Hacker-Gefahr? So unsicher sind smarte Thermostate laut dem BSI
Smarte Heizkörperthermostate erfreuen sich wachsender Beliebtheit, doch eine aktuelle Studie des BSI deckt ernsthafte IT-Sicherheitsmängel auf. Besonders die fehlende Verschlüsselung von Nutzerdaten stellt ein erhebliches Risiko dar. Verbraucher sollten vorsichtig sein.
Eine aktuelle Studie hat gravierende IT-Sicherheitsmängel bei diesen Geräten aufgedeckt, insbesondere im Hinblick auf den Schutz von Nutzerdaten. Die Experten untersuchten zehn zufällig ausgewählte smarte Heizkörperthermostate und deren zugehörige Smartphone-Apps.
Praktisch aber unsicher? Das BSI wollte es wissen.
Dabei zeigte sich, dass die Hersteller bei der Entwicklung offenbar mehr Wert auf Funktionalität als auf IT-Sicherheit legen. Viele der getesteten Produkte bieten keinen wirksamen Schutz gegen Hackerangriffe. Allerdings hat das BSI keines der Produkte an den Pranger gestellt. Die veröffentlichte Untersuchung (über 90 Seiten PDF) geht nur auf die gefundenen Probleme ein, verkündet aber nicht, welche Hersteller bei der Sicherheit patzten.
Auch AVM hat mit seinem Fritz-Set eine gute Heiz-Basis fürs Smart Home
Dies macht sie anfällig für sogenannte Man-in-the-Middle-Angriffe, bei denen sich Hacker zwischen Nutzer und Server schalten können.
Ein weiteres Problem: Drei der untersuchten Geräte und Apps basieren auf einer White-Label-Lösung eines chinesischen Drittanbieters. Das bedeutet, dass verschiedene Hersteller im Grunde das gleiche Produkt unter ihrer eigenen Marke verkaufen. Wird eine Sicherheitslücke in dieser Basislösung entdeckt, sind gleich mehrere Markenprodukte betroffen.
Für Verbraucher bleibt dabei oft unklar, wo die Geräte tatsächlich produziert werden.
Viele Hersteller liefern Adapter für nahezu alle gängigen Ventile mit
Nachtrag: 17.12.: Einige Hersteller haben schon auf das Problem reagiert und erläutern die Probleme aus ihrer Sicht. Von Bosch gibt es folgende Stellungnahme (gekürzt):
"Wir wissen, dass der BSI-Bericht Fragen aufwirft. Wir sind damit vertraut und haben die Ergebnisse in enger Abstimmung mit dem BSI sorgfältig geprüft. Das Wichtigste: Keine Sorge! Das BSI bestätigt: "Die Untersuchung ergab, dass ein Großteil der untersuchten smarten Heizkörperthermostate den europäischen Basissicherheitsanforderungen an IoT-Geräte für Verbraucher entspricht. Nur in wenigen Fällen entsprachen die Ergebnisse nicht dem ETSI-Standard, was jedoch keinen Anlass zur Besorgnis gibt." Das Bosch Smart Home Heizkörper-Thermostat II hat im Test keine Beanstandungen aufgewiesen, was die Zuverlässigkeit der Sicherheitsimplementierung des Produkts bestätigt.
Der BSI-Bericht bezog sich ausschließlich auf die Nutzung von Thermostaten (ohne weitere Produkte) in Smart Home-Systemen oder über Apps. Dieser Testansatz führte jedoch zu teilweise verfälschten Ergebnissen. Zum Beispiel wurde kritisiert, dass die App Audiozugriff anfordert. Dies ist aber in unserem Fall nur optional für die Integration und Nutzung von Kameras erforderlich. ...
Wir möchten betonen, dass die Bosch-spezifische Cloud ihren Standort in der EU (überwiegend in Deutschland) hat und somit dem europäischen Datenschutzrecht unterliegt."
Wie steht ihr zu den Sicherheitsmängeln bei smarten Heizkörperthermostaten? Nutzt ihr solche Geräte und macht ihr euch Gedanken um eure Daten? Teilt eure Erfahrungen und Meinungen in den Kommentaren!
Siehe auch:
Praktisch, aber potenziell unsicher
Angesichts steigender Energiepreise setzen immer mehr Verbraucher auf smarte Heizkörperthermostate, um ihren Energieverbrauch zu optimieren - auch wir hatten uns diesem Thema schon einmal ausführlich gewidmet. Doch die vermeintlich cleveren Helfer bergen auch Risiken.Eine aktuelle Studie hat gravierende IT-Sicherheitsmängel bei diesen Geräten aufgedeckt, insbesondere im Hinblick auf den Schutz von Nutzerdaten. Die Experten untersuchten zehn zufällig ausgewählte smarte Heizkörperthermostate und deren zugehörige Smartphone-Apps.
