Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer Studie die IT-Sicherheitseigenschaften smarter Heizkörperthermostate analysiert. Angesichts steigender Energiepreise setzen immer mehr Verbraucher auf intelligente Energiemanagementsysteme. Doch die Untersuchung zeigt: Obwohl viele Produkte den europäischen Sicherheitsstandards für IoT-Geräte entsprechen, gibt es weiterhin Schwachstellen, die potenzielle Risiken bergen.
Im Rahmen der Studienreihe »IT-Sicherheit auf dem digitalen Verbrauchermarkt« untersuchte das BSI eine Zufallsstichprobe von zehn smarten Heizkörperthermostaten. Dabei wurden einerseits Interviews mit Herstellern und Händlern und andererseits technische Schwachstellenanalysen durchgeführt.
Ein Großteil der Geräte erfüllte drei Viertel der Testfälle nach ETSI EN 303 645, dennoch wurden Schwächen festgestellt:
- Datenübertragung: Bei einem Produkt wurde eine unverschlüsselte Kommunikation mit dem Backend festgestellt, wodurch sensible Daten im Klartext übertragen wurden.
- Bedien-Apps: Drei Apps speicherten vertrauliche Daten unsicher, und zwei versäumten es, Verbindungen vor Man-in-the-Middle-Angriffen zu schützen.
- Schwachstellen in Whitelabel-Produkten: Drei Geräte basierten auf einer Whitelabel-Lösung eines Drittanbieters, was bei Sicherheitslücken eine erhöhte Angriffsfläche bedeutet.
Probleme bei Nutzerfreundlichkeit und Produktsupport
Die Nutzerfreundlichkeit der getesteten Produkte ließ häufig zu wünschen übrig. Gebrauchsanleitungen gingen selten auf IT-Sicherheitsaspekte ein. Nur eines der zehn Produkte beschrieb Maßnahmen zur sicheren Konfiguration umfassend.
Auch der Produktsupport zeigte Schwächen:
- Neun von zehn Herstellern gaben keinen garantierten Zeitraum für Sicherheitsupdates an.
- In mehr als der Hälfte der Fälle fehlte eine Responsible Disclosure Policy für den Umgang mit Sicherheitslücken.
Empfehlungen des BSI
Das BSI rät Verbrauchern, beim Umgang mit smarten Heizkörperthermostaten besonders auf IT-Sicherheit zu achten:
- Datensparsamkeit: Persönliche und sensible Daten sollten möglichst sparsam eingegeben werden.
- Sichere Konfiguration: Bereits bei der Erstinstallation sollten Sicherheitsaspekte berücksichtigt werden.
- Updates: Regelmäßige Software-Updates sind essenziell, um bekannte Sicherheitslücken zu schließen.
Der BSI-Leitfaden »Wegweiser für den digitalen Alltag: Internet der Dinge sicher nutzen« bietet praktische Hinweise für den sicheren Umgang mit IoT-Geräten.
Fazit
Smarte Heizkörperthermostate bieten großes Potenzial für Energieeinsparungen, doch die IT-Sicherheit muss stärker berücksichtigt werden. Hersteller sind gefordert, Schwachstellen zeitnah zu beheben, umfassenden Produktsupport zu bieten und Sicherheitsaspekte transparenter zu gestalten. Verbraucher sollten sich der Risiken bewusst sein und selbst Maßnahmen zur sicheren Nutzung ergreifen.
