"Security Starter Kits" im Test Diese Smart-Home-Sicherheitssysteme sind unsicher
News folgenLaut Kriminalstatistik der Polizei gingen die Fälle von Wohnungseinbrüchen um 23 Prozent zurück, trotzdem steigt das Sicherheitsbedürfnis vieler Menschen. Viele Hersteller von Smart Home-Produkten bieten Sicherheitspakete an. Das AV-TEST-Institut hat 13 überprüft, drei fielen dabei durch.
Smart Home-Pakete zum Einbruchsschutz gibt es mittlerweile zu erschwinglichen Preisen, etwa als „Smart Home Starter Kit Security“. Damit sollen Smart Home-Basisstationen die eigenen vier Wände nicht nur komfortabler, sondern auch sicherer machen. Die meisten Geräte erfüllen gleich mehrere Funktionen: Smarte Fenster- und Türkontakte schicken bei Offenstand nicht nur Einbruchswarnungen aufs Smartphone, sondern stoppen in Kommunikation mit vernetzten Thermostaten auch unnötiges Heizen und sparen Energiekosten. Als Sirene genutzte Rauchmelder warnen Bewohner, wenn es brandgefährlich wird und können Einbrecher in die Flucht schlagen. Bewegungsmelder sorgen für gedämpftes Licht beim nächtlichen Gang ins Bad, können aber auch Einbrecher in gleißendes Licht tauchen. Die in einigen Starter Kits enthaltenen IP-Kameras dienen meist der Überwachung.
Im Unterschied zu klassischen Alarmanlagen sind die getesteten Geräte Smart Home-Basisstationen mit zusätzlicher Alarmfunktion. Im IoT-Labor des AV-TEST Instituts mussten sich 13 aktuelle Smart Home-Systeme mit Einbruchsschutzfunktion zu Preisen zwischen 50 bis über 400 Euro beweisen. Die Tester überprüften die Geräte dabei in Sachen Einbruchsschutz und-meldung und im Bereich IT-Sicherheit und Datenschutz.
Der Test offenbarte, dass die teuersten Produkte nicht immer die besten sind. So wehrte sich etwa das günstigste Produkt vom Discounter erfolgreich gegen viele Angriffsversuche der Tester, während deutlich teurere Produkte durch grobe Mängel, etwa im Sabotageschutz, bestenfalls gefühlte Sicherheit bieten.
Folgende Produkte standen bei AV-TEST auf dem Prüfstand:
Blaupunkt Q 3000, Bosch Smart Home, Devolo Home Control, D-Link DCH-107KT, eQ-3 Homematic IP, Fibaro Home Center Lite, Gigaset smart home, iSmartAlarm ISA1G Starter Pack, König Smart Security-Kit, Medion P85754 Smart Home Starter Set, Panasonic KX-HN6011 Starter Kit, Telekom/Qivicon SmartHome, Xiaomi Mijia 5 in 1.
Diese Smart Home Starter Kits bieten neben den getesteten Sicherheitsfeatures auch andere Funktionen. Bei allen Testteilnehmern handelt es sich aber ausschließlich um Produkte, die etwa als „Security Starter Kit“ Sicherheitsfunktionen bewerben. Die Tester überprüften darum nicht nur die IT-Sicherheit der Smart Home-Produkte, sondern auch die Ausfallsicherheit der Basis und der mitgelieferten Komponenten als Gesamtsystem.
Unsichere Updates, uralte Lücken
In einem Testpunkt überprüfen die IoT-Experten, ob die Datenkommunikation zwischen IoT-Gerät und angeschlossenen Onlinediensten durch Verschlüsselung ausreichend gesichert ist.
Die Security Kits von Bosch, Blaupunkt, Devolo, Gigaset, iSmartAlarm, Medion und der Telekom (Qivicon) zeigten in diesem Testpunkt keine Schwächen, die andere Hälfte des Testfelds dagegen schon. In den meisten Fällen boten nicht ausreichend geschützte Update-Funktionen Angreifern die Möglichkeit zur Manipulation. So bezog etwa das Fibaro-Produkt Updates über unverschlüsselte http-Verbindungen, während die Basiskommunikation dagegen sicher per https erfolgte.
Bei D-Link zeigte sich die Kommunikation einzelner Komponenten, insbesondere die unsichere Kommunikation einiger Kameramodelle, als klare Schwachstelle. Diese können Angreifer sowohl über das lokale WLAN als auch bei einigen Modellen über das Internet ausnutzen. Im schlimmsten Fall können Angreifer die im Netz ungeschützte Kamera zum Ausspähen der Wohnung einsetzen.
