Smarte Türschlösser: Über Mängel muss informiert werden
von caschy | 21 Kommentare
Vielleicht erinnert sich der eine oder andere unserer Leser noch an die Geschichte rund um die smarten Türschlösser von ABUS. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte 2022 vor dem Einsatz des digitalen Türschlosses „HomeTec Pro CFA3000“ des Herstellers ABUS und empfahl, das Produkt zu ersetzen.
Die Schwachstelle im Funk-Türschlossantrieb des HomeTec Pro CFA3000 führte nach Erkenntnissen des BSI dazu, dass Angreifer, die sich in der Nähe befinden, bei Ausnutzung der Schwachstelle das Funkschloss ver- und entriegeln und sich damit unbefugt Zugang zu Gebäuden, Büroräumen oder Wohnungen verschaffen können.
Die Sache war damals: Es handelte sich um ein Auslaufmodell, welches abverkauft werden sollte. ABUS nahm es aber wohl nach der Warnung nicht aus dem Handel, sondern verkaufte es weiter. Über die BSI-Warnung informierte das Unternehmen aber lediglich auf seiner Webseite mit einem knappen Hinweis auf den jeweiligen Produktbeschreibungsseiten, so die Aussage der Verbraucherzentrale, die dann gegen das Unternehmen, aber auch gegen Händler klagte, die mit einem zurückgezogenen Testurteil geworben haben.
Das Landgericht Bochum stimmte der Einschätzung des vzbv zu, wonach die Unternehmenshinweise zur BSI-Warnung unzureichend und rechtswidrig waren. Die Gerichtsmeinung war, dass es essenziell ist zu wissen, dass die Schlösser möglicherweise nicht in der Lage sind, Einbrüche zu verhindern, wenn sie mit bestimmten Tür- und Fensterantrieben verwendet werden. Diese wichtige Information dürfe den betroffenen Verbrauchern nicht vorenthalten werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Gier zerstört die Reputation.
Unverständlich warum eine so renommierte Firma wie ABUS sowas macht.
Es war/ist übrigens auch der Fensterantrieb von der Schwachstelle betroffen und auf eine Anfrage schrieb mir Abus damals folgendes:
Sie haben sich mit einer Frage zum Funk-Fensterantrieb FCA3000 an uns gewendet.
Der Funk-Fensterantrieb FCA3000 verwendet die gleiche Technologie, wie der Türschlossantrieb CFA3000.
Eine illegale Manipulation des Funk-Antriebs CFA3000 in der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erwähnten Art würde in der Praxis eine Reihe von verschiedenen und aufeinander aufbauenden Handlungen erfordern:
– Ein möglicher Angreifer muss wissen, dass das Produkt auf der (von außen nicht sichtbaren) Türinnenseite von Haus oder Wohnung installiert ist.
– Ein möglicher Angreifer muss sich, um ein entsprechendes Signal abfangen zu können, in unmittelbarer Nähe zum Produkt, zur Haustür und zum Bedienenden während des Öffnungs- bzw. Schließvorgangs befinden.
– Ein möglicher Angreifer benötigt umfangreiches und tiefgehendes elektrotechnisches Know-How sowie Equipment und Programmiererfahrung für einen „erfolgversprechenden“ Angriff.
Zudem sind die bekannten Einbruchmethoden, wie z.B. das Aufhebeln, deutlich schneller und unkomplizierter.
Die obigen Punkte zeigen, dass eine Manipulation des Schlosses nur mit einer hohen kriminellen Energie, entsprechendem Equipment und elektrotechnischem Know-how, sowie der unmittelbaren Nähe des Angreifers zum Produkt während des eigentlichen Öffnungs- bzw. Schließvorgangs stattfinden kann. Uns ist kein Fall bekannt, bei dem sich fremde Dritte auf diesem Wege unberechtigten Zutritt zu einer Wohnung oder einem Haus verschafft haben. Das gilt gleichermaßen für den Funk-Fensterantrieb.
Aus diesen Gründen kommen wir zu der Einschätzung, dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können.
Die HomeTec Pro 3100er Generation, welche Bluetooth als Funkprotokoll nutzt und darüber hinaus mit der ABUS Smart X Technologie ausgestattet ist, ist von der Warnung des BSI nicht betroffen.
Sowas lässt sich ausspionieren, in Wohngegenden per Trial & Error einfach ausprobieren oder mit einer besseren Antenne im Vorfeld automatisiert herausfinden. Dann fährt man halt ein bisschen durch die Stadt wie damals bei den unsicheren WLANs.
Ach wirklich, für einen Einbruch muss man vor Ort sein. Als würden bei klassischem Einbruch nicht auch im Vorfeld die Gegend erkundet werden. Digitale Signale abfangen ist heutzutage kein Hexenwerk mehr, kann jeder mit bisschen billiger Hardware und Anleitung aus dem Netz.
