BSI nimmt smarte Heizungsthermostate unter die Lupe
von caschy | 28 Kommentare
Die steigenden Energiepreise veranlassen viele Menschen, ihre Heizung mit intelligenten Thermostaten auszustatten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun in einer aktuellen Studie die Sicherheit dieser Geräte unter die Lupe genommen.
Das BSI untersuchte zehn zufällig ausgewählte smarte Heizkörperthermostate. Die gute Nachricht: Der Großteil der Geräte erfüllt die europäischen Basissicherheitsanforderungen für IoT-Geräte. Neun von zehn getesteten Thermostaten bestanden drei Viertel der Prüfungen nach dem ETSI EN 303 645 Standard.
Dennoch entdeckten die Experten einige Sicherheitslücken. Bei einem Thermostat fanden sie eine Cross-Site-Scripting-Schwachstelle, die Angreifer ausnutzen können, um über den Browser der Nutzer kritische Funktionen in der Steuerungs-App zu manipulieren. Ein weiteres Gerät übertrug Daten unverschlüsselt an seinen Server.
Die zugehörigen Bedien-Apps zeigten sich im Test nach dem „OWASP Mobile Application Security Testing Guide“ überwiegend sicher. Trotzdem gab es auch hier Mängel: Drei Apps speicherten vertrauliche Informationen nicht ausreichend geschützt. Zwei weitere Apps verzichteten bei bestimmten Verbindungen auf eine Verschlüsselung, wodurch sie anfällig für Man-In-The-Middle-Angriffe wurden.
Ein interessanter Aspekt der Untersuchung betrifft die Herstellung der Geräte. Drei der getesteten Thermostate und deren Apps basieren auf einer sogenannten Whitelabel-Lösung. Das bedeutet, dass verschiedene Hersteller das gleiche Grundprodukt unter ihrer eigenen Marke verkaufen. Diese Praxis birgt ein besonderes Risiko: Wird eine Sicherheitslücke in der Basis-Software entdeckt, sind gleich mehrere Markenprodukte betroffen. Für Verbraucher bleibt dabei oft unklar, wo die Geräte tatsächlich produziert werden. Schade: Die Studie nennt konkret keine Hersteller mit den Mängel-Produkten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„Schade: Die Studie nennt konkret keine Hersteller mit den Mängel-Produkten.“
Danke BSI. Ohne Nennung weiß man so viel wie vorher.
Doch. Du weißt jetzt, dass die Geräte in der Liste von einer konkreten Sicherheitslücke die dem BSI bekannt ist betroffen sein könnten. Das nützt dir zwar nichts verunsichert dich aber vielleicht. Ob das die Absicht des BSI war würde ich bezweifeln und es nützt bestenfalls den Herstellern, weil es ihnen Zeit für den Fix verschafft. Vielleicht sorgt es aber auch für das Gegenteil und macht die genannten Produkte jetzt erst recht zum Ziel. Ich verstehe die Veröffentlichung in der Form jedenfalls auch nicht.
Da man als Verbraucher keine Chance hat, die Sicherheit der Geräte zu beurteilen, bleibt beim Smarthome nur: In ein gesondertes Netz verschieben und vom restlichen Heimnetz abschotten. Manche modernen Router bieten schon von sich aus solch ein Smarthome Netz an, man muss es nur nutzen.
Das habe ich mir auch schon gedacht, nur wie greift man dann darauf zu? Wechselt man dann immer mit seinem Smartphone in das Smarthome-Netz?
Nein du wechselst nicht immer das Netz, sondern arbeitest mit Firewall Regeln und VLANs
Die komplette Architektur der Absicherung hier zu beschreiben, führt zu weit. Wenn Du Dich im Netz mit den Themen Firewall, Vlans & Co beschäftigst, findest Du Erläuterungen dazu.
Vereinfacht kann man sagen, dass Deinen untrusted Smarthome Geräten nur die Kommunikation mit einem Trusted Device als Gatekeeper erlaubt wird. Dieses Device schirmt Dein Heimnetz ab.
Bei den DECT und ZigBee Thermostaten ist man ja automatisch in einem anderen Netz.
Haben die Geräte dann nicht den Komfort von überall auf der Welt bedient werden zu können? Sowas ist ja extrem wichtig. Man muss zu Hause unbedingt die Heizung aufdrehen können, wenn man irgendwo am Strand in der Sonne liegt. 😉
Wir benutzen Geofencing bei der Heizung. Soll schließlich nur heizen, wenn auch jemand daheim ist.