Eingriffe in die Passwort-Änderung möglich
Noch schwerwiegendere Sicherheitslecks offenbarten die Produkte von König, Panasonic und Xiaomi. Beim „Smart Security-Kit“ von König liefen nicht nur Firmware-Updates, sondern auch Sicherheitsbenachrichtigungen über unverschlüsselte Verbindungen und könnten so beispielsweise abgefangen, manipuliert oder unterdrückt werden. Bei Panasonics „KX-HN6011“ zeigte sich die Verschlüsselung anfällig für sogenannte "Downgrade-Angriffe". Auf diese Weise ist es Angreifern möglich, die eigentlich sichere Verschlüsselung aufgrund von Implementierungsfehlern auf einen unsicheren Versionsstand zurückzusetzen (Downgrade auf SSL 2.0). Bei der „Mijia 5 in 1“ von Xiaomi wiederum gelang es den Testern, über eine unverschlüsselte Verbindung in den Prozess der Passwort-Änderung einzugreifen. Dabei wurde das Passwort zwar nicht in Klartext übermittelt, jedoch lieferten abfangbare Informationen Angreifern unnötig Hinweise, die sich für Manipulationsversuche nutzen lassen.
Die Überprüfung der lokalen Kommunikation zwischen Zentrale und App überstanden nahezu alle Produkte ohne große Auffälligkeiten. Fünf Produkte, und zwar die von Blaupunkt, Devolo, eQ-3, Gigaset und iSmartAlarm, bieten entsprechende Kommunikation gar nicht an. Bei den Produkten von Bosch, Medion und Telekom stellte sich der Datenaustausch per WLAN oder Bluetooth als sicher heraus. Lediglich Fibaro, König, Panasonic und Xiaomi offenbarten Lücken, König und Panasonic sogar deutliche.
Damit nicht genug: Im Auslieferungszustand offenbart das Gerät Angreifern sperrangelweit offenstehende Telnet-, FTP- und Webserver-Ports. Diese Schlamperei auf Kosten der Sicherheit bekommen arglose Kunden allerdings nicht mit. Zu guter Letzt lassen sich diese Lücken, die dem Hersteller offenkundig unbekannt sind, nur durch ein manuell ausgeführtes Firmware-Update schließen, das allerdings zum Testzeitpunkt nicht verfügbar war. Es bleibt anzumerken, dass Angreifer auch dieses aufgrund fehlender Sicherheit auf dem Übertragungsweg manipulieren oder aufgrund der Schwächen in der internen Kommunikation jederzeit zurücksetzen könnten, so AV-TEST.
Sicherheits-App mit geheimer Weiterleitung
Bei der Sicherheit der zur Steuerung der Security Starter Kits eingesetzten Apps selbst lieferten die meisten Hersteller solides Handwerk ab. Die Mehrzahl der Apps speicherte sensible Nutzerdaten selbst verschlüsselt ab oder legte sie andernfalls in sicheren Bereichen der unter Android und iOS laufenden Test-Smartphones ab. Blaupunkt, Bosch, Devolo, eQ-3 und die Telekom sicherten die Kommunikation ihrer Apps zudem mit erweiterter Zertifikatsvalidierung gegen Man-in-the-Middle-Angriffe ab. Bei der Android-App von D-Link gelang den Testern der Zugriff auf alle Bestandteile der Firmware. Diese Informationen ließen sich allerdings nicht für direkte Angriffe nutzen.
Hälfte der Hersteller nimmt Datenschutz nicht ernst
Im Testpunkt Datenschutz erfüllten sieben von 13 Anbietern die Erwartungen der Tester mit „gut“, ein weiterer erfüllte sie immerhin mit „befriedigend“. Allerdings sind Verstöße gegen die seit Ende Mai dieses Jahres europaweit geltende DSGVO kein Kavaliersdelikt und können entsprechend geahndet werden. Nicht zuletzt darum sollten Blaupunkt, Gigaset, iSmartAlarm, König und Panasonic ihre Informationspflichten und das Auskunftsrecht ihrer Kunden deutlich ernster nehmen. All diese Hersteller schnitten bei der Überprüfung mit „ungenügend“ ab.
Patzer beim Sabotageschutz
Schlechter schnitten die Security Starter Kits im Prüfpunkt „Sabotageschutz“ ab. Nur ein einziges Produkt verdiente sich hier die Testnote „gut“. Fünf waren „befriedigend“, sieben dagegen zeigten Mängel beim Sabotageschutz. Allerdings darf hier auch nicht vergessen werden, dass es sich bei den Testkandidaten nicht um professionelle Alarmanlagen handelt, sondern um Smart Home-Systeme mit Security-Funktionalität.
Erstaunlicherweise brillierte in diesem Testpunkt ausgerechnet das „Smart Security-Kit“ von König mit einem durchdachten Konzept. Also das Gerät, das sonst in quasi allen anderen Testpunkten wegen zumeist grober Sicherheitsmängel auffiel. Das König-Gerät informierte seinen Besitzer über alle Angriffe, die im IoT-Labor von AV-TEST aufgrund des ansonsten schwachen Sicherheitskonzepts meist erfolgreich vorgenommen wurden. Selbst, und das sei anderen Herstellern zur Nachahmung empfohlen, wenn dem Gerät der Saft abgedreht wurde, war der Sabotageschutz nicht kleinzukriegen. In einem solchen Fall zog sich das „Smart Security-Kit“ den nötigen Strom aus der Pufferbatterie und setzte zuverlässig eine Warnmeldung an das Test-Smartphone ab.
Warnungen erst nach 15 Minuten
Bei den Security Kits von Fibaro, Gigaset, iSmartAlarm, Medion, Panasonic, Telekom und Xiaomi gibt es in punkto Sabotageschutz dagegen Luft nach oben. So bietet Fibaro keinerlei Abwehr- oder Meldefunktionen gegen Angriffsversuche, obwohl das „Home Center Lite“ über entsprechende eingebaute Sensorik verfügt. Gigaset leistet sich für wichtige Warnmeldungen, etwa beim Entfernen von Batterien, eine Verzögerung von über 15 Minuten. Wenn es Manipulationen an Tür- und Fensterkontakten überhaupt zur Kenntnis nimmt. Denn diese lassen sich mit einem einfachen Trick überlisten. Der Kontakt arbeitet nämlich mit einem Beschleunigungssensor, der bei langsamer Bewegung nicht auslöst. Als Angriffsschutz geht das nicht mehr durch. Das Medion-Gerät erkennt zwar nach einigen Minuten den Ausfall von Komponenten und hält das auch in einer Protokolldatei fest, benachrichtigt allerdings den Nutzer nicht. Die Geräte von iSmartAlarm, Panasonic, Telekom und Xiaomi geben keine Meldung ab, wenn Angreifer Komponenten ausschalten, abbauen, öffnen oder zerstören. So könnten Diebe die Basis vom Strom trennen und selbige dann aus dem Haus stehlen.
Das „Q 3000“ von Blaupunkt zeigte sich im Test gegen gängige Sabotageakte, etwa das Entfernen des Bewegungsmelders, gut gewappnet und schlug Alarm. Das Gerät funktioniert selbst bei Stromausfall, denn es verfügt über einen Batteriepuffer. Allerdings ist dieser mit einem Ausschalter versehen, mit dem sich das komplette System schachmatt setzen lässt. Somit wird das eigentlich gute Sabotageschutzkonzept mit einem Knopfdruck ad absurdum geführt. Die Türkontakte einiger Hersteller wiederum melden zwar, wenn das Gehäuse der Module geöffnet wird, lösen jedoch beim Abbau keinen Alarm aus. Da solche Kontakte oft nur verklebt werden, um Tür- oder Fensterrahmen nicht zu beschädigen, sollte der Sabotageschutz dringend auf die Demontage ausgeweitet werden.
Test-Fazit: Fünf gute und drei schlechte Noten
Der Test zeigt, dass sich Smart Home-Basen mit entsprechend durchdachtem Sicherheitskonzept auch als Alarmanlage eignen. Dabei handelt es sich nicht um vollwertige Alarmanlagen, sondern um eine Aufrüstfunktionalität für Smart Home-Basen. Dementsprechend offenbart das Testfeld deutliche Unterschiede zwischen den angebotenen Lösungen. Im Test von AV-TEST stellten sich fünf von 13 Security Starter Kits als sicher heraus und verdienen sich so drei von drei möglichen Sternen: „Smart Home“ von Bosch, „Home Control“ von Devolo, „Homematic IP“ von eQ-3, „SmartHome“ von Telekom sowie die „P85754“ von Medion.
Fünf weitere Security Starter Kits erhalten aufgrund leichter Mängel nur zwei von drei möglichen Sternen, besagte Mängel sollten allerdings für die „Q 3000“ von Blaupunkt, das „Home Center Lite“ von Fibaro, „smart home“ von Gigaset und „ISA1G“ von iSmartAlarm ohne größeren Aufwand zu korrigieren sein. Gleiches gilt für die „DCH-107KT“ von D-Link, allerdings waren dem Hersteller Sicherheitslücken, deren Behebung eine bessere Bewertung ermöglicht hätte, bereits seit über einem Jahr bekannt.
Mit zum Teil groben Sicherheitsmängeln und nur einem Stern können die „KX-HN6011“ von Panasonic sowie die „Mijia 5 in 1“ von Xiaomi nicht zur Überwachung der eigenen vier Wände empfohlen werden. Aufgrund extremer Sicherheitsmängel fällt das „Smart Security-Kit“ von König mit null von drei möglichen Sternen in fast jeder Kategorie dieses Tests durch und sorgt statt für mehr Sicherheit eher für das Gegenteil.
