherweise kritische Funktionen in der Bedien-App auszulösen. Zudem hat ein getestetes Produkt eine unverschlüsselte Kommunikation mit dem Backend aufgebaut, wodurch Daten im Klartext übertragen wurden.

Die den getesteten Produkten zugehörigen Bedien-Apps wiesen eine hohe Konformität mit den Anforderungen des Teststandards OWASP Mobile Application Security Testing Guide (MASTG) auf. Dennoch wurden vereinzelte Sicherheitsprobleme festgestellt: Drei Produkte speicherten vertrauliche Daten auf unsichere Weise und zwei Produkte versäumten es, einzelne Verbindungen zum Schutz vor Man-In-The-Middle-Angriffen zu verschlüsseln. Hinzu kamen unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen.

Drei der untersuchten Geräte und drei Apps basieren auf einer Whitelabel-Lösung eines Drittanbieters. Das bedeutet, die vordergründigen Hersteller bedienen sich eines fertigen Endprodukts und labeln es auf den eigenen Markennamen. Dies führt auf der einen Seite zu einer einheitlichen Konformität der Produkte, auf der anderen Seite zu einer entsprechend vervielfachten Angriffsfläche im Falle von Schwachstellen in der Whitelabel-Lösung. Zudem ist den Verbrauchern nicht transparent, in welchem Land das Produkt hergestellt wurde.

Um ein hohes Maß an IT-Sicherheit zu gewährleisten, spielt neben der Produktsicherheit auch die Anwenderfreundlichkeit eine entscheidende Rolle. Der Schwerpunkt sollte dabei auf einer leicht auffindbaren, verständlichen und übersichtlichen Gebrauchsanleitung liegen, welche auch Hinweise zu sicherer Einrichtung und sicherem Betrieb der Produkte enthält. In diesem Punkt besteht bei der getesteten Produktgruppe noch Aufholbedarf: Bei einem Großteil der Anleitungen wurde lediglich und teilweise unvollständig die Installation beschrieben, ohne auf IT-Sicherheitsaspekte einzugehen. Das Überprüfen von Installationen auf sichere Konfiguration wurde bei neun von zehn Produkten nicht beschrieben.

Auch beim Produktsupport hat die BSI-Studie Optimierungsbedarf festgestellt: Neun von zehn Herstellern machten keine Angaben hinsichtlich eines garantierten Mindestzeitraums, in dem die Produkte mit Sicherheitsupdates versorgt werden. Begründet wird dies u. a. mit hohem Aufwand und mangelnder Flexibilität.

Zudem sieht das BSI Verbesserungsbedarf bezüglich des Umgangs der Hersteller mit Sicherheitslücken: Bei mehr als der Hälfte existierte keine Responsible Disclosure Policy; in einem Fall wurde festgestellt, dass Schwachstellen nicht zeitnah behoben wurden. Ansprechpartner für Schwachstellen ist zumeist der Kundensupport und es gibt keine gesondert ausgewiesene einheitliche Kontaktadresse hierfür, wie sie etwa die neue EU-Verordnung Cyber Resilience Act (CRA) künftig vorschreibt.

Grundsätzlich rät das BSI Verbrauchern, beim Umgang mit smarten Heizkörperthermostaten und deren Apps möglichst sparsam mit persönlichen und sensiblen Daten umzugehen. Bei der Erstkonfiguration und dem Betrieb smarter Heizkörperthermostate sollten Nutzende eigenverantwortlich auf IT-Sicherheitsaspekte achten. Entsprechende Maßnahmen zeigt die BSI-Publikation „Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen“.