Mit der wachsenden Digitalisierung und dem Einzug smarter Geräte in unseren Alltag wird die Informationssicherheit zu einem immer wichtigeren Thema. Dennoch setzen viele Hersteller von Heizkörperthermostaten ihren Fokus primär auf Funktionen, Design und Komfort, während Sicherheitsaspekte oft vernachlässigt werden. Diese Priorisierung kann dazu führen, dass Cyberangriffe erleichtert werden. Doch nicht nur die Hersteller, auch die Nutzerinnen und Nutzer selbst sollten sich der Risiken bewusst werden. Ein achtsamer Umgang und erhöhte Aufmerksamkeit für die Sicherheit smarter Geräte sind essenziell, um potenzielle Gefahren zu minimieren.
Anzeige
Nr. 1
AVM FRITZ!DECT 301 Heizkörperthermostat (Intelligenter Heizkörperregler für das FRITZ!Box-Heimnet*
- Intelligenter Heizkörperregler zum Energie sparen für das FRITZ!Box-Heimnetz, automatische und präzise Steuerung der Raumtemperatur, für FRITZ!Box mit DECT-Basis und FRITZ!OS ab Version 6.83
- Einfache Montage an allen gängigen Heizkörperventilen mit Anschlussgewinde, zusätzlicher Adapter vorhanden
- Bequeme Konfiguration über die FRITZ!Box-Benutzeroberfläche, Steuerung per PC, Notebook, Smartphone oder Tablet – auch unterwegs über das Internet und per App
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine Untersuchung zur IT-Sicherheit smarter Heizkörperthermostate durchgeführt. Ziel war es, Schwachstellen in Bezug auf Datenschutz, sichere Kommunikation und die Nutzerfreundlichkeit dieser Geräte zu identifizieren. Zehn verschiedene Produkte wurden getestet, wobei ein Großteil den europäischen Sicherheitsstandards für IoT-Geräte entspricht. Dennoch wurden Probleme wie unverschlüsselte Datenübertragung, unsichere Speicherung sensibler Informationen und mangelhafte Sicherheitsupdates festgestellt. Der Bericht zeigt, dass Verbraucher auf Sicherheitsaspekte achten sollten, um Risiken wie Cyberangriffe zu minimieren.
Anzeige
Nr. 1
AVM Fritz!DECT 302 (Intelligenter Heizkörperregler für das Heimnetz, für alle gängigen Heizkörp*
- Smarter Heizkörperregler zum Energie sparen für das FRITZ!Box-Heimnetz, automatische und präzise Steuerung der Raum- bzw. Wohntemperatur, ideal zur Erstellung eines individuellen, effizienten Heizrhytmus
- Einfache Montage und Einrichtung an allen gängigen Heizkörperventilen mit Anschlussgewinde, zusätzlicher Adapter vorhanden, nahtlose Kombination mit anderen FRITZ!-Heizkörperreglern. Produktabmessungen und Herstellerangaben zu kompatiblen Heizungsmodellen sind zu beachten.
- Verbindung mit FRITZ!Box via Tastendruck und bequeme Konfiguration über die FRITZ!Box-Benutzeroberfläche, für FRITZ!Box mit DECT-Basis und FRITZ!OS ab Version 6.83, neue Leistungsmerkmale über regelmäßige, kostenlose Updates verfügbar
Testprodukte
Das BSI hat im Rahmen seiner Studie zehn verschiedene smarte Heizkörperthermostate untersucht, die von unterschiedlichen Herstellern stammen. Hier ist eine Übersicht der getesteten Produkte:
| Produktname | Hersteller |
|---|---|
| Fritz! Dect 301 | AVM |
| Netatmo Thermostat | Netatmo |
| V3+ Basic | Tado |
| Heizkörper-Thermostat II | Bosch |
| Evo Homematic IP | eQ-3 AG |
| Hama | Hama |
| Shelly TRV | Shelly |
| ZX5280-944 | Revolt |
| HT CZ01 | Brennenstuhl |
| Kasa KE 100 | TP-Link |
Diese Geräte wurden auf Aspekte wie sichere Kommunikation, Datenschutz und Umgang mit Schwachstellen geprüft.
