Der Trend zum Einsatz von Smart Home-Produkten hat mittlerweile auch die Versicherungsunternehmen auf den Plan gerufen. In Deutschland sind die großen Versicherer vorläufig noch mit dem Schnüren von Versicherungspaketen für IoT-Dienstleistungen und -Geräte beschäftigt. Die Entwicklung in diesem Bereich vorangetrieben hat beispielsweise die Allianz, einer der größten Konzerne der Versicherungsbranche. Der Versicherer greift auf die Hardware und die IoT-Dienste eines anderen Branchenriesens, Panasonic, zurück und hat mit Allianz Assist ein Allianz-Versicherungspaket aufgelegt, welches Schutz vor Einbrüchen und bei Wasserschäden verspricht und zudem einen Schlüsseldienst enthält. Das Paket verbindet dabei Hardware von Panasonic mit den Schutzleistungen. Die Experten in unseren IoT-Laboren haben nun in einem aktuellen Schnelltest geprüft, wie es mit der Sicherheit des Panasonic Starter Kits KX-HN601 bestellt ist, welches zusammen mit dem Schutzbrief Allianz Assist erworben werden kann.

Ersteinrichtung

Bei der erstmaligen Einrichtung der Basisstation, des Hubs, müssen Nutzer ein sicheres Passwort vergeben, welches für die Registrierung von neuen Smartphones notwendig ist. Sobald ein Smartphone erfolgreich mit dem Hub verbunden ist, sind keine weiteren Einrichtungsschritte für einen Fernzugriff nötig. Da Nutzer dabei leider nur Buchstaben und Zahlen und keine Sonderzeichen verwenden können, sind sie nicht in der Lage, ein starkes Passwort zu generieren. Verwendet man dennoch Sonderzeichen, erscheint die folgende Nachricht:

Sie benötigen ein lokales Netzwerk und physischen Zugriff auf das Gerät, um die Ersteinrichtung durchzuführen. Dies gilt auch für die Kopplung zusätzlicher Telefone.
Sie benötigen ein lokales Netzwerk und physischen Zugriff auf das Gerät, um die Ersteinrichtung durchzuführen. Dies gilt auch für die Kopplung zusätzlicher Telefone.

Kommunikation zwischen Smartphone und Hub

Der Panasonic Hub kann per Fernzugriff angesteuert werden, ohne dass eine Registrierung bei Panasonic oder anderen Diensten zu erfolgen hat. Sowohl in den eigenen vier Wänden als auch von unterwegs wird die Kommunikation zwischen Smartphone und Hub mit TLS 1.2-Verschlüsselung abgesichert. Wir konnten während des Schnelltests keinen unverschlüsselten Datenverkehr feststellen. Fernzugriffe laufen über mehrere Panasonic-Server, die zusammenarbeiten, dabei eine Art Kommunikationsrelais bilden und Remote-Befehle anscheinend von der App an den Panasonic Hub und umgekehrt senden. Sowohl die Android-App als auch der Hub setzen Certificate Pinning in Verbindung mit einem eigenen Zertifikat von Panasonic ein, um Man-in-the-Middle-Attacken zu vermeiden.

Das verfügbare Firmware-Update wurde ebenfalls TLS 1.2-verschlüsselt übertragen. Eine Analyse der Firmware-Datei wurde von uns nicht vorgenommen, da die Datei nicht über andere Kanäle heruntergeladen werden konnte.

Android-App

Die Android-App namens „Panasonic Home Network” wird von Panasonic zur Steuerung und Bedienung des eingerichteten Smart Home-Systems angeboten. Der Code der App ist nicht verschleiert, somit können Angreifer relativ leicht Zugang zu sensiblen Code-Abschnitten erhalten. Wechselt man bei der App in den Debug-Modus, werden die SIP-Credentials (SIP = Session Initiation Protocol) angezeigt, welche für das Telefonieren über den Hub eingesetzt werden.

