Sicherheit und Datenschutz: Von Beginn an Schlüsselwerte bei Nuki
Nuki NewsAlljährlich im Oktober rückt die Agentur der Europäischen Union für Cybersecurity (ENISA) dieses Thema in den Fokus. Aber wie lebt Nuki die Themen Sicherheit und Datenschutz? Welche Ansätze und Konzepte verwendet man? Und wie transparent geht man mit potenziellen Sicherheitslücken um? Mitgründer und Chief Innovation Officer Jürgen Pansy gibt Antworten auf die aktuell zehn wichtigsten Fragen zum Thema.
1. Ziel des European Cybersecurity Month (ECSM) ist es, auf Risiken sowie Gefahren im Internet aufmerksam zu machen und bei EU-Bürgerinnen und EU-Bürgern Kenntnisse zur IT-Sicherheit zu stärken. In welcher Rolle sieht sich Nuki hier?
Wir möchten als Unternehmen aktiv einen Beitrag dazu leisten, das Vertrauen von User:innen in die Sicherheit von Smart Locks zu erhöhen. Darum arbeiten wir in diesem Bereich mit vielen Ansätzen und Konzepten. Wir wollen dadurch gewährleisten, dass intelligente Türschlösser auch in einer zunehmend vernetzten Welt sicher bleiben. Bereits seit der Entwicklung unseres ersten Prototypen sind Sicherheit und Datenschutz Schlüsselwerte für uns. Der Schutz der Daten unserer Kundinnen und Kunden ist uns extrem wichtig. Die sichersten Daten sind unserer Meinung nach die, die man nicht aus der Hand gibt. Deshalb sind unsere Smart Locks seit der ersten Generation so konzipiert, dass kein obligatorisches Benutzerkonto erforderlich ist – Daten werden nicht auf unseren Servern gespeichert. In Sachen Sicherheit setzen wir auf Ende-zu-Ende-Verschlüsselung.
2. Der Begriff Ende-zu-Ende-Verschlüsselung mag beim ersten Lesen unendlich kompliziert klingen. Was steckt – einfach erklärt – dahinter?
Bei Ende-zu-Ende-Verschlüsselung wird ein geheimer Schlüssel verwendet, der nur dem Sender und Empfänger bekannt ist. Gemeinsam mit starken Verschlüsselungsalgorithmen, ähnlich jenen beim Onlinebanking, und dem sogenannten Challenge-Response-Verfahren stellt man sicher, dass Abhören oder Kopieren und erneutes Wiedergeben von Sperrbefehlen an das Smart Lock unmöglich sind. Das Challenge-Response-Verfahren sorgt dafür, dass zwei Pakete sich nie gleichen, selbst wenn derselbe Inhalt verschickt wird. Bei uns hat jede Kombination aus Smart Lock und User – also etwa App, Keypad oder unsere Bluetooth-Fernbedienung Fob – eine eigene Kombination
aus geheimen Schlüsseln. Verschlüsselte Befehle werden über Bluetooth an das Smart Lock gesendet, selbst wenn man Keypad oder Fob verwendet. Auch bei einem Zugriff aus der Ferne kennen nur die jeweiligen Endgeräte den geheimen Schlüssel.
3. Und wenn jemand doch gerne mehr technischen Hintergrund zur Ende-zu-Verschlüsselung hätte: Welche Protokolle, welche Verfahren, welche Software verwendet Nuki?
Wir setzen auf eine Kombination aus sicherer Schlüssel-Generierung und einem Challenge-Response-Verfahren mit Zufallszahlen. Bei der Kopplung der Geräte wird ein gemeinsamer Schlüssel erzeugt. Es findet ein sogenannter Diffie-Hellman-Schlüsselaustausch statt. Das ermöglicht die Erzeugung eines Schlüssels, ohne ihn übertragen zu müssen. Dieser gemeinsame Schlüssel dient als Basis für die gemeinsame Verschlüsselung. Zur Verschlüsselung wird die quelloffene Bibliothek NaCl (Networking and Cryptography Library) verwendet. Im Rahmen des Challenge-Response-Verfahrens wird für jeden Befehl zusätzlich eine weitere individuelle Zufallszahl genutzt, die nur ein einziges Mal verwendet werden kann. Sollte es zur Übermittlung einer falschen oder bereits verwendeten Zufallszahl kommen, wird ein Befehl abgelehnt. So verhindern wir, dass ein Befehl abgefangen und zu einem späteren Zeitpunkt wiedergegeben werden kann.
4. Im Gegensatz zu anderen Smart Lock-Anbietern ist bei Nuki kein Benutzerkonto erforderlich. Eine Ausnahme bildet das Zusatzangebot per Nuki Web. Wie wird hier mit Daten von User:innen umgegangen?
