Liebe Besucher dieses Blogs, liebe Smart Home- und IoT-Freunde, was war das für ein Jahr! Im kurzen Rückblick freuen wir uns, dass wir sagen dürfen: Es war ein sehr erfolgreiches Jahr. Zum einen für uns als IoT-Testlabor, aber auch für die Sicherheit von Smart Home-Geräten und IoT-Angeboten und damit auch für alle Nutzer vernetzter Geräte. Wir möchten uns bei Ihnen, unseren Lesern, für Ihr großes Interesse an der Thematik IoT-Sicherheit bedanken. Ohne Sie wäre es für uns sicher deutlich schwerer, in Gesprächen mit Herstellern und Anbietern die Notwendigkeit umfassender und unabhängiger Produkttests deutlich zu machen. Danke!
Gleichzeitig möchten wir uns bei den Herstellern bedanken, die bereits früh die Notwendigkeit von IoT-Sicherheit und Datenschutz nicht nur erkannt, sondern von vorneherein mit uns im Sinne von „Security by Design“ und „Privacy by Design“ umgesetzt haben. Gestartet haben wir unsere Tests und die Zertifizierung sicherer IoT- und Smart Home-Produkte vor über sieben Jahren, also lange vor den Mirai-Attacken Ende 2016, die das Thema IoT-Sicherheit dann langsam auch in den Medien und im Anschluss bei staatlichen Stellen und klassischen IT-Sicherheitsunternehmen in den Fokus rückten.
Mittlerweile erfreut sich das Thema großer Beliebtheit, allerdings leider nicht nur bei seriösen Produkttestern, sondern immer öfter auch bei Unternehmen, die sich ohne ausreichende Expertise öffentlichkeitswirksam in Szene setzen und ohne relevante Tests sondern lediglich über Selbstauskunft von Herstellern deren Produkte zertifizieren. Hier liegt der Schwerpunkt leider nicht auf der Gewährleistung sicherer IoT-Produkte sondern auf dem Verkauf von Siegeln. Einige davon müssen sogar als bewusste Verbrauchertäuschung angesehen werden. Zudem droht, nach langem Tiefschlaf, eine Überregulierung von staatlicher Seite, insbesondere in Deutschland.
Pionierarbeit für IoT-Sicherheit
Offiziell starteten wir unsere seither sehr erfolgreiche Vergleichstestreihe Anfang 2014 mit der Sicherheitsüberprüfung von Smart-Home-Kits. Im Labor überprüften wir damals Produkte von eSaver, EUROiSTYLE, Gigaset, REV Ritter, RWE (heute innogy), Hama, sowie QIVICON, heute hauptsächlich als Magenta SmartHome der Telekom bekannt. Seither lassen die Hersteller Bosch, Telekom, Devolo und eQ-3 ihre Smart Home-Produkte vom Gerät über den Cloud-Service bis zur App im regelmäßigen Jahresturnus durch unser IoT-Lab überprüfen. Mit unserem Zertifikat für geprüfte Smart Home-Sicherheit garantieren wir, dass die entsprechenden Produkte gut gegen gängige IT-Angriffe gewappnet sind.
Saugroboter und Video-Klingeln im Security-Check
Seither haben sich viele Tests angeschlossen: Fitness-Tracker, IP-Kameras, Smartlocks oder Kinderuhren. Allein in diesem Jahr überprüften die Ingenieure in unserem IoT-Labor mehr als 20 Produkte in Zertifizierungs-, Einzel- und Vergleichstests. Als unabhängiges Testinstitut veröffentlicht AV-TEST die Ergebnisse zur Orientierung von Kunden und zum Austausch mit anderen Sicherheitsforschern hier im Blog sowie auf der Internetseite des Instituts.
Unter den Tests dieses Jahres waren auch zwei große Vergleichstest: Zu Beginn des Jahres nahmen sich unsere Tester das spannende Feld der zunehmend von Privathaushalten gekauften Saugroboter vor. Die Premium-Modelle der Hersteller Dyson, iRobot, Vorwerk und Xiaomi traten zum Sicherheits-Check an. Der Xiaomi-Sauger offenbarte in diesem Test grobe Sicherheitsmängel bei der Datenübertragung, der Ausleitung von Daten an Dritte, sowie beim Umgang mit Kundendaten, die massiv über die App an Drittanbieter ausgeleitet wurden.