Praktisch aber unsicher? Das BSI wollte es wissen.
Dabei zeigte sich, dass die Hersteller bei der Entwicklung offenbar mehr Wert auf Funktionalität als auf IT-Sicherheit legen. Viele der getesteten Produkte bieten keinen wirksamen Schutz gegen Hackerangriffe. Allerdings hat das BSI keines der Produkte an den Pranger gestellt. Die veröffentlichte Untersuchung (über 90 Seiten PDF) geht nur auf die gefundenen Probleme ein, verkündet aber nicht, welche Hersteller bei der Sicherheit patzten.
Neun von zehn der untersuchten Geräte [...] erfüllen drei Viertel der geprüften Testfälle nach ETSI EN 303 645Bei der Analyse hat das BSI erhebliche Schwachstellen identifiziert und auch an die Firmen weitergegeben. Besonders alarmierend: Bei einem Produkt wurde eine völlig unverschlüsselte Kommunikation mit dem Backend festgestellt. Das bedeutet, dass sämtliche Nutzerdaten im Klartext übertragen wurden - ein leichtes Ziel für Cyberkriminelle.
Diese Geräte wurden geprüft
- AVM FritzDECT 301
- Netatmo Thermostat
- Tado V3+ Basic
- Bosch Heizkörperthermostat II
- Homematic Evo
- Hama
- Shelly TRV
- Revolt ZX5280-944
- Brennenstuhl HT CZ01
- TP-Link Kasa KE 100
Sicherheitslücken in Smartphone-Apps
Auch die Smartphone-Apps zur Steuerung der Thermostate weisen Sicherheitslücken auf. Drei der getesteten Apps speicherten vertrauliche Daten auf unsichere Weise, während zwei Apps es versäumten, bestimmte Verbindungen zu verschlüsseln.Auch AVM hat mit seinem Fritz-Set eine gute Heiz-Basis fürs Smart Home
Dies macht sie anfällig für sogenannte Man-in-the-Middle-Angriffe, bei denen sich Hacker zwischen Nutzer und Server schalten können.
Ein weiteres Problem: Drei der untersuchten Geräte und Apps basieren auf einer White-Label-Lösung eines chinesischen Drittanbieters. Das bedeutet, dass verschiedene Hersteller im Grunde das gleiche Produkt unter ihrer eigenen Marke verkaufen. Wird eine Sicherheitslücke in dieser Basislösung entdeckt, sind gleich mehrere Markenprodukte betroffen.
Für Verbraucher bleibt dabei oft unklar, wo die Geräte tatsächlich produziert werden.
Viele Hersteller liefern Adapter für nahezu alle gängigen Ventile mit
Mangelnde Transparenz und unzureichender Support
Neben den technischen Mängeln kritisiert das BSI auch die mangelnde Transparenz und den unzureichenden Support seitens der Hersteller. Die Untersuchung offenbarte folgende Probleme:- Neun von zehn Unternehmen machten keine Angaben zur Dauer der Bereitstellung von Sicherheitsupdates
- Mehr als die Hälfte der Hersteller verfügt nicht über eine Richtlinie zum Umgang mit entdeckten Sicherheitslücken
- Fehlende Informationen zur tatsächlichen Produktionsstätte der Geräte
Empfehlungen des BSI für Verbraucher
Das BSI rät Verbrauchern dringend, beim Umgang mit smarten Heizkörperthermostaten und deren Apps äußerst sparsam mit persönlichen und sensiblen Daten umzugehen. Bei der Erstkonfiguration und im laufenden Betrieb sollten Nutzer besonders auf IT-Sicherheitsaspekte achten. Hilfreiche Tipps dazu finden sich in der BSI-Publikation "Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen".Fazit: Nachholbedarf im Hinblick auf IT-Sicherheit?