Schwächster Punkt. Mit genug krimineller Energie kann man sich das alles aneignen. Bei Autodiebstahl mit Keyless auch nicht anders. Man kann nicht darauf hoffen, dass der Angreifer nur blöd genug ist.
Was genau bedeutet das nun für Kunden, die so ein faules Ei damals von Abus gekauft haben?
Ich hab 2 von den CFA3000 .
Hatte damals ABUS mehrfach angeschrieben, die haben den Austausch verweigert und mich mit
einem Textbaustein -E-Mail abgespeist. Das keine große Gefahr bestehe.
Was Sicherheit angeht ist seid dem ABUS unten durch.
Nochmal versuchen mit Hinweis auf das Urteil. Weiß nicht, was die Dinger kosten, aber ein Anwalt den Brief schreiben lassen… dann reagieren sie meist anders und sooo teuer ist es nicht, wenn der Anwalt nur einen Brief verfasst.
Fairerweise muss man im Kontext solcher Geräte immer dazu sagen, dass wohl auch die meisten etablierten Schlösser selbst (altmodisch, mit Schlüssel) mit entsprechendem Know-How und Übung ohne große Probleme überwindbar sind – sehr aufschlussreich und teilweise fast schon verstörend aufgrund ihrer Kürze sind da die Youtube-Videos vom „Lockpicking Lawyer“. Die vermeintliche Sicherheit basiert da häufig wohl eher auf „das weiß schon keiner“ o. ä. – so dass die Aussage von ABUS, dass das realistische Gefahrenpotential gar nicht so hoch ist, wahrscheinlich sogar stimmt.
Trotzdem natürlich ein gefährlicher Trend, dass Sicherheit vernachlässigt bzw. weiterhin mit dem Argument „wir halten das alles Geheim“ gearbeitet wird. Und entsprechende „Gier“ zeigt.
ABUS ist bei mir aufgrund der ziemlich seltsamen religiösen und gesellschaftlichen Einstellungen der Eigner-Familie schon länger auf der roten Liste… aber ist ja schön zu sehen, dass es auch abseits davon gute Gründe gibt, die zu meiden.
Das verstehe ich aber auch nicht. Warum sind normale Schlösser bis heute mit Pins ausgestattet, die du mit einem Diedrich aufbekommst, wenn du trainiert bist. Wie kann das bis heute Standard sein, wenn es doch potenziell total unsicher ist. Einfach nach dem Motto… Schreibe einschlagen geht schneller, komplizierter Schlösser bringen nichts, oder wie?
Die Frage schwingt glaube ich in jedem lockpicking lawyer video mit 😉 Weil die gesamte Branche es irgendwie geschafft hat, einigermaßen geheim zu halten oder mit dämlichem Marketing zu überdecken, dass es so ist wie es ist… traurig, aber ist wohl so. Ehrlich gesagt spannend, dass das nicht längst von irgendwem mal ausgenutzt wurde, um den ganzen Markt zu überrumpeln. Aber, andererseits: das Zeug ist unsicher, und trotzdem werden nicht am laufenden Band den Leuten die Häuser leer geräumt.
LPL hat Jahre lange Erfahrung im Schlösser picken + man sieht nicht, wie viele Stunden er an einem Schloss übt, bis er das so schnell schafft. Unsichere Schlösser sind für geübte schnell gepickt. Bessere die mehr Sicherheitsmechanismen (Security Pins, Counter milling, Magnete etc) haben, benötigen stundenlange Übung oder werden progressiv gepinnt gepickt. Also bspw. Auseinandergebaut und nur mit einem Teil der Pins. Dann immer um einen Pin erhöht. Desweiteren wird das entspannt Zuhause gemacht und nicht unter Stress. Einige höherwertige Schlösser benötigen auch angepasste Picks, die Kenntnis zu dem Schloss erfordern. Letztendlich sind Schlösser ziehen, Schlagschlüssel oder andere Bypasses deutlich vorzuziehen. Lockpicking dauert halt zu lange und ist zu kompliziert.
Wenn man ein bisschen im Thema drin ist und es mal selbst ausprobiert hat, merkt man wie schwierig das ist. Auch wenn es für Einbrüche weniger geeignet ist, ist es immerhin ein schönes Hobby 🙂
Die Schwächen klassischer Schlösser sind aber bekannt. Und bessere Alternativen wie Schlösser mit 2, 3 oder sogar 4 Pinreihen existieren.
>>Zudem sind die bekannten Einbruchmethoden, wie z.B. das Aufhebeln, deutlich schneller und unkomplizierter.
Dieser Satz sagt doch schon alles. Smarte Türschlösser erhöhen nur den Komfort. Als Einbruchschutz taugen sie nicht.
ABUS hat in seiner E-Mail die Handlungskette ausführlich dargestellt, die zu einer illegalen Manipulation des Türschlosses notwendig wäre. „Uns ist kein Fall bekannt, bei dem sich fremde Dritte auf diesem Wege unberechtigten Zutritt zu einer Wohnung oder einem Haus verschafft haben.“, schreibt ABUS.