Anzeige
Nr. 1
tado° Smartes Heizkörperthermostat X – Starter Kit mit Bridge X, Heizungssteuerung per App und S*
- SPART ENERGIE UND KOSTEN: Mit dem intelligenten Heizungsthermostat X Starter Kit von tado°, dem Experten für smartes Heizen, sparen User im Schnitt 22 Prozent Energie ein – je mehr Räume Sie steuern, desto mehr sparen Sie
- EINFACHE DIY-INSTALLATION, AUCH OFFLINE: Dank der enthaltenen Adapter passt das Thermostat auf fast alle Heizkörperventile, wobei die robuste Metallmutter für einen stabilen Halt am Heizkörper ohne Auslaufrisiko sorgt (exklusiv mit Extra-Schablone)
- STEUERUNG PER APP: Das Thermostat bietet zahlreiche Features für Ihre Heizung wie Temperatursteuerung per App, Intelligente Zeitpläne und vieles mehr
Vorgehensweise der Untersuchung
Die Untersuchung der smarten Heizkörperthermostate erfolgte praxisnah und benutzerorientiert:
- Benutzerperspektive: Die Installation wurde von der Perspektive einer technisch unerfahrenen Person simuliert, die ausschließlich die beigelegten Dokumente oder App-Assistenten nutzt.
- Zielsetzung: Es wurde ein allgemeiner Überblick über die Sicherheitseigenschaften der Geräte und ihrer zugehörigen Apps (Android/iOS) erstellt, mit Fokus auf Informationssicherheit und Schwachstellen.
- Verwendete Tools: Zur Analyse wurden spezialisierte Werkzeuge eingesetzt:
- nmap: Erkennung von Geräten und offenen Ports.
- Nessus: Schwachstellenscans.
- Wireshark/tcpdump: Überwachung und Protokollierung des Datenverkehrs.
- Nikto/Burp Suite: Tests auf Web- und App-Sicherheitslücken.
Apps Schwachstellen
Die Untersuchung der Apps offenbarte mehrere interessante Sicherheitsaspekte:
- Unverschlüsselte Datenübertragung: Bei zwei iOS-Apps wurden Nutzerdaten unverschlüsselt übertragen, wodurch sensible Informationen für Dritte zugänglich waren.
- Cross-Site Scripting (XSS): Eine App wies eine XSS-Schwachstelle auf, die potenziell kritische Funktionen in der Bedien-App auslösen konnte.
- White-Label-Produkte: Drei Apps basierten auf einer identischen Lösung eines Drittanbieters. Hier wurde ein geheimer Schlüssel gefunden, der Netzwerkinteraktionen ermöglicht, und die Kommunikation erfolgte über Server des Originalherstellers.
- Fehlende Härtungsmaßnahmen: Manche Apps beinhalteten ungeschützte Binärkomponenten, die für Angriffe anfällig sind.
- Teilweise unverschlüsselte Kommunikation: Zwei Apps übermittelten Daten unverschlüsselt an externe Server, was die Sicherheit des Datenverkehrs gefährdet.
Anzeige
Nr. 1
KESSER® Heizkörperthermostat WiFi Heizungsregler | Heizungsthermostat WLAN mit Smart Home App Steu*
- 📱𝐈𝐍𝐓𝐄𝐋𝐋𝐈𝐆𝐄𝐍𝐓𝐄 𝐀𝐏𝐏-𝐒𝐓𝐄𝐔𝐄𝐑𝐔𝐍𝐆: Steuern Sie Ihr KESSER Heizungsthermostat bequem von Smartphone, PC oder Notebook – zuhause oder unterwegs. Passen Sie die Temperatur präzise in 0,5 °C-Schritten an und genießen Sie maximale Flexibilität für Ihr modernes Leben.
- 🗣️𝐒𝐏𝐑𝐀𝐂𝐇𝐒𝐓𝐄𝐔𝐄𝐑𝐔𝐍𝐆 MIT GOOGLE & ALEXA: Kompatibel mit Google Assistant und Amazon Alexa – regeln Sie die Raumtemperatur einfach per Sprachbefehl. Individuelle Heizphasen und Wochenprogramme lassen sich ebenso bequem einrichten, sodass Ihr Zuhause immer optimal temperiert ist.
- 🎯𝐏𝐑Ä𝐙𝐈𝐒𝐄 𝐓𝐄𝐌𝐏𝐄𝐑𝐀𝐓𝐔𝐑𝐊𝐀𝐋𝐈𝐁𝐑𝐈𝐄𝐑𝐔𝐍𝐆: Dank exakter Temperaturkalibrierung werden Ihre Räume punktgenau beheizt. Präzise Messwerte sorgen für höchsten Komfort und verhindern gleichzeitig Energieverschwendung durch Fehlmessungen.
Hardware Schwachstellen
Die Sicherheitsanalyse der Hardware ergab:
- Cross-Site Scripting im Web-Interface: Eine Schwachstelle bei einem Gerät ermöglichte potenziellen Zugriff auf sensible Nutzerdaten durch Angriffe im Kontext des Webbrowsers.
