Ungenügende Sicherheit

BSI warnt vor smarten Heiz-Thermostaten

Hans-Christian Dirscherl ist Redakteur der PC-Welt.
Das Bundesamt für Sicherheit in der Informationstechnik hat smarte Heizkörperthermostate untersucht und erhebliche Sicherheitsmängel entdeckt.
Teils unsicher: Heiz-Thermostate auf dem Prüfstand des BSI
Teils unsicher: Heiz-Thermostate auf dem Prüfstand des BSI
Foto: Andrii Kozak - shutterstock.com

Smarte Heizkörperthermostate sind beliebt und versprechen viel Komfort, sparen aber nicht zwangsläufig Heizkosten. Jetzt hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zudem davor gewarnt, dass man sich mit den smarten Thermostaten möglicherweise auch Sicherheitslücken im smarten Zuhause einfängt.

So seien einige Thermostate schlecht gegen Hackerangriffe gesichert. Angreifer könnten Daten ausspähen und die Thermostate für kriminelle Zwecke missbrauchen.

In einem der zehn untersuchten Thermostaten war sogar eine Cross-Site-Scripting-Schwachstelle vorhanden. Darüber sind Angriffe über einen Webbrowser möglich. Ein weiteres getestetes Thermostat kommunizierte unverschlüsselt mit seinem Backend und übertrug alle Daten im Klartext. Das BSI schreibt außerdem:

Drei Produkte speicherten vertrauliche Daten auf unsichere Weise und zwei Produkte versäumten es, einzelne Verbindungen zum Schutz vor Man-In-The-Middle-Angriffen zu verschlüsseln. Hinzu kamen unklare Berechtigungskonzepte und unzureichende Sicherheitsprüfungen. Entdeckte Schwachstellen würden vielfach nicht zeitnah geschlossen.

Das BSI kritisiert zudem oftmals unzureichende Installations-Anleitungen, in denen außerdem nicht auf IT-Sicherheitsaspekte eingegangen wird. Ebenfalls ärgerlich: “Neun von zehn Herstellern machten keine Angaben hinsichtlich eines garantierten Mindestzeitraumes, in welchem die Produkte mit Sicherheitsupdates versorgt werden. Begründet wird dies u.a. mit hohem Aufwand und mangelnder Flexibilität”.

Das BSI rät “beim Umgang mit smarten Heizkörperthermostaten und deren Apps möglichst sparsam mit persönlichen und sensiblen Daten umzugehen. Bei der Erstkonfiguration und dem Betrieb smarter Heizkörperthermosthate sollten Nutzende eigenverantwortlich auf IT-Sicherheitsaspekte achten”. (PC-Welt/kk)

Zur Startseite