SIP-Zugangsdaten des Panasonic Smart Home Kits
SIP-Zugangsdaten des Panasonic Smart Home Kits

Das während der Erstanmeldung gespeicherte Passwort wird als Klartext in einer SQLite-Datenbank im Datenspeicher der App abgelegt; andere Apps können bei einem normalen Smartphone nicht darauf zugreifen. Sollte es sich jedoch um ein gerootetes Smartphone handeln, wären andere Apps durchaus in der Lage, das Passwort zu lesen. Angesichts der Tatsache, dass das Pairing zusätzlicher Smartphones mit dem Panasonic Hub sowohl eine lokale Verbindung als auch physischen Zugang zum Hub erfordert, sehen wir dies nicht als schwerwiegendes Problem an.

Datenschutz

Die Datenschutzerklärung von Panasonic bezieht sich nur auf die Webseite des Unternehmens. Die nur auf Englisch verfügbare Erklärung ist für 15- bis 16-Jährige leicht verständlich (Auswertung der Lesbarkeit nach der Flesch-Kincaid Reading Ease Metrik).

Die vielen allgemein gehaltenen Formulierungen haben uns Grund zu der Annahme gegeben, dass die Datenschutzerklärung nicht für Panasonic verfasst, sondern nach dem Prinzip „Copy & Paste“ zusammengestellt wurde. So wird in fast jedem Satz von „the company“ gesprochen, jedoch nicht darauf hingewiesen, dass damit auch Panasonic gemeint ist.

Weder wird eine Kontaktadresse für datenschutzrechtliche Bedenken angegeben noch werden Angaben dazu gemacht, wie lange die erfassten Daten gespeichert werden. Es fehlt das Datum der letzten Aktualisierung und es werden keine Informationen darüber bereitgestellt, welche Daten erfasst werden und zu welchem Zweck. Immerhin wird in der Datenschutzerklärung erwähnt, dass die zuletzt erfassten Daten in den entsprechenden Eingabefeldern angezeigt werden. Vor dem Hintergrund, dass die Datenschutzerklärung nur für die Webseite bestimmt ist, liegt die Annahme nahe, dass es keine solche Erklärung für die Produkte von Panasonic gibt. Sollte sie dennoch existieren, waren wir nicht in der Lage, sie auf einfachem Wege zu finden. Die Mindestanforderungen des Schnelltests von AV-Test hinsichtlich des Datenschutzes werden somit nicht erfüllt und eine positive Bewertung dieses Testabschnitts kann im Ergebnis nicht erfolgen.

Die Android-App ist sehr großzügig mit sich selbst, wenn es um ihre Berechtigungen geht; sie verlangt eine Vielzahl, von denen einige nicht für das Funktionieren der App notwendig sind:

  • Geräte- und App-Verlauf (Daten über installierte und gerade ausgeführte Apps können gesammelt werden)
  • Identität (Informationen über das Google-Account, Zweck unklar)
  • Kontakte (für die Telefon-Funktion)
  • Telefon (für die Telefon-Funktion)
  • Fotos/Medien/Dateien (für Screenshots von Webcams etc.)
  • Kamera (Zweck unklar)
  • Mikrofon (für die Telefon-Funktion)
  • WLAN (Einrichten von Verbindungen zu Geräten für die Ersteinrichtung)
  • Bluetooth (Einrichten von Verbindungen zu Geräten für die Ersteinrichtung)
  • Geräte-ID & Anrufinformationen (für die Telefon-Funktion)

Fazit

Gute Arbeit hat Panasonic bei der Umsetzung von Sicherheitsaspekten geleistet, so werden Daten beispielsweise immer verschlüsselt übertragen. Getestet wurde bei unserem Schnelltest nicht, ob Nutzerdaten sicher auf Panasonic-Servern gespeichert werden, aber geht man davon aus, dass es keine Datenschutzerklärung für das Starter Kit gibt, wäre dies ein relevantes Thema im Rahmen eines Zertifizierungstests. Das Panasonic Starter Kit KX-HN601 hat im Schnelltest 2 von 3 möglichen Sternen erhalten. Zwar konnten wir keine leicht zu erkennenden Sicherheitslücken feststellen, jedoch aufgrund der Unzulänglichkeiten in Verbindung mit der Datenschutzerklärung keine bessere Wertung abgeben. Empfehlenswert wäre hier eine schnelle Realisierung von Verbesserungen auf Seiten von Panasonic, und auf Seiten der Allianz als Versicherer sollte darauf geachtet werden, dass dies auch geschieht.