Während sich die Welt, für viele überraschend, ein weiteres Jahr im Ausnahmezustand befand und natürlich auch wir nicht völlig unverschont geblieben sind, wurde in unserem Labor aber weiterhin getestet, analysiert und zertifiziert. Da sich nun aber auch dieses verrückte Jahr dem Ende nähert, wollen wir die Gelegenheit nutzen, auf die Tests des Jahres 2021 zurückzublicken: Welchen Stand hat das allgemeine Sicherheitsniveau? Welche Probleme konnten wir beobachten? Und wie ist der Trend? – sind die Fragen, die wir hierbei aus unserer Sicht beantworten möchten.

Die folgenden Daten basieren nur auf den 2021 durchgeführten Tests. Dabei wurden dieses Jahr über 20 Systeme hauptsächlich aus den Bereichen Smart Locks, IP Kameras, Smart Home- und Alarmsystemen unseren Sicherheits- oder gar Zertifizierungstests unterzogen. Dabei waren unter anderem und neben einigen internen Tests, die folgenden Produkte bei uns im Labor:

  • Bosch Smart Home
  • Nuki 2.0 und 3.0
  • Telekom Magenta Smart Home
  • eufyCam 2C
  • Somfy Door Keeper & TaHoma V2
  • eQ-3 Homematic IP
  • Prowise Touchscreen
  • Cosori CS158-AF

Wie immer waren unsere Tests auch dieses Jahr in die 4 großen Testbereiche Applikationssicherheit, Online-Kommunikation, lokale Kommunikation und Datenschutz unterteilt und dementsprechend geordnet wollen wir hier auch auf die einzelnen Testbereiche eingehen.

Applikationssicherheit

Wenn es sich bei dem getesteten Produkt nicht direkt um eine mobile Applikation handelt, so ist in jedem Fall immer eine mobile Applikation Teil des IoT-Systems. Zumindest ist dies bei allen von uns dieses Jahr getesteten Produkten der Fall. Über die mobilen Applikationen werden Einrichtungen durchgeführt, Fernsteuerung und Gerätekonfigurationen vorgenommen. Naturgemäß sind sie daher aus sicherheitstechnischer Sicht essentiell für jedes IoT-Produkt und damit auch großer Augenmerk in unseren Tests. Dabei untersuchen wir im ersten Schritt vor allem statisch, ob potentielle Probleme in der Implementation der App ausgemacht werden können. Diese können beispielsweise schwerwiegend sein, wie hard-coded secrets oder sich eher im Bereich von „Fehlkonfiguration“ bewegen, die mitunter auch kritische Probleme verursachen können, aber meist sehr leicht zu beheben sind oder in der Praxis aufgrund des Anwendungsszenarios nur theoretische Implikationen mit sich bringen. Wichtig anzumerken ist hier noch, dass wir Probleme, die lokale oder Online-Kommunikation betreffend, für diesen Bewertungspunkt ausklammern und in die entsprechenden Testrubriken auslagern, weil es sich dabei meist um eine Kombination aus Schwachstellen in der App und dem Gerät (oder der Hersteller-Cloud) handelt.

Insgesamt war der Sicherheitslevel der dieses Jahr geprüften Applikationen grundsätzlich als recht hoch einzuschätzen. Zwar hatten wir tatsächlich nicht eine einzige App-Kombination (aus Android & iOS App), die nicht zumindest kleinere Probleme hatte, aber dafür war die Zahl mit wirklich schwerwiegenderen Problemen vergleichsweise gering. Nur etwa 10% der Apps, die wir uns ansahen, wiesen hier Probleme auf, die man zumindest als mittelschwer bewerten müsste und nur die Hälfte davon hatte Probleme, die kritische Konsequenzen für die Systemsicherheit haben könnten.

Was wir hier typischerweise sehen, sind beispielsweise Fehler in der Konfiguration der Netzwerksicherheit. Hier stellen Android sowie iOS Optionen zur Verfügung, die es erlauben, durch korrekte Konfiguration (meist nur ein entsprechendes Flag, das gesetzt werden muss) zum Beispiel ungesicherte Internetkommunikation der App systemseitig ausschließen zu lassen – Einfacher kann man seine App kaum „secure by default“ halten. Auch wenn eine Fehlkonfiguration hier nicht zwangsläufig ein praktisches Problem bedeutet (die App kann auch „händisch“ dazu gebracht werden, ausschließlich verschlüsselt zu kommunizieren), so verschenken hier viele Entwickler doch das letzte, konsequente Quäntchen Sicherheit und machen sich außerdem das Leben schwerer als nötig.