Für die Regelung deiner Heizung bist du bereit permanent deinen Standort tracken zu lassen? Kann man so machen. Denen, die ständig nach Datenschutz rufen, dürfte das gar nicht gefallen. 😉
VPN.
Nicht irgend welche dubiosen Anbieter, die deinen Datenverkehr über ihre Server irgendwo im Ausland lenken, damit deinen Standort verschleiern aber auch dein Surfverhalten kennen, sondern du wählst dich von außen sicher in dein Heimnetz ein und bist dann dort unterwegs, als ob du selber im eigenen (W)LAN bist. Der deutsche Klassiker Fritzbox kann das leicht, was die Hürde im Massenmarkt deutlich reduziert. Es geht und braucht nur wenig Einarbeitung.
Und dann kannst du z. B. auf deine Daten zugreifen (Bücher, Videos,…) und auch vom Strand aus deine Anwesenheit zu Hause simulieren. Das soll ja ein paar potentielle Einbrecher abhalten.
Ohne konkrete Benennung der betroffenen Hersteller kann sich das immerhin aus Steuermittel finanzierte BSI diese Mitteilungen auch eher sparen.
Energiesparen kann man damit kaum, und bei Wärmepumpen eher gar nicht.
@Martin
Kannst du deine Aussage bitte mal erklären? Insbesondere den Teil mit den Wärmepumpen.
Oh, was habe ich dann mit meiner Heizungssteuerung die letzten 9 Jahre gemacht?
Das 1,5 Grad Ziel überschritten.
Wow! Das erreichen des 1,5 Grad-Ziels ist eine globale Aufgabe. Wie kann man sowas auf eine einzelne Heizungssteuerung herunterbrechen? Selbst wenn die einen verschwindend geringen Anteil daran hat, dass das Ziel verfehlt wird. Es ist eine falsche Schlussfolgerung.
Was mich am 1,5 Grad-Ziel stört, ist der Bezugspunkt. Man spricht vom „vorindustriellen Zeitalter“. Wollen wir ernsthaft in dieses Zeitalter zurück? Die Auswirkung der Deindustrialisierung, die gerade mal beginnt, bekommen wir doch härter zu spüren als alles andere.
Ohne die Sicherheitslücken könnte man einige Modelle gar nicht von der Hersteller Cloud loslösen und mit Opensource Lösungen wie Homeassistant usw. verwenden.
Von daher, sollten wir eigentlich froh über diese Lücken sein.
Gerade heute HomeMatic fensterkontakte bestellt, hoffe bei HMIP ist alles sauber?
Homematic IP ist vom VDE für die Datensicherheit zertifiziert und es gibt kein Kundenkonto und somit keine Kundendaten.
Und ich nutze auch RaspberryMatic anstatt diesen Access-Point, somit bin ich dann anscheinend gar nicht erst betroffen wenn es nur Cloud Zeug betrifft, dann scheint ja alles gut.^^
Ich hab schon einiges durch.. Zuerst von RWE die whitelabel Produkte die sie ~2013 oder so für hohe Preise an Kunden verscherbelt haben..
Da hat eine neu-Stellung vom Heizungsventil einfach mal eine halbe Minute gedauert. Ätzend und laut.
Zum Glück gibt’s die nicht mehr.
Dann bin ich auf die AVM Thermostate umgestiegen.
Die waren ganz nett, die API zur Steuerung über die Fritzbox ist aber sehr schlecht dokumentiert und ziemlich unflexibel.
Hab die damals mit Openhab und später iobroker bis 2020 verwendet.
Leider lassen sich bei denen nicht ohne weiteres AVM unabhängige Fenstersensoren anbinden.
Ich habe das zwar hin bekommen, das war aber recht viel Fummelei.
Es gibt tatsächlich einen „Fenster offen“ Modus, den man auf 24 Stunden setzen kann über die Fritzbox API (und auch nur über die API)
darüber kann man das mit regelmäßigem Polling ganz gut steuern.
Allerdings brauchen die auch gerne mal 10 Minuten (Gedächtniszahl) bis sie reagieren.
Mittlerweile hab ich die Zigbee Thermostate von Danfoss.