Das BSI mahnt nun an, dass im Bereich der smarten Heiztechnik noch erheblicher Nachholbedarf bezüglich IT-Sicherheit besteht. Hersteller sind aufgefordert, ihre Produkte besser abzusichern und Sicherheit von Anfang an in den Entwicklungsprozess zu integrieren. Nur so können Verbraucher die Vorteile smarter Technologien nutzen, ohne ihre Privatsphäre und Datensicherheit zu gefährden.Nachtrag: 17.12.: Einige Hersteller haben schon auf das Problem reagiert und erläutern die Probleme aus ihrer Sicht. Von Bosch gibt es folgende Stellungnahme (gekürzt):
"Wir wissen, dass der BSI-Bericht Fragen aufwirft. Wir sind damit vertraut und haben die Ergebnisse in enger Abstimmung mit dem BSI sorgfältig geprüft. Das Wichtigste: Keine Sorge! Das BSI bestätigt: "Die Untersuchung ergab, dass ein Großteil der untersuchten smarten Heizkörperthermostate den europäischen Basissicherheitsanforderungen an IoT-Geräte für Verbraucher entspricht. Nur in wenigen Fällen entsprachen die Ergebnisse nicht dem ETSI-Standard, was jedoch keinen Anlass zur Besorgnis gibt." Das Bosch Smart Home Heizkörper-Thermostat II hat im Test keine Beanstandungen aufgewiesen, was die Zuverlässigkeit der Sicherheitsimplementierung des Produkts bestätigt.
Der BSI-Bericht bezog sich ausschließlich auf die Nutzung von Thermostaten (ohne weitere Produkte) in Smart Home-Systemen oder über Apps. Dieser Testansatz führte jedoch zu teilweise verfälschten Ergebnissen. Zum Beispiel wurde kritisiert, dass die App Audiozugriff anfordert. Dies ist aber in unserem Fall nur optional für die Integration und Nutzung von Kameras erforderlich. ...
Wir möchten betonen, dass die Bosch-spezifische Cloud ihren Standort in der EU (überwiegend in Deutschland) hat und somit dem europäischen Datenschutzrecht unterliegt."
Wie sicher sind die Geräte wirklich?
Die aktuelle BSI-Studie zeigt erhebliche Sicherheitsmängel bei smarten Heizkörperthermostaten auf. Besonders kritisch ist die teilweise unverschlüsselte Übertragung von Nutzerdaten, die Hacker leicht abfangen könnten.
Neun von zehn der untersuchten Geräte erfüllen zwar grundlegende Sicherheitsstandards, dennoch wurden bei allen Produkten Schwachstellen gefunden. Besonders problematisch ist die mangelnde Verschlüsselung bei der Kommunikation mit den Servern.
Neun von zehn der untersuchten Geräte erfüllen zwar grundlegende Sicherheitsstandards, dennoch wurden bei allen Produkten Schwachstellen gefunden. Besonders problematisch ist die mangelnde Verschlüsselung bei der Kommunikation mit den Servern.
Was sind die größten Risiken?
Das größte Risiko besteht in der möglichen Kompromittierung persönlicher Daten durch unverschlüsselte Übertragung. Cyberkriminelle könnten Informationen über Heizgewohnheiten und Anwesenheitszeiten ausspähen.
Zudem ermöglichen Sicherheitslücken in den Smartphone-Apps sogenannte Man-in-the-Middle-Angriffe, bei denen sich Hacker zwischen Nutzer und Server schalten können. Dies wurde bei mehreren getesteten Apps festgestellt.
Zudem ermöglichen Sicherheitslücken in den Smartphone-Apps sogenannte Man-in-the-Middle-Angriffe, bei denen sich Hacker zwischen Nutzer und Server schalten können. Dies wurde bei mehreren getesteten Apps festgestellt.
Gibt es sichere Alternativen?
Laut BSI-Studie erfüllen die meisten Geräte zumindest die grundlegenden Sicherheitsanforderungen nach ETSI EN 303 645. Eine vollständig sichere Alternative wurde jedoch nicht identifiziert.
Verbraucher sollten bei der Auswahl auf Hersteller achten, die regelmäßige Sicherheitsupdates bereitstellen und transparent über ihre Datenschutzpraktiken informieren. Klassische, nicht vernetzte Thermostate bleiben die sicherste Option.
Verbraucher sollten bei der Auswahl auf Hersteller achten, die regelmäßige Sicherheitsupdates bereitstellen und transparent über ihre Datenschutzpraktiken informieren. Klassische, nicht vernetzte Thermostate bleiben die sicherste Option.
Wie schütze ich meine Daten?
Das BSI empfiehlt, bei der Nutzung smarter Thermostate sehr sparsam mit persönlichen Daten umzugehen. Nutzen Sie starke, einzigartige Passwörter und aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung.
Achten Sie bei der Erstkonfiguration besonders auf die Sicherheitseinstellungen und installieren Sie alle verfügbaren Updates umgehend. Vermeiden Sie die Eingabe unnötiger persönlicher Informationen in der App.
Achten Sie bei der Erstkonfiguration besonders auf die Sicherheitseinstellungen und installieren Sie alle verfügbaren Updates umgehend. Vermeiden Sie die Eingabe unnötiger persönlicher Informationen in der App.
