Smarte Heizkörperthermostate im Test: IT-Sicherheitsrisiken und Optimierungspotenzial

Hohe Energiepreise treiben Einsatz smarter Thermostate voran

Immer mehr Haushalte setzen auf smarte Heizkörperthermostate, um Energie effizienter zu nutzen. Doch die kurzen Entwicklungszyklen vieler Produkte bergen Risiken: Oft bleibt die IT-Sicherheit auf der Strecke. Schwachstellen in Geräten und Netzwerken bieten Cyberkriminellen Angriffsmöglichkeiten – von Datenspionage bis zur Manipulation der Geräte. Aber auch ohne externe Angriffe können falsch konfigurierte Systeme zu Datenverlust führen.

BSI untersucht smarte Thermostate auf Sicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ zehn smarte Heizkörperthermostate untersucht. Die Analyse umfasste technische Sicherheitsprüfungen und Interviews mit Herstellern und Händlern. Das Ergebnis zeigt: Neun von zehn Produkten erfüllen die europäischen Basissicherheitsanforderungen (ETSI EN 303 645) in mindestens 75 % der Testfälle. Dennoch bleiben Risiken.

Sicherheitslücken bei der Nutzung smarter Geräte

Bei einem Produkt wurde eine Cross-Site-Scripting-Schwachstelle festgestellt, die Angriffe über den Webbrowser ermöglicht. Ein weiteres Gerät übertrug Daten unverschlüsselt, wodurch Informationen im Klartext sichtbar waren. Solche Lücken können Angreifern den Zugriff auf sensible Daten erleichtern oder kritische Funktionen in Apps auslösen.

Apps smarter Thermostate unter der Lupe

Die zugehörigen Bedien-Apps wurden ebenfalls geprüft. Zwar erfüllen sie weitgehend die Anforderungen des OWASP Mobile Application Security Testing Guide (MASTG), doch gab es Sicherheitsmängel: Manche Apps speicherten sensible Daten unsicher, andere verschlüsselten Verbindungen unzureichend. Schwächen bei Berechtigungskonzepten und Sicherheitsprüfungen wurden ebenfalls festgestellt.

Whitelabel-Produkte erhöhen Angriffsfläche

Drei der getesteten Geräte und Apps basieren auf einer Whitelabel-Lösung, bei der ein Drittanbieter das Grundprodukt liefert. Zwar sorgt dies für einheitliche Konformität, doch im Falle einer Sicherheitslücke vervielfacht sich die Angriffsfläche. Zudem bleibt oft unklar, in welchem Land die Produkte hergestellt wurden.

Siehe auch  Alexa Smart Home – Der Einstieg

Schwachstellen in Bedienungsanleitungen und Produktsupport

IT-Sicherheitsaspekte werden in den meisten Gebrauchsanleitungen vernachlässigt. Neun von zehn Produkten boten keine Hinweise zur sicheren Einrichtung oder Überprüfung der Konfiguration. Auch beim Produktsupport gibt es Nachholbedarf: Nur ein Hersteller garantierte Updates für einen definierten Zeitraum. Viele Unternehmen begründen dies mit hohem Aufwand und mangelnder Flexibilität.

Umgang mit Sicherheitslücken bleibt problematisch

Mehr als die Hälfte der Hersteller verfügt nicht über eine Responsible Disclosure Policy. Sicherheitslücken wurden teilweise nicht zeitnah behoben, und spezielle Kontaktstellen fehlen. Die kommende EU-Verordnung Cyber Resilience Act (CRA) wird hier künftig klare Vorgaben machen.

Tipps für den sicheren Einsatz smarter Thermostate

  • Sensible Daten sparsam einsetzen
  • Bei der Erstkonfiguration auf sichere Einstellungen achten
  • Regelmäßige Updates durchführen
  • Sicherheitsmaßnahmen in Apps und Geräten prüfen

Smarte Heizkörperthermostate können helfen, Energie zu sparen. Doch IT-Sicherheit sollte dabei nicht zu kurz kommen.

Text basiert auf einer Pressemeldung vom BSI