tado° ist im Bereich der Heizungssteuerung eine Referenz, über die man unweigerlich stolpert, wenn man seine Heizung bzw. die Heizkörper smart machen will. Neben Energieeinsparungen wird auch ein deutlicher Komfortgewinn versprochen. Ob tado° auch im Bereich Sicherheit und Datenschutz punkten kann, erfahren Sie im folgenden Testbericht.

tado° App

Technische Daten

Im Rahmen des Tests standen uns sowohl das Raumthermostat als auch Heizkörperthermostate zur Verfügung. Alle Thermostate messen sowohl Luftfeuchtigkeit als auch Temperatur. Auch wenn die App es vermuten lässt, verfügen sie nicht über Luftqualitätssensoren. Die Luftqualitätsdarstellung wird nur auf Basis des Zeitpunkts des letzten Lüftens (Erkennung eines Temperaturabfalls im Raum) und der Temperatur/Luftfeuchtigkeit angezeigt. Neben der Erkennung offener Fenster wird auch die Wettervorhersage in die Heizungssteuerung einbezogen.

Die Thermostate sind über 868 Mhz Funk mit der Bridge verbunden. Als Übertragungsprotokoll wird 6LoWPAN genutzt, eine IPv6-basierte Funkübertragung mit optionaler AES-Verschlüsselung. Diese ist laut Informationen des Herstellers aktiviert.

© tado°

Die Bridge wird per Ethernet-Kabel angeschlossen und verbindet alle Geräte mit dem Internet – eine direkte Steuerung der Thermostate ist abseits von Apple Homekit nicht möglich, sondern wird immer über die Server des Herstellers geleitet.

Einem in der tado° App angelegten Zuhause können bis zu 25 Geräte (Thermostate/Sensoren/Klimasteuerungen) und bis zu 100 Personen hinzugefügt werden. Anhand der Personen ist eine Steuerung der Heizung/Klimaanlage auf Anwesenheitsbasis möglich, dies setzt seit geraumer Zeit aber ein Abonnement/In-App-Kauf voraus.

App

Im Rahmen einer statischen und dynamischen Analyse haben wir uns die tado° App (Android, iOS) näher angesehen. Neben einigen Drittanbietermodulen wurden zwei Tracker (Google Firebase, Crashlytics) in der App identifiziert. Auf beiden Plattformen (Android & iOS) sollte tado° die Build-Einstellungen der App kontrollieren – hier ist beispielsweise unverschlüsselte Kommunikation zu Tado-Servern erlaubt. Auch wenn dies im Test nicht aufgezeichnet werden konnte, sollten die Optionen geprüft werden. Die Android-App schreibt ein umfangreiches Protokoll in den geschützten App-Bereich. Da es keine sicherheitsrelevanten Informationen enthält, werten wir dies aber nicht negativ.

Historie der letzten Heizaktivität

Online-Kommunikation

Die Kommunikation der Bridge und der App war zu jeder Zeit TLS1.2-verschlüsselt und so vor Einblicken Dritter wirksam geschützt. Die genutzte Tado° API ist nicht offiziell dokumentiert, aber wurde größtenteils offengelegt.

2-Faktor-Authentifizierung wird nicht unterstützt, der im August 2019 eingereichte Vorschlag der Implementation bisher auch nicht beantwortet. Auf den ersten Blick mag es sich bei Tado° nicht um ein kritisches System handeln, allerdings könnte ein Passwort-Leak ausreichen, um nicht nur Heizkörper, sondern auch Heizungsanlagen zu kapern.

Datenschutz

Die Datenschutzerklärung von tado° informiert leicht verständlich über alle wichtigen, datenschutzrelevanten Themen. Es ist transparent dargestellt, welche Daten aufgezeichnet werden und zu welchen Zwecken sie verwendet werden. Leider fehlt in der Datenschutzerklärung ein Erstellungs- bzw. Gültigkeitsdatum.

Die Aufzeichnung von Nutzungs- und Diagnosedaten kann in der App deaktiviert werden. Google Firebase und Crashlytics sind als Tracker in der App erkannt worden, diese wurden nach Deaktivierung des Schalters nicht mehr angesprochen. Tado° sichert sich das Recht zu, alle erfassten, persönlichen Daten im Rahmen der Weiterentwicklung der Produkte sowie Fortbildung des Personals zu nutzen. Warum für diese Zwecke nicht mit anonymisierten Daten gearbeitet wird, ist unklar.

Die meisten aufgezeichneten Daten werden dauerhaft gespeichert, Standortdaten nach 2 Wochen gelöscht. Die Verarbeitung findet hauptsächlich bei Amazon Web Services innerhalb der EU statt. Tado° sichert sich zusätzlich noch das Recht, Daten außerhalb der Europäischen Union zu verarbeiten.

Fazit

Die tado° Produkte konnten uns in unserem Test überzeugen – zumindest war es im Home Office immer optimal temperiert. Im Bereich der App sind uns Kleinigkeiten aufgefallen, die sich der Hersteller einmal ansehen sollte. In puncto Datenschutz würden wir uns Anpassungen wünschen, die sowohl Transparenz als auch Nutzervertrauen stärken können.