Bereits zum 4. Mal in Folge besteht das „Homematic IP“-System die umfangreichen Prüfungen zum Erhalt des AV-TEST-Zertifikats. Bereits im ersten Durchlauf der Zertifizierungstests überzeugte das Produkt des deutschen Herstellers eQ-3 unsere Laborexperten wieder mit hohen Sicherheitsstandards und gutem Datenschutz. Was sich im Vergleich zum Vorjahr geändert hat und warum die Lösung nach wie vor das von uns bereits mehrfach zertifizierte Sicherheitsniveau bietet, klärt folgender Testbericht.
Mobile Applikationen
Die mobilen Applikationen in den getesteten Versionen 2.0.6 für Android (de.eq3.pscc.android) und 2.0.1 für iOS (de.eq3.pscc.HomematicIP) offenbaren in der statischen und dynamischen Analyse keine praktisch nutzbaren Schwachstellen. Lediglich theoretisch gibt es Anlass zur Optimierung: So könnten für eine zusätzliche Anhebung des ohnehin guten Sicherheitsniveaus zwei binäre .so-Dateien der Android-Version ASLR (address space layout randomization) aktiviert werden und in der iOS-Version wäre eine Optimierung der APIs möglich. Eine tatsächliche, praktische Bedrohung durch diese Punkte besteht unserer Einschätzung nach allerdings nicht. Beide App-Versionen überzeugen mit hohen Sicherheitsstandards.
Lokale und Online-Kommunikation
Für die Analyse der IT-Sicherheit von Homematic IP Access Points sowie der dazugehörigen Applikationen wurden die Hardware sowie auch die Applikationen, wie üblich, einigen Scans sowie einer dynamischen Untersuchung unterzogen. Auch hier schlug sich die Lösung von eQ-3 überzeugend: Der Scan des Homematic IP Access Points ergab dabei keine Indizien für mögliche Einfallstore, was wirklich nur in seltenen Fällen vorkommt. Es konnten weder Fehlkonfigurationen oder veraltete Protokollverwendungen noch Systeminformationslecks in irgendeiner Form identifiziert werden.
Auch bei der weiteren Analyse von Access Point und App fiel prinzipiell nur ein Punkt auf: Beim Start des Gerätes wird ein lookup vorgenommen, um den zu kontaktierenden Server zu identifizieren. Dieser lookup wird über unverschlüsseltes HTTP durchgeführt, könnte theoretisch also manipuliert werden. Die Möglichkeit jedoch, dass Angreifer auf diesem Weg Zugriff auf das Gerät erlangen, kann ausgeschlossen werden. Insgesamt gibt es also auch in diesem Bereich keinen Grund für Kritik.
Datenschutz
Auch im sensiblen Bereich Datenschutz zeigte sich Homematic IP bisher immer vorbildlich. Und auch in diesem Jahr knüpft sie im umfangreichen Privacy-Test nahtlos an die Ergebnisse der Vorjahre an: Das System arbeitet nach wie vor äußerst datensparsam, benötigt keine Registrierung zur Verwendung und erfasst und speichert nur Daten, die zur Gewährleistung der Funktionalität notwendig sind – das ist vorbildlich. Die dazugehörige Datenschutzerklärung vermittelt alle wichtigen Informationen zu Datensammlung, -verarbeitung und -speicherung, ist leicht verständlich formuliert und kann auch jederzeit über die Applikation eingesehen werden.
Um überhaupt eine Kleinigkeit zur Beanstandung zu finden, weisen wir darauf hin, dass die Datenschutzerklärung über die entsprechenden Links in Playstore und Apple Store nicht abrufbar war, da die Links zum Testzeitpunkt nicht auf eine valide Adresse verwiesen. Dieses kleine Problem wurde durch den Hersteller allerdings innerhalb kürzester Zeit behoben.
Fazit
Wie auch in den vergangenen Jahren durchläuft das „Homematic IP“-System von eQ-3 mit großer Gelassenheit und Bravour die AV-TEST Zertifizierungsprozedur. In allen relevanten Bereichen attestieren wir dem Produkt ein durchdachtes Sicherheitskonzept mit entsprechend guter Umsetzung. Lediglich eine geringe Anzahl an Schönheitsfehlern konnte identifiziert werden, die aber praktisch nicht ausnutzbar sind.
Alles in allem auch im vierten Anlauf wieder eine überzeugende Vorstellung und damit, auch für das neue Jahr, verdient das Zertifikat „Geprüftes Smart Home Produkt“.
Previous article 
