Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen der Studienreihe „IT-Sicherheit auf dem digitalen Verbrauchermarkt“ zehn smarte Heizkörperthermostate geprüft. Die Ergebnisse zeigen, dass zwar neun von zehn Geräten die europäischen Basissicherheitsanforderungen größtenteils erfüllen, dennoch gibt es in wichtigen Bereichen deutlichen Nachbesserungsbedarf.
Die Studie stellte unter anderem unverschlüsselte Datenübertragungen, unsichere Speicherung sensibler Informationen sowie Schwachstellen wie Cross-Site-Scripting fest, die potenziell für Cyber-Angriffe genutzt werden könnten. Drei Geräte und Apps basierten auf „Whitelabel-Lösungen“, was zwar eine einheitliche Konformität gewährleistet, jedoch bei Sicherheitslücken zu größeren Angriffsflächen führt. Auffällig war zudem, dass in den meisten Fällen keine transparenten Angaben über den Herstellungsort der Produkte vorlagen.
Die Untersuchung zeigte, dass neun von zehn Herstellern keine klaren Zusagen zur Versorgung der Produkte mit Sicherheitsupdates machen. Auch der Umgang mit Sicherheitslücken lässt zu wünschen übrig: In mehr als der Hälfte der Fälle existierte keine Responsible Disclosure Policy, und Schwachstellen wurden teilweise nicht zeitnah behoben. Oft fehlen zudem eindeutige Kontaktstellen zur Meldung von Sicherheitsproblemen.
In den Bedienungsanleitungen wurde die IT-Sicherheit meist unzureichend behandelt. Hinweise zur sicheren Einrichtung und zum Betrieb smarter Thermostate fehlten weitgehend. Bei der Erstkonfiguration und dem Betrieb sollten Nutzende daher eigenverantwortlich auf sichere Einstellungen achten.
Empfehlungen des BSI
Das BSI rät Verbraucherinnen und Verbrauchern, bei der Nutzung smarter Thermostate mit sensiblen Daten sparsam umzugehen und IT-Sicherheitsmaßnahmen konsequent umzusetzen. Eine klare Verantwortung seitens der Hersteller für Produktsicherheit und regelmäßige Updates ist entscheidend, um smarte Energiemanagementsysteme sicher und zuverlässig einsetzen zu können.
