{"id":3264,"date":"2024-12-10T18:02:54","date_gmt":"2024-12-10T16:02:54","guid":{"rendered":"https:\/\/certitude.consulting\/blog\/?p=3264"},"modified":"2024-12-11T08:10:17","modified_gmt":"2024-12-11T06:10:17","slug":"bsi-studie-sicherheit-smarte-heizkorperthermostate","status":"publish","type":"post","link":"https:\/\/certitude.consulting\/blog\/de\/bsi-studie-sicherheit-smarte-heizkorperthermostate\/","title":{"rendered":"Studie gemeinsam mit dem BSI: IT-Sicherheit von smarten Heizk\u00f6rperthermostaten"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

Certitude f\u00fchrte im Auftrag des Bundesministerium f\u00fcr Sicherheit in der Informationstechnik (BSI<\/a>) die technische Sicherheitspr\u00fcfung von smarten Heizk\u00f6rperthermostaten durch. Die aus diesem Projekt entstandene und heute ver\u00f6ffentlichte Studie zeigt auf, dass es insbesondere beim Umgang mit Schwachstellen Nachholbedarf gibt.<\/strong><\/p>\n\n\n\n

Es sollte nicht \u00fcberraschend sein, dass der Betrieb vieler kleiner, ans Internet angebundener, Computer eine Herausforderung f\u00fcr die IT-Sicherheit darstellt. Das BSI hat daher einen Fokus auf die Analyse der Produktgruppe IoT in Haushalten gelegt, konkret auf smarte Heizk\u00f6rperthermostate. In der Studie “IT-Sicherheit auf dem digitalen Verbrauchermarkt: Smarte Heizk\u00f6rperthermostate<\/a>” wurde untersucht, wie Hersteller derartiger Verbraucherprodukte mit IT-Sicherheit umgehen und welche Sicherheitsl\u00fccken in diesen Systemen schlummern. <\/p>\n\n\n\n

F\u00fcr die Studie f\u00fchrten Certitude Consulting und das Partnerunternehmen CyberDanube<\/a> technische Analysen mehrerer smarter Thermostate sowie der dazugeh\u00f6rigen Bedient-Apps durch. Im Scope der \u00dcberpr\u00fcfung waren die Hardware, Firmware sowie Mobile-Apps. Im Rahmen der Analysen wurde die Konformit\u00e4t der L\u00f6sungen gegen\u00fcber ETSI EN 303645 sowie des OWASP Mobile Application Security Testing Guide gepr\u00fcft. Identifizierte Schwachstellen wurden durch einen Coordinated Vulnerability Disclosure (CVD) Prozess an die entsprechenden Hersteller gemeldet. Die Studie enthielt au\u00dferdem eine Befragung der Hersteller, die durch die INFO GmbH<\/a> durchgef\u00fchrt wurde.<\/p>\n\n\n\n

Bei den identifizierten Schwachstellen handelte es sich beispielsweise um Cross-Site Scripting und unverschl\u00fcsselte Netzwerkkommunikation sowie unklare Berechtigungskonzepte und unzureichende Sicherheitspr\u00fcfungen.<\/p>\n\n\n\n

Neun von zehn Herstellern machten keine Angaben hinsichtlich eines garantierten Mindestzeitraumes, in welchem die Produkte mit Sicherheitsupdates versorgt werden. Zudem gibt es Verbesserungsbedarf bez\u00fcglich des Umgangs der Hersteller mit Sicherheitsl\u00fccken: Bei mehr als der H\u00e4lfte existierte keine Responsible Disclosure Policy; in einem Fall wurde festgestellt, dass Schwachstellen nicht zeitnah behoben wurden.<\/p>\n\n\n\n

Mehr zur Ver\u00f6ffentlichung<\/a> sowie die Studie<\/a> als PDF finden Sie auf der Webseite des BSI.<\/p>\n","protected":false},"excerpt":{"rendered":"

Certitude f\u00fchrte im Auftrag des Bundesministerium f\u00fcr Sicherheit in der Informationstechnik (BSI) die technische Sicherheitspr\u00fcfung von smarten Heizk\u00f6rperthermostaten durch. Die aus diesem Projekt entstandene und heute ver\u00f6ffentlichte Studie zeigt auf, dass es insbesondere beim Umgang mit Schwachstellen Nachholbedarf gibt. Es sollte nicht \u00fcberraschend sein, dass der Betrieb vieler kleiner, ans Internet angebundener, Computer eine Herausforderung […]<\/p>\n","protected":false},"author":4,"featured_media":3266,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":{"footnotes":""},"categories":[78],"tags":[632,513],"class_list":["post-3264","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-schwachstellen-research","tag-heizkorperthermostate","tag-presse-de"],"_links":{"self":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3264","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/comments?post=3264"}],"version-history":[{"count":13,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3264\/revisions"}],"predecessor-version":[{"id":3288,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/posts\/3264\/revisions\/3288"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media\/3266"}],"wp:attachment":[{"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/media?parent=3264"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/categories?post=3264"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certitude.consulting\/blog\/wp-json\/wp\/v2\/tags?post=3264"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}