>>Die Gerichtsmeinung war, dass es essenziell ist zu wissen, dass die Schlösser möglicherweise nicht in der Lage sind, Einbrüche zu verhindern, wenn sie mit bestimmten Tür- und Fensterantrieben verwendet werden.
Eigentlich hätte das Gericht zur Auffassung kommen müssen, dass es nicht vom Fenster- oder Türantrieb abhängt, ob so ein Türschloss in der Lage ist, einen Einbruch zu verhindern. So gesehen, müsste man sämtlichen Herstellern und Vertreibern smarter Türschlösser auferlegen, einen deutlichen Warnhinweis, diesbezüglich, an ihren Produkten anzubringen. Wenn der vzbv seinen Job ernst nimmt, müsste er in dieser Richtung aktiv werden und nicht nur die Reputation eines Herstellers schädigen.
(Dieser Kommentar wurde nicht im Auftrag von ABUS erstellt und gibt alleinig meine persönliche Meinung wieder.)
Ist halt einfach Unsinn, natürlich kann der Antrieb ein erhebliches Sicherheitsrisiko sein. Was bringt mir ein sichere Tür, wenn der Schlüssel zum Schloss offen ist. Abus selbst wirbt mit maximaler Sicherheit durch seine smarten Türschlösser.
Der verweis auf illegale Manipulation ist ja wohl ein Witz. Als würde sich ein Einbrecher ans Gesetz halten.
Naja, wirklich offen war das Schloss bei fachgerechter Montage und Anwendung ja nicht. Die von ABUS skizzierte Handlungskette und das Argument, dass es einfacher sei, Türen oder Fenster aufzuhebeln, anstatt illegale Versuche zu unternehmen, das smarte Türschloss zu überwinden, sind nicht von der Hand zu weisen. Kaum jemand wird sein Haus oder seine Wohnung wie Fort Knox absichern. Die meisten Produkte zur Sicherung von Türen und Fenstern, sind kaum in der Lage einen Einbruch gänzlich zu verhindern. Sie erschweren den Einbrechern maximal die Tatausführung,
Klar, die Qualität eines Schloss definiert in den meisten Fällen auch nur wie viele Sekunden ein Einbrecher länger braucht. Zumal im Zweifel halt der schwächste Punkt nicht das Schloss, sondern die Tür o.ä. ist.
Dennoch ist ein nahezu spurenloser Einbruch, wie er nunmal digital möglich ist, eine ziemliche Katastrophe für alle. Beweise mal das einer Versicherung. Oder fühle dich da noch sicher, wenn du nichtmal weißt, ob jemand schon da war.
Für die Betroffenen ist ein Einbruch, egal ob spurlos oder mit Spuren, immer eine ziemliche Katastrophe. Das Eindringen krimineller Subjekte in den privaten Bereich erzeugt heftige und oft dauerhafte Ängste. Frag mal jemand, bei dem eingebrochen wurde. Es sind nicht die Verwüstung und die möglicherweise entwendeten Gegenstände, die das ungute Gefühl hervorrufen.
Das gehackte smarte Türschloss dürfte versicherungstechnisch eher zu den kleineren Problemchen zählen.
Das erinnert mich an die Leute, die keine Passwörter per Email senden, weil das unsicher ist und innerhalb von wenigen Minuten zu knacken sei. Wenn ich denen sage, dass ich mir selber eine Mail sende mit einem Passwort drin und die mir das sagen sollen, geht’s komischerweise nie so einfach. ABUS hat potentiell eine Sicherheitslücke aber ich denke auch, dass kein Dieb die ausnutzen würde, weil es andere Wege gibt, die einfacher sind.
Ich würde mir nie etwas smartes von einem klassichen Schließzylinder Hersteller kaufen.
Die haben keine Ahnung von Elektronik und basteln bzw. kaufen etwas zu damit sie etwas „smartes“ haben.
Nach dem Motto darfst du dir auch nie ein Elektroauto von einem Hersteller von Benzinern kaufen. Irgendwo müssen die Hersteller ja bleiben, wenn sich der Markt verändert. Also kaufen oder bauen sie Expertise auf und steigen in den Markt ein. Das kann doch sogar Mehrwert bringen, wenn klassische Zylinder mit Elektronik kombiniert werden und Wissen Synnergien erzeugt.
Ich empfehle den „LockPickingLawyer“ auf Youtube.
Die „klassischen Schließzylinderhersteller“ verstehen wahrscheinlich mehr von Technik als von
Schließzylindern 😉
Solch ein Produkt zu nutzen, stellt bestimmt ein Problem für die Hausratversicherung da. Kommt es dazu bei zu einem Einbruch, es erlischt bestimmt die Versicherungsleistung und man bleibt auf dem Schaden auch noch alleine.
Haben Sie dazu bitte eine Quelle (Az eines Urteils, LTO-Artikel etc.)?