Ihr direkter Kontakt zu unserer
IT-Beratung:
Tel.: 05251/540195-10
Ihr direkter Kontakt zu unserem
technischen Support:
Tel.: 05251/540195-40
Ihr direkter Kontakt zu unserer
Zentrale:
Tel.: 05251/540195-0
18. Dezember 2024
Risiken und Schwachstellen: BSI untersucht IT-Sicherheit smarter Heizkörperthermostate
Passend zur kalten Jahreszeit hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die IT-Sicherheit von smarten Heizkörperthermostaten unter die Lupe genommen. Im Rahmen dieser Untersuchung wurden insbesondere die Aspekte rund um die IT-Sicherheit solcher Systeme beleuchtet.
Herausforderungen der IT-Sicherheit im Smart-Home-Bereich
In ihrer Analyse erläutert das BSI, dass Smart-Home-Geräte wie Heizkörperthermostate oft kurze Entwicklungszyklen haben. Dabei wird der IT-Sicherheit häufig weniger Bedeutung beigemessen als anderen Produkteigenschaften. Diese Praxis führt dazu, dass viele Produkte keinen ausreichenden Schutz gegen Hackerangriffe bieten. Bei Angriffen könnten Cyberkriminelle kompromittierte Geräte missbrauchen, um personenbezogene Daten abzugreifen oder um DoS-Angriffe durchzuführen. Selbst ohne böswillige Angriffe können fehlerhafte Konfigurationen zum ungewollten Informationsabfluss führen. Um Hersteller zu ermutigen, Sicherheitsstandards wie Security-by-Design und Security-by-Default zu berücksichtigen, führte das BSI Gespräche mit Herstellern und Händlern.
Umfang der Untersuchung
Das BSI führte eine technische Untersuchung von zehn zufällig ausgewählten smarten Heizkörperthermostaten durch. Diese Untersuchung umfasste die Analyse der Geräte selbst und der zugehörigen Apps, also des gesamten Ökosystems. Die Behörde entwickelte hierfür ein spezielles Prüfkonzept. In Fällen entdeckter Schwachstellen strebt das BSI eine kooperative Zusammenarbeit mit den Herstellern an und verfolgt eine Responsible-Disclosure-Strategie.
Ergebnisse und Schwachstellen
Bei der Analyse des Netzwerkverkehrs und der statischen und dynamischen Inspektion der Apps zeigten sich erhebliche Schwächen. Keine der Apps war für den Einsatz in Hochsicherheitsszenarien konzipiert. Zwei Hersteller versäumten es, die Datenübertragung ihrer iOS-App zu verschlüsseln. Eine weitere App wies eine Cross-Site-Scripting-Lücke auf. Maßnahmen wie Zertifikatspinning, um Man-in-the-Middle-Angriffe zu erschweren, wurden kaum umgesetzt. Außerdem verwendete keine der untersuchten Apps biometrische Authentifizierungsoptionen. Einige Apps speicherten Zugangsdaten nicht sicher, drei der getesteten Apps stammten von einem OEM-Design aus China und hatten nahezu identische Sicherheitsmängel.
Hardware- und Firmwareuntersuchungen
Die Hardwareprüfung zeigte, dass bei sechs der untersuchten Geräte die Debug-Schnittstellen frei zugänglich waren. Dies ermöglichte es, die Firmware leicht auszulesen und zu verändern. Während das BSI hier weniger Risiko für Endkunden, aber ein potenzielles Risiko für das geistige Eigentum der Hersteller sah, stellte die Behörde fest, dass einige Hersteller Daten nahezu unverschlüsselt über das Netzwerk übertragen.
Schlussfolgerungen und Empfehlungen
Am Ende der Analyse fasst das BSI zusammen, dass Nutzer smarter Geräte Risiken ausgesetzt sind. Obwohl die meisten Schwachstellen nicht unmittelbar bedrohlich erscheinen, können sie bei Ausnutzung durch Angreifer erhebliche Konsequenzen für die Privatsphäre und Sicherheit mit sich bringen. Hersteller sind aufgerufen, ihre Sicherheitsmaßnahmen zu verbessern und anerkannte Standards umzusetzen, um einen besseren Schutz zu gewährleisten.
Ein umfassendes 93-seitiges PDF bietet Herstellern, Händlern und Interessierten zahlreiche Empfehlungen zur Verbesserung der IT-Sicherheit bereits im Entwicklungsprozess. Dabei sind die Ergebnisse anonymisiert, sodass spezifische Schwachstellen nicht einzelnen Herstellern oder Produkten zugeordnet werden können.
Zugangsdaten, die versehentlich online gelangen, sind weiterhin ein ernsthaftes Sicherheitsproblem. Der jüngste Secrets Sprawl-Report von GitGuardian zeigt, dass hartecodierte Zugangsdaten nach wie vor eine große Herausforderung in Entwicklerumgebungen darstellen. Millionen von Zugangsdaten werden jedes Jahr öffentlich. Besonders alarmierend ist die Rolle, die KI-Tools und Container-Infrastrukturen bei der Verbreitung dieser Daten spielen.
Die Digitalisierung hat für die zukünftige Bundesregierung höchste Priorität. Der Koalitionsvertrag verspricht umfangreiche Maßnahmen, die sowohl die Modernisierung der Verwaltung als auch den Ausbau digitaler Infrastrukturen und die Verbesserung der IT-Sicherheit umfassen. Unternehmen sollten die geplanten Veränderungen aufmerksam verfolgen, da sie auch wichtige Schnittstellen zur Wirtschaft betreffen.
Freie Software, die inzwischen in nahezu allen Wirtschaftsbereichen genutzt wird, hat laut einer Studie der Harvard Business School und der University of Toronto einen geschätzten ökonomischen Wert von 8,8 Billionen US-Dollar. Trotz Herausforderungen zeigen Unternehmen wie Red Hat und SoftMaker, wie wichtig und weit verbreitet Open Source Software in der digitalen Wirtschaft ist.
Microsoft hat angekündigt, den Betrieb von Skype am 5. Mai 2025 einzustellen. Der 2003 gestartete Service avancierte rasch zu einer der beliebtesten Plattformen für Internettelefonie. Microsoft empfiehlt den Umstieg auf Teams, da Chats und Kontakte automatisch übertragen werden. Alternativen wie WhatsApp, FaceTime und Zoom haben teils durch Kritik an Skype an Beliebtheit gewonnen. Anbieter wie Auerswald und GoTo bringen neue Lösungen und Innovationen auf den Markt. Auch Zoom verbessert seine IT-Sicherheitsmaßnahmen.
Deutschland steht im internationalen Wettlauf um die Vorherrschaft in der Künstlichen Intelligenz (KI) vor großen Herausforderungen. Experten warnen eindringlich: Wer jetzt nicht aktiv wird, könnte zukünftig ins Hintertreffen geraten. Laut dem Data Complexity Report von NetApp zeigt sich, dass Deutschland bei der KI-Implementierung international hinterherhinkt. Nur 47 Prozent der deutschen Unternehmen haben ihre Daten optimal für den KI-Einsatz vorbereitet. Deutschlands Position im Bereich Machine Learning ist merklich besser, mit fünf herausragenden Modellen. Experten sind sich einig, dass KI zunehmend entscheidend für die Wettbewerbsfähigkeit von Unternehmen wird. Eine erfolgreiche Implementierung von KI erfordert primär eine intelligente Dateninfrastruktur. Nachhaltigkeit spielt ebenfalls eine wichtige Rolle bei der KI-Implementierung. Google plant, seinen digitalen Assistenten zukünftig zu optimieren. Im aktuellen Global Threat Report 2025 von CrowdStrike wird vor einer dramatischen Zunahme von Cyberangriffen gewarnt.
Kaspersky hat seine “Anti Targeted Attack”-Plattform aktualisiert, um Unternehmen einen erweiterten Schutz vor gezielten Angriffen zu bieten. Zu den Neuerungen gehören verbesserte Funktionen zur Netzwerkdetektion und Reaktion, die eine erhöhte Transparenz im Netzwerk und eine präzisere Erkennung interner Bedrohungen ermöglichen. Angesichts der Tatsache, dass 97 Prozent der großen Unternehmen, 88 Prozent der mittleren und 83 Prozent der kleinen Firmen von Netzwerkangriffen betroffen sind, ist der Bedarf an solchen Lösungen hoch. Die aktualisierte Plattform stellt neue Module für Asset Management, Netzwerkdarstellung und Netzwerk-Session-Tabellen bereit. Diese Werkzeuge bieten Sicherheitsanalysten durch visuelle Darstellungen und erweiterte Filtermöglichkeiten eine bessere Übersicht und Unterstützung. Darüber hinaus wurden neue Regeln zur Netzwerkdetektion und -reaktion sowie zur Intrusion-Detection implementiert, um Bewegungen innerhalb des Netzwerks und Datenabflüsse effektiver aufspüren zu können.
