Studie gemeinsam mit dem BSI: IT-Sicherheit von smarten Heizkörperthermostaten

Certitude führte im Auftrag des Bundesministerium für Sicherheit in der Informationstechnik (BSI) die technische Sicherheitsprüfung von smarten Heizkörperthermostaten durch. Die aus diesem Projekt entstandene und heute veröffentlichte Studie zeigt auf, dass es insbesondere beim Umgang mit Schwachstellen Nachholbedarf gibt.

Es sollte nicht überraschend sein, dass der Betrieb vieler kleiner, ans Internet angebundener, Computer eine Herausforderung für die IT-Sicherheit darstellt. Das BSI hat daher einen Fokus auf die Analyse der Produktgruppe IoT in Haushalten gelegt, konkret auf smarte Heizkörperthermostate. In der Studie „IT-Sicherheit auf dem digitalen Verbrauchermarkt: Smarte Heizkörperthermostate“ wurde untersucht, wie Hersteller derartiger Verbraucherprodukte mit IT-Sicherheit umgehen und welche Sicherheitslücken in diesen Systemen schlummern.

Für die Studie führten Certitude Consulting und das Partnerunternehmen CyberDanube technische Analysen mehrerer smarter Thermostate sowie der dazugehörigen Bedient-Apps durch. Im Scope der Überprüfung waren die Hardware, Firmware sowie Mobile-Apps. Im Rahmen der Analysen wurde die Konformität der Lösungen gegenüber ETSI EN 303645 sowie des OWASP Mobile Application Security Testing Guide geprüft. Identifizierte Schwachstellen wurden durch einen Coordinated Vulnerability Disclosure (CVD) Prozess an die entsprechenden Hersteller gemeldet. Die Studie enthielt außerdem eine Befragung der Hersteller, die durch die INFO GmbH durchgeführt wurde.

Bei den identifizierten Schwachstellen handelte es sich beispielsweise um Cross-Site Scripting und unverschlüsselte Netzwerkkommunikation sowie unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen.

Neun von zehn Herstellern machten keine Angaben hinsichtlich eines garantierten Mindestzeitraumes, in welchem die Produkte mit Sicherheitsupdates versorgt werden. Zudem gibt es Verbesserungsbedarf bezüglich des Umgangs der Hersteller mit Sicherheitslücken: Bei mehr als der Hälfte existierte keine Responsible Disclosure Policy; in einem Fall wurde festgestellt, dass Schwachstellen nicht zeitnah behoben wurden.

Mehr zur Veröffentlichung sowie die Studie als PDF finden Sie auf der Webseite des BSI.