- Debug-Interfaces: Sechs Geräte hatten zugängliche Debug-Interfaces, die das Auslesen und Modifizieren der Firmware ermöglichten, was das geistige Eigentum des Herstellers gefährdet.
- White-Label-Produkte: Drei Geräte basierten auf White-Label-Lösungen, bei denen Sicherheitsupdates oft weniger flexibel gestaltet werden können.
- Firmware-Updates: Zwei Geräte luden Updates unverschlüsselt herunter und prüften nicht deren Authentizität, was Abweichungen zu ETSI EN 303 645 darstellt.
- Hardware-Schutz: Ein Gerät verhinderte aktiv das Auslesen der Firmware, was ein vorbildliches Sicherheitskonzept darstellt.
Anzeige
Nr. 1
Homematic IP Smart Home Heizkörperthermostat – Basic, digitaler Thermostat Heizung, Steuerung per*
- Die Einrichtung und Steuerung des Thermostats über die kostenlose Smartphone-App und dem gebührenfreien Cloud-Service erfordert die Anbindung an den Homematic IP Access Point; Dieses Produkt ist nicht mehr kompatibel mit der Zentrale CCU2
- Mit dem Heizkörperthermostat – basic können Sie bis zu 33 % Heizkosten sparen – durch individuelle Temperaturverläufe mit bis zu 13 Änderungen pro Tag in drei einstellbaren Heizprofilen und in Kombination mit der Fenster-auf-Erkennung mit einem Fenster- und Türkontakt
- Ersetzt mit wenigen Handgriffen herkömmliche Heizkörperthermostate – ein Eingriff in die Heizungsanlage oder das Ablassen von Wasser ist nicht nötig
Was kann ich zur Unterstützung der Sicherheit tun?
Zur Unterstützung der Sicherheit smarter Heizkörperthermostate kannst du Folgendes tun:
- Updates installieren: Regelmäßig Firmware-Updates durchführen, um Sicherheitslücken zu schließen.
- Sicherheitsbewusste Konfiguration: Werkseinstellungen überprüfen und Standardpasswörter durch starke, individuelle Passwörter ersetzen.
- Netzwerk sichern: Router mit WPA3-Verschlüsselung verwenden und IoT-Geräte in einem separaten Netzwerk betreiben.
- Apps überprüfen: Nur offizielle Apps aus vertrauenswürdigen Quellen installieren und App-Berechtigungen auf das Nötigste beschränken.
- Kaufentscheidung: Geräte wählen, die sich an Sicherheitsstandards wie ETSI EN 303 645 orientieren.
Diese Maßnahmen helfen, Risiken zu minimieren und den Schutz vor Cyberangriffen zu erhöhen.
Anzeige
Nr. 1
revolt Heizkoerperthermostate: 3er-Set Programmierbare Universal-Heizkörper-Thermostate, Display (D*
- Individuell programmierbares Heizkörper-Thermostat mit großem LCD-Display • Individuelle Programmierung für bis zu 9 Heizphasen pro Tag • Boost-Funktion für schnelles, kurzzeitiges Aufheizen des Heizkörpers • Fenster-offen-Erkennung für Energieeinsparung, Kindersicherung-Bediensperre • Einfache Aufsteckmontage mit stabilem Metall-Ring • Bis zu 24 Monate Batterielaufzeit mit Standard-AA-Batterien
- 3er-Set Energiespar-Heizkörperthermostate zum zeitgesteuerten Regulieren der Raumtemperatur • Individuelle Programmierung mit bis zu 9 Heizphasen pro Tag • Frostschutz-Automatik und Urlaubsfunktion • Einfache Aufsteck-Montage mit stabilem Metall-Ring: kein Spezialwerkzeug nötig • Großes LCD-Display für Temperatur, Heiz-/Absenk-Zeiten, Status
- Universell einsetzbar, passend für die gängigsten Ventilhersteller • Boost-Funktion für schnelles, kurzzeitiges Aufheizen des Heizkörpers • Ideal fürs Schlafzimmer dank besonders leisem Getriebe • Gewindeanschluss M30 x 1,5 mm, passend für alle gängigen Ventilhersteller: Heimeier, MNG, Honeywell-Braukmann, Oventrop, Schlösser, Comap, Valf Sanayii, Idmar, Jaga, Junkers, Pegler, R.B.M., Watts, Danfoss RA (Adapter enthalten)
TOP Vergleiche