Andere klassische Probleme in diesem Bereich gehen in eine ähnliche Richtung: Fehlende Aktivierung der Speicherzugriffmechanismen (wie beispielsweise ASLR) für verwendete Libraries, falsch oder unnötig weitläufig gesetzte Möglichkeiten, App-Inhalte mit anderen Apps zu teilen (über sogenannte Intents) oder die Verwendung von potentiell unsicheren Methodenaufrufen, die unter Umständen zu Speicherüberläufen und ähnlichen Angriffen missbraucht werden können – Alles eher im theoretischen Bereich anzusiedeln und daher in unseren Bewertungen auch meist als weniger schwerwiegend benotet.

Online-Kommunikation

Der Super-GAU für jedes IoT-System ist eine Schwachstelle, die remote, also aus der Ferne über das Internet ausnutzbar ist und Angreifern die Möglichkeit gibt, ohne räumliche Nähe Angriffe zu starten. Exakt diese Möglichkeit zu untersuchen, ist Hauptaugenmerk dieses Testbereichs und dementsprechend schwerwiegend bewertet werden hier auch potentielle Schwachstellen. Dabei untersuchen wir hauptsächlich die Kommunikation von Gerät, Applikation und Cloud, analysieren aber auch das Gerät selbst nach beispielsweise offenen Ports oder aktiven und/oder veralteten Protokollen, über die Angriffe gestartet oder Informationen erlangt werden könnten.

In diesem Bereich waren die Ergebnisse in den letzten Jahren immer eher durchwachsen und auch in 2021 änderte sich daran nicht wirklich etwas: 15% aller getesteten Produkte hatten schwerwiegende Probleme in diesem Bereich und ganze 55% mindestens kleinere Probleme, die nicht unbedingt als kritisch bewertet wurden, aber zumindest potentiell Angriffsfläche boten. Positiv ist allerdings auch zu vermerken, dass 30% der getesteten Produkte keine offensichtlichen Schwachstellen in diesem Bereich aufwiesen und von uns auf Anhieb als adäquat sicher eingeschätzt werden konnten. Außerdem positiv ist der Fakt, dass bei allen Produkten bei denen eine kritische Schwachstellen festgestellt wurde, der Hersteller erfolgreich informiert werden konnte und entsprechende Gegenmaßnahmen aufgenommen wurden. In allen Fällen reagierten die Hersteller auch ausgesprochen dankbar auf unsere Hinweise – ein Trend, den wir nur begrüßen können. Vor wenigen Jahren erlebten wir das teilweise doch noch sehr unterschiedlich.

Die klassischen Probleme, die wir in diesem Bereich feststellen, beziehen sich, wie seit jeher schon, auf die Verschlüsselung der Kommunikation. Zwar nimmt der Anteil an Produkten, die überhaupt keine Verschlüsselung verwenden, stetig weiter ab – tatsächlich hatten wir dieses Jahr überhaupt gar kein Produkt im Test, das vollständig auf Verschlüsselung verzichtete – nichtsdestotrotz liegen hier weiterhin die größten Probleme. Verschlüsselung anzuwenden ist relativ einfach, Verschlüsselung richtig anzuwenden schon schwerer: Eine verschlüsselte Verbindung über HTTPS/TLS ist nicht automatisch vollkommen sicher, nur weil sie auf diese Protokolle zurückgreift. Auch hier müssen noch bestimmte Punkte bedacht werden, damit diese Protokolle auch wirklich ihre volle Sicherheit bieten können und der wichtigste Punkt sind Zertifikate. Hier können wir in der Praxis oft beobachten, dass die Zertifikatsvalidierung, die beim Verbindungsaufbau stattfinden muss, um zumindest für den Client die Identität des Servers nachprüfen zu können, nicht immer korrekt umgesetzt ist. Die Folge ist, dass der Client (das Gerät oder die mobile Applikation) nicht nachprüfen kann, ob es zu einem bestimmten Zeitpunkt tatsächlich mit dem gewünschten Host (Hersteller-Server/-Cloud) kommuniziert. Die Folge ist eine Anfälligkeit für Man-in-the-Middle-Angriffe und die Möglichkeit, verschlüsselte Verbindungen auszuhebeln, ohne dass der Nutzer davon etwas merkt. Mit den abgegriffenen Daten kann ein Angreifer so im schlimmsten Fall vollen Zugriff auf Nutzerkonten erlangen.