Woher kommen die Geräte?
Die Studie deckte auf, dass drei der untersuchten Geräte auf einer White-Label-Lösung eines chinesischen Herstellers basieren. Dies bedeutet, dass verschiedene Marken technisch identische Produkte verkaufen.
Für Verbraucher ist oft nicht transparent, wo die Geräte tatsächlich produziert werden. Die Hersteller machen häufig keine klaren Angaben zur Produktionsstätte oder zum verwendeten Basis-System.
Für Verbraucher ist oft nicht transparent, wo die Geräte tatsächlich produziert werden. Die Hersteller machen häufig keine klaren Angaben zur Produktionsstätte oder zum verwendeten Basis-System.
Wie lange gibt es Support?
Die BSI-Studie zeigt, dass neun von zehn Herstellern keine konkreten Angaben zur Dauer der Bereitstellung von Sicherheitsupdates machen. Dies ist besonders kritisch für die langfristige Sicherheit der Geräte.
Mehr als die Hälfte der Hersteller verfügt nicht einmal über eine klare Richtlinie zum Umgang mit entdeckten Sicherheitslücken, was die Reaktionszeit bei Problemen verlängern kann.
Mehr als die Hälfte der Hersteller verfügt nicht einmal über eine klare Richtlinie zum Umgang mit entdeckten Sicherheitslücken, was die Reaktionszeit bei Problemen verlängern kann.
Lohnt sich die Anschaffung?
Smarte Heizkörperthermostate können den Energieverbrauch optimieren und bieten praktische Funktionen zur Steuerung der Heizung. Die potenziellen Einsparungen müssen jedoch gegen die Sicherheitsrisiken abgewogen werden.
Verbraucher sollten vor der Anschaffung prüfen, ob der Hersteller regelmäßige Updates bereitstellt und wie transparent er mit Sicherheitsfragen umgeht. Eine informierte Entscheidung ist hier besonders wichtig.
Verbraucher sollten vor der Anschaffung prüfen, ob der Hersteller regelmäßige Updates bereitstellt und wie transparent er mit Sicherheitsfragen umgeht. Eine informierte Entscheidung ist hier besonders wichtig.
Was plant das BSI künftig?
Das BSI setzt sich für verbesserte Sicherheitsstandards bei Smart-Home-Geräten ein und plant weitere Untersuchungen. Die Behörde arbeitet an Richtlinien für Hersteller zur Integration von Sicherheit in den Entwicklungsprozess.
Zudem werden regelmäßige Updates zu den Sicherheitsempfehlungen in der BSI-Publikation "Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen" bereitgestellt.
Zudem werden regelmäßige Updates zu den Sicherheitsempfehlungen in der BSI-Publikation "Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen" bereitgestellt.
Zusammenfassung
- BSI deckt IT-Sicherheitsmängel bei smarten Heizkörperthermostaten auf
- Unverschlüsselte Datenübertragung und unsichere Apps gefährden Nutzer
- White-Label-Lösungen erhöhen Risiko bei Entdeckung von Sicherheitslücken
- Mangelnde Transparenz und unzureichender Support seitens der Hersteller
- Verbraucher sollten vorsichtig mit persönlichen Daten bei Nutzung umgehen
- BSI fordert bessere Absicherung und Integration von Sicherheit bei Herstellern
- Studie zeigt erheblichen Nachholbedarf im Bereich IT-Sicherheit auf
Siehe auch:
Thema:
Videos zum Thema Smart Home
-
Mova V50 Ultra Complete: Reinigungs-Roboter mit sehr viel Zubehör
-
Super Bowl 2026: Chris Hemsworth denkt, dass Alexa+ ihn töten will
-
Ecovacs GOAT A1600 RTK: Mähroboter für große Gärten im Test
-
Tado X: Smartes Heizungsthermostat mit mehr Features im Test
-
Govee: Smarte Festbeleuchtung für Garten und Wohnzimmer im Test
-
Dark Matter: Apple zeigt den offiziellen Trailer zur neuen Sci-Fi-Serie
-
Tado Smart Radiator: Thermostate für die clevere Heizungssteuerung
-
Inio One: Smarte Tageslicht-Lampe für das Home-Office
-
Amazon Fire Max 11 im Test: Das bisher schnellste Tablet von Amazon
-
Amazon Fire Max 11: Erste Eindrücke zu Amazons stärkstem Tablet
Amazon Echo Dot im Preisvergleich
Vmselect 
Alza.de 
Electronis.de 
Jacob Elektronik direkt 
Future-X.de Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen