
Smarte Heizkörperthermostate versprechen eine optimale Temperaturregelung und können bestenfalls die Heizkostenrechnung senken. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) jetzt in einer umfangreichen Marktbeobachtung festgestellt hat, gibt es bei diesen Smarthome-Geräten aber eine Reihe von Sicherheitslücken.
Mehrere Hersteller reagieren nicht
Die meisten der gefundenen Mängel stellen laut BSI zwar keine unmittelbare Bedrohung für Verbraucher:innen dar. Die Sicherheitsexpert:innen weisen aber darauf hin, dass mehrere betroffene Hersteller nicht oder nur unzureichend auf die Ergebnisse reagiert hätten.
Insgesamt hat das BSI zehn verschiedene Thermostat-Modelle genauer untersucht. Allgemein, so die Behörde, werde die IT-Sicherheit bei vielen Smarthome-Anwendungen, wie etwa smarten Heizkörperthermostaten, nachrangig behandelt. Dabei böten schlecht abgesicherte Geräte Cyberkriminellen potenzielle Angriffsmöglichkeiten.
Schwachstellen bei der Datenübertragung
Bei der BSI-Untersuchung stellte sich heraus, dass Schwachstellen insbesondere im Bereich der Datenübertragung existierten, wie die Behörde mitteilt. In zwei Fällen erfolgte etwa die Übermittlung sensibler Informationen ohne Verschlüsselung. Bei drei weiteren Produkten wurden vertrauliche Daten auf unsichere Weise gespeichert.
Zudem wurden bei zwei untersuchten Geräten die Firmware-Updates über eine unverschlüsselte Verbindung heruntergeladen. Das könnte laut dem BSI für Manipulationen verwendet werden. Auch die Ablage von Zugangsdaten erfolgt demnach nicht immer sicher.
Gespräche mit Herstellern und Händlern
Zusätzlich zu den Untersuchungen der smarten Heizkörperthermostate führte das BSI eigenen Angaben zufolge Interviews mit Herstellern und Händler:innen. Ziel war es, bei Smarthome-Geräten Security-by-Design in der Produktentwicklung sowie Security-by-Default in den Produkten selbst zu etablieren, wie es in dem BSI-Bericht heißt.
Nur drei der zehn per Zufallsprinzip ausgewählten Thermostate-Anbietern waren allerdings zu einer konstruktiven Zusammenarbeit bereit. Diese nahmen die identifizierten Schwachstellen ernst und behoben etwa spezifische Sicherheitslücken.
Andere zweifelten die Ergebnisse an oder verwiesen auf White-Label-Partnerfirmen. Vier Hersteller reagierten gleich gar nicht auf die vom BSI übermittelten Testergebnisse.
Schwachstellen anonymisiert, Hersteller nicht genannt
Für Verbraucher:innen bietet sich in dem fast 100-seitigen Bericht aber kein Anhaltspunkt für eine mögliche Kaufentscheidung. Denn die Schwachstellen wurden anonymisiert dargestellt und die Hersteller nicht genannt.