Der zweite Vergleichstest widmete sich Ende dieses Jahres einer ebenfalls im Markt weit verbreiteten Produktgruppe: Diesmal prüften die IoT-Ingenieure die Sicherheit von Video-Türklingeln der Hersteller Arlo (Netgear), DoorBird, Nest (Google), Ring (Amazon) und Somikon. Auch dieser Test arbeitete die extremen Unterschiede in Puncto Sicherheit klar heraus. Und so zeigten zwei Produkte, nämlich die von Somikon und DoorBird, gravierende Sicherheitsmängel.
Einzeltests: Von eHealth über Kinderuhren zum Soundsystem
Auch unsere diesjährigen Einzeltests, darunter etwa der smarte Lautsprecher Sonos Play 1 sowie das Blutdruckmessgerät iCheck 7 von Braun, zeigten bereits ordentliche Umsetzungen von Verbraucherschutz auf IT-Ebene mit leichtem Verbesserungspotential. Doch wo Licht ist, ist auch Schatten beziehungsweise im Test sicherheitstechnische Komplettausfälle, deren Einsatz für Nutzer gefährliche Folgen nach sich ziehen kann. Insbesondere ist hier die Kinderuhr SMA-WATCH-M2 des chinesischen Herstellers SMA zu nennen. Sie erlaubt es Angreifern, den Standort von über 5.000 Kindern zu ermitteln und die Daten von über 10.000 Konten der Elternteile abzugreifen. Der Server des Herstellers gewährte Zugriff auf brisante persönliche Daten, darunter Name der Eltern, Name und Bild des Kindes, Namen und Nummern von Verwandten und Bekannten im Telefonbuch sowie auf Daten zur Echtzeitpositionsbestimmung und Möglichkeit der direkten Kontaktaufnahme per Anruf und Sprachnachricht. Dank breiter internationaler Berichterstattung auch über diesen Test, wurden weltweit Kunden über die gefährlichen Schwachstellen der chinesischen Kinderuhr informiert.
Steigende Zahl zertifizierter Produkte mit geprüfter Sicherheit
Im Bereich der Produktzertifizierung freuen wir uns, dass sich immer mehr Hersteller, deren Produkte auch international erfolgreich sind, auf unsere Sicherheitstests verlassen. Und es ehrt uns, dass unser Siegel „Geprüftes Smart Home-Produkt“ / „Geprüftes IoT-Produkt“ sowie das Drei-Sterne-Label unserer Schnelltests von Kunden immer häufiger als Argument bei Kaufentscheidungen herangezogen werden.
Welche Produkte von uns nach neuestem Stand der Technik geprüft und zertifiziert wurden, erfahren Sie mit genauem Prüfbericht hier im Blog sowie in der Produktübersicht auf unserer Website. In diesem Jahr waren es bereits zehn große Hersteller, die eines oder mehrere Produkte der Sicherheitsprüfung unseres IoT-Labs sowie der Beratung unserer Ingenieure anvertrauten. Wir bedanken uns bei unseren Kunden ABUS, Devolo, LUPUS, eQ-3, Qivicon (Telekom), Nuki, Easy SmartHome, RC-TEC sowie Amazons Kamerahersteller Ring für das entgegengebrachte Vertrauen.
Wir freuen uns auf das kommende Jahr mit Ihnen!
Auch für das kommende Jahr hat unser IoT-Labor bereits einige spannende Tests in Planung. Wir würden uns freuen, wenn Sie uns auch im kommenden Jahr gewogen bleiben und mit uns gemeinsam die Sicherheit von Smart Home- und IoT-Produkten vorantreiben. Fragen Sie beim Kauf von Smart Home- und IoT-Produkten IT-Sicherheit und Datenschutz direkt beim Anbieter nach. So helfen Sie uns, Sicherheit und den Schutz der Privatsphäre zu festen Größen bereits bei der Entwicklung von Produkten zu machen!
Nun verabschieden wir uns in die Weihnachtspause und wünschen Ihnen smarte Festtage und einen sicheren Rutsch ins Neue Jahr.
In Namen des gesamten IoT-Teams mit besten Grüßen,
Olaf Pursche
CCO AV-TEST Institut