Die können problemlos per home assistant mit informationen wie dem offenen fenster oder auch externen temperatur sensoren versorgt werden und ermitteln auch automatisch die leistung des heizungskörpers.
Da steckt ziemlich viel drin und man kann sie zum manuellen einstellen sogar drehen.. (leider sehr selten sowas)
Man kann auch angeben ob der heizungskreislauf überhaupt aktiv ist etc. also einiges an Möglichkeiten.
Und sie liefern recht gute Temperatur daten.
Die sind jetzt hier im Test nicht berücksichtigt.. ich gehe aber mal davon aus, dass hier Bosch, Netatmo und AVM das rennen machen. Ich kann mich natürlich auch irren.
Können die Damfoss Themostate denn mit einem externen Temperaturfühler arbeiten?
Siehe hier: https://www.zigbee2mqtt.io/devices/014G2461.html Da gibt es viele verschiedene Einstellungen bzgl. externen Messungen für Temperaturen und gleichzeitig ist da viel Quirks dabei, den du in einer Programmierung z.B. über Home Assistant berücksichtigen musst. Ich würde da eher zu einem TRV mit weniger Quirks tendieren und dieses dann über HA oder BetterThermostat steuern.
Experten behaupten, dass einzelne Thermostate gar nicht notwendig seien. Wenn die Heizungsanlage ordentlich hydraulisch abgeglichen ist, reicht angeblich ein Außentemperaturfühler und die Anpassung der Vorlauftemperatur. Energetisch soll das weitaus erfolgreicher sein, als eine Einzelpunktsteuerung.
Der Gesetzgeber hat das im Gebäudeenergiegesetz teilweise aufgegriffen und verpflichtend den hydraulischen Abgleich von Heizungsanlagen verordnet. Weil diese Verordnung nicht überprüft wird, laufen unzählige Heizungsanlagen weiterhin ohne hydraulischen Abgleich. Mal ganz abgesehen vom Mangel an Fachkräften, die so einen Abgleich durchführen können.
Jain.
JA, ein ordentlicher hyderaulischer Abgleich macht shcon viel aus.
Aber eine Vorlauftemperaturregelung des Wärmeerzeugers nach Anforderung der einzelnen Räume ist nun mal die Fortführung dessen. Setzt aber vorraus, dass aus den gesammelten Einzelraum-Anforderungen eine vernünftige Anforderung an den Wärmeerzeuger weitergegeben werden kann. Admit dieser unabhängig von der Aussentemperatur nur die wirklich benötigte Menge an Wärme produziert.
Ich verstehe den Zusammenhang nicht?
Ich will doch auch in einer Wohnung mit hydraulischem Abgleich und perfekter Vorlauftemperatur nicht heizen, wenn das Fenster auf ist?
Oder die Heizung in einzelnen Räumen nachts runterfahren? Gerade in einer Mietwohnung in einem Mehrfamilienhaus geht genau das nur über die Heizkörper.
>> Ich will doch auch in einer Wohnung mit hydraulischem Abgleich und perfekter Vorlauftemperatur nicht heizen, wenn das Fenster auf ist?
Bei den sog. Niedrigenergiehäusern sollte man gar kein Fenster öffnen, sagen Experten. Wenn das Haus richtig konzipiert ist, erfolgt die Frischluftzufuhr auf anderen Wegen.
>> Oder die Heizung in einzelnen Räumen nachts runterfahren? Gerade in einer Mietwohnung in einem Mehrfamilienhaus geht genau das nur über die Heizkörper.
Der gut durchgeführte hydraulische Abgleich soll dafür sorgen, dass in jedem einzelnen Raum nur die benötigte Energiemenge bereitgestellt wird. Dem liegen auch empfohlene Temperaturwerte zugrunde. Auch die sog. Nachtabsenkung basiert auf solchen Empfehlungen. Energiesparen und individuelles Heizen passen demnach nicht zusammen. Deshalb wird ja auch die Energie verteuert, um den Menschen diesen Individualismus abzugewöhnen oder die Individualisten finanziell höher zu belasten. Ideologisch wird uns vorgeschrieben, bei welcher Raumtemperatur wir uns am Tag und in der Nacht wohlzufühlen haben. Man sollte sich mal seine, nach der Nebenkostenverordnung erstellte, Heizkostenabrechnung anschauen, wenn man in einer Mietwohnung oder einem Mehrfamilienhaus wohnt.