Ein zweites schweres Problem, was wir hier sehen, ist die Verwendung von schwacher Verschlüsselung. Dabei handelt es sich meist um eine Verschlüsselung, die der Hersteller selbst entwickelt hat, weil es entweder günstiger, einfacher oder beides war als auf existierende Protokolle zurückzugreifen. In der Praxis erweisen sich diese selbst entwickelten Verschlüsselungsprotokolle dann aber meist als fehlerbehaftet – was auch kein Wunder ist. Existierende Verschlüsselungsprotokolle wie TLS wurden tausende Male peer-reviews unterzogen, in unzähligen Versionen nachgebessert und sind trotzdem niemals vollkommen sicher. Ein einziger IoT-Hersteller, im ersten Anlauf, hat da erst recht keine Chance, gleich einen unfehlbaren Treffer zu landen. Die Folge ist dann ein, mit dem richtigen Wissen, leicht zu brechender Algorithmus und wiederum unzureichend geschützter Zugang zu sensiblen Daten.

Lokale Kommunikation

Für den Testbereich der lokalen Kommunikation gibt es dann zwei Aspekte zu betrachten: Zum einen wird auch hier wieder die Netzwerkkommunikation des Gerätes und der mobilen Applikationen betrachtet (nur eben nicht über das Internet und die Cloud sondern nur unter einander im selben Netzwerk) und zum anderen etwaige andere Nahfunkkommunikation (hauptsächlich Bluetooth). Eine Schwachstelle in diesem Testbereich stellt sich meist weniger schwerwiegend dar, da das Angriffsszenario (Angreifer muss vor Ort und/oder schon Zugang zum Netzwerk haben) schlicht praktisch weniger relevant ist. Nichtsdestotrotz können auch hier abhängig vom Anwendungsszenario bestimmte Schwachstellen schwerwiegende Konsequenzen mit sich bringen.

In den diesjährigen Tests zeigte sich für diesen Bereich prinzipiell ein recht positives Bild: 40% der getesteten Produkte wiesen hier überhaupt gar keine auf Anhieb erkennbaren Schwachstellen in diesem Bereich auf. Weitere 30% hatten zwar Mängel im niedrigeren bis mittleren Schweregrad, aber aufgrund der vorliegenden Anwendungsszenarien und den resultierenden Bedrohungen hielt sich auch hier die praktische Gefahr doch in sehr überschaubarem Maße. Lediglich bei 10% der getesteten Systeme musste eine Schwachstellen mit schwerwiegendem Einfluss bescheinigt werden. Bei den restlichen 20% war die lokale Kommunikation nicht Fokus der Untersuchung oder schlicht nicht existent.

Die Probleme, die wir hier vermehrt sehen, sind den Netzwerkverkehr betreffend naturgemäß sehr ähnlich zu denen der Online-Kommunikation. Wie bereits erwähnt, haben derartige Problem auf der LAN-Ebene allerdings meist deutlich weniger schwere Konsequenzen. Trotzdem werden wir hierbei nicht müde, den Herstellern zu erklären, dass auch hier eine adäquate Absicherung herrschen muss – ein einziges anderes kompromittiertes Gerät im Netzwerk und der Angreifer kann schon vor Ort sein.

Was die Bluetooth-Kommunikation angeht, sind die beobachteten Probleme meist ebenfalls auf einen recht unbedarften Umgang mit dem zugrunde liegenden Protokoll verbunden, dass standardmäßig keinerlei Sicherheitsmechanismen implementiert und daher vom Hersteller für seine Lösung selbständig erweitert und abgesichert werden muss. Das geschieht leider nicht immer mit voller Konsequenz. Typische Probleme sind hier die Möglichkeit von DoS-Angriffen, die auch wenn der Angreifer hierüber keine direkt Steuerung vornehmen kann, er zumindest die Steuerung durch den legitimen Nutzer stören kann. Bei einem typischen Bluetooth-Gerät, wie beispielsweise einem Smart Lock kann das schon mehr als nur ärgerlich sein. Abgesehen davon muss auch Bluetooth-Kommunikation verschlüsselt werden, um ein ausreichendes Sicherheitsniveau zu bieten und auch in diesem Punkt treten wieder bekannte Probleme, wie etwa selbst entwickelte und fehlerbehaftete Verschlüsselung in Erscheinung.

Datenschutz und Privatsphäre

Der Testbereich, der seit Jahren nun immer weiter in den Vordergrund tritt und auch bei unseren Tests jedes Jahr größeren Einfluss nimmt, ist natürlich der Datenschutz. Mit jedem Jahr können wir hier beobachten, wie IoT-Geräte ihre ohnehin schon weitreichenden Datenerfassungsfähigkeiten weiter ausbauen. Im Prinzip ist dies allein auch kein Problem, solange der Nutzer vollumfänglich darüber informiert wird und ihm dadurch die Möglichkeit gegeben wird, sich bewusst für die Nutzung eines bestimmten Produktes mit all seinen datenschutztechnischen Implikationen zu entscheiden. Um in dieser Frage eine fundierte Aussage treffen zu können, untersuchen wir erst einmal die grundsätzlichen Datenerfassungsfähigkeiten eines Produktes. Welche Sensorik ist verbaut? Sind Tracker in den Apps integriert? Wenn ja, was können diese Tracker und wofür werden sie verwendet? Werden im Betrieb Daten erfasst, die offensichtlich nicht für die eigentliche Funktionalität erfasst werden müssten? usw. Anschließend betrachten wir die zum Produkt gehörige Datenschutzerklärung, gleichen unsere Erkenntnisse mit den dort ausgeführten Informationen ab und nehmen darauf basierend unsere Bewertung vor.

Obwohl das Thema Datenschutz gerade in den letzten Jahren an Bedeutung gewonnen hat, ist er nach wie vor ein eher problembehafteter Punkt. So hatten wir dieses Jahr in unseren Tests nur ein einziges Produkt, bei dem unsere Tester wirklich überhaupt nichts anzumerken hatten. Dem entgegen stehen 75% Anteil an Produkten bei denen wir mindestens kleinere Punkte zu beanstanden hatten. Bei dem Rest waren es sogar gravierende Probleme, die wir feststellen mussten. Der Grund dafür liegt sicher auch in der immer noch (relativ) jungen DSGVO und den damit gestiegenen Anforderungen, an die sich nicht alle Hersteller bisher anpassen konnten. Zum anderen wird dem Thema aber auch oft noch nicht ausreichend viel Aufmerksamkeit geschenkt.

Das größte und häufigste Problem in diesem Bereich sind in den meisten Fälle schlicht fehlende und/oder unvollständige Informationen – und dies dann in unterschiedlichen Schweregraden. Dabei bewerten wir besonders hart, wenn Informationen zu Datensammlung, -verarbeitung und -aufbewahrung fehlen und das erst recht, wenn wir in unseren praktischen Tests deutlich beobachten konnten, dass offensichtlich Daten erhoben wurden. Auch Informationen zu integrierten Tracking-Modulen, die heutzutage in praktisch jeder App enthalten sind und weitreichende Fähigkeiten zur Nutzeranalyse mitbringen, fehlen häufig – Was ebenfalls Verdacht erweckt, aber nicht unbedingt immer auf eine Verschleierungsabsicht zurückzuführen ist. Oft wird es schlicht vergessen und ebenso oft war dem Entwickler überhaupt nicht bewusst, welche zusätzliche „Funktionalität“ er über die Integration einzelner Tracker und SDKs in seine Applikation einbringt. Insgesamt sehen wir in diesem Bereich, auch wenn er noch relativ oft Probleme erkennen lässt, einen durchaus positiven Trend – Vor einigen wenigen Jahren sah das Ganze noch um einiges düsterer aus.

Fazit

Auch wenn in diesem Jahr (wie zu erwarten) natürlich nicht alle Sicherheitsprobleme der IoT-Welt gelöst wurden, so können wir doch aus unserer Sicht feststellen, dass trotz aller festgestellten Schwachstellen und Sicherheitslücken, das allgemeine Sicherheitsniveau weiterhin zunimmt. Hier und da sehen wir immer noch für heutige Verhältnisse unnötige Fehler, aber im großen Ganzen bekamen wir dieses Jahr ein recht optimistisch stimmendes Bild vermittelt. Zugegeben haben wir uns dieses Jahr bei unseren Tests auch eher im qualitativen Bereich des IoT bewegt und sind daher sicher auch ein bisschen von den wirklich schwarzen Schafen der Produktpalette verschont geblieben – Vielleicht ein Impuls für uns, nächstes Jahr auch wieder vermehrt nach diesen Produkten Ausschau zu halten. In jedem Fall aber wird wieder getestet und zertifiziert!

In diesem Sinne wünschen wir Allen fröhliche Weihnachten, entspannte Feiertage und einen guten Rutsch in ein neues (hoffentlich normaleres) Jahr 2022!