Alle Produkte von Nuki – bis auf die Nuki Box – können ohne User-Account genutzt werden. Das gilt sowohl für die lokale Verwendung per Bluetooth, als auch für den Fernzugriff. In beiden Fällen werden personenbezogene und sicherheitsrelevante Daten nur lokal auf den jeweiligen Endgeräten und nicht auf Nuki-Servern gespeichert. Die einzige Ausnahme ist Nuki Web, ein Cloud-Service, für den Daten auf unseren Servern zwischengespeichert werden. Die Aktivierung von Nuki Web ist optional und in einigen Fällen sehr praktisch: Nuki-Geräte lassen sich übersichtlich auf dem PC oder Laptop verwalten. Ein Nuki Web-Konto ist auch für eine Integration in einige Cloud-basierte
Smart-Home-Systeme (Google Home, Amazon Alexa) Voraussetzung. Aber auch hier können wir sagen, dass wir hohen Sicherheitsstandards verpflichtet sind. Bei Nuki erfolgt das Hosting ausschließlich in Europa, was ebenfalls zur Vertrauenswürdigkeit unserer Smart Locks beiträgt. Durch die Datenhaltung in der Europäischen Union unterliegt das Hosting strengen Datenschutzbestimmungen, die hohen Schutz der Userdaten gewährleisten.
5. Nuki Smart Locks werden an der Innenseite einer bestehenden Tür montiert – von außen ist also nicht ersichtlich, dass überhaupt ein elektronisches Türschloss verwendet wird. Das Keypad wird aber sehr wohl außen montiert. Können bei Diebstahl Codes kompromittiert werden?
Die Zutrittscodes für das Keypad werden ausschließlich im elektronischen Türschloss, das an der Innenseite der Tür befestigt ist, gespeichert. Entwendet jemand das Keypad, ist er oder sie nicht im Besitz der verwendeten Codes. Selbst wenn jemand versuchen würde, das Keypad zu öffnen und etwa interne Speicherbereiche des Keypads auslesen wollen würde, ist dies nicht möglich. Das Auslesen ist gegen Manipulationen geschützt. Für ein zusätzliches Gefühl der Sicherheit sorgt das Sperrprotokoll des Smart Locks: Damit lässt sich jede Aktion des Smart Locks, aber auch der Smart Door und des Openers, nachvollziehen. Das Protokoll zeichnet den Zeitpunkt, den User und die verwendete Funktion auf. Zusätzlich besteht die Möglichkeit, sich per Push-Benachrichtigung informieren zu lassen, sobald jemand ein Nuki-Gerät sperrt.
6. Risiken und Bedrohungen in puncto Cybersecurity unterliegen einem raschen Wandel. Wie reagiert Nuki auf diese Tatsache?
Ein bedeutender Vorteil unserer Smart Locks ist die Möglichkeit, über eine Onlineverbindung Sicherheitsupdates durchzuführen. So erhält man automatisch Updates und man kann die Sicherheitsfunktionen stets auf dem aktuellsten Stand der Technik halten. Sicherheitslücken lassen sich schließen und neue Bedrohungen zuverlässig abwehren. Sollte das Nuki Smart Lock – gewollt oder ungewollt – offline sein, bietet die begleitende Smartphone-App die Möglichkeit, die neuesten Updates manuell zu installieren. Die App prüft regelmäßig, ob Updates zur Verfügung stehen, und informiert User:innen proaktiv darüber. Nuki Smart Locks sind durch ihre regelmäßige Aktualisierung und
die Nutzung von Apps für Sicherheitsupdates somit eine moderne und sichere Lösung in puncto Türsicherheit. Elektronische Türschlösser passen sich kontinuierlich an neue Sicherheitsanforderungen an und bieten so einen zuverlässigen Schutz.
7. Was kann ich darüber hinaus als Kundin oder Kunde selbst tun, damit mein Smart Lock so sicher wie möglich ist?
Ein zentraler Aspekt der Sicherheit von Smart Locks ist auch die Sicherheit der zugehörigen Smartphone-Apps, die in verschiedenen App-Stores (z. B. Apple App-Store, Google Play Store, Huawei AppGallery) angeboten werden. Diese Stores haben ihre eigenen Sicherheitsmechanismen, um sicherzustellen, dass nur vertrauenswürdige und sichere Apps veröffentlicht werden. Trotz dieser Sicherheitsmechanismen ist es wichtig, dass User:innen ihre Smart-Lock-Apps nur aus vertrauenswürdigen Quellen herunterladen. Der Download von Apps aus ungesicherten oder unbekannten Quellen kann erhebliche Risiken mit sich bringen. Quellen dieser Art könnten potenziell schadhafte Software enthalten, die Sicherheitslücken ausnutzen oder persönliche Daten stehlen könnten.
8. Sich selbst hohe Standards bezüglich Sicherheit und Datenschutz aufzuerlegen, ist eine Sache. Eine andere ist es, diese Standards auch von unabhängigen, externen Stellen überprüfen zu lassen. Welchen Weg geht Nuki hier?
Wir lassen unsere Smart Locks seit der ersten Generation vom unabhängigen AV-TEST- Institut als „Secure IOT Produkt” zertifizieren. Wir sind stolz darauf, dass wir diese Zertifizierungen bereits seit Jahren regelmäßig erhalten haben und somit das stetig hohe Sicherheitsniveau unter Beweis stellen konnten – zuletzt für unsere vierte Smart-Lock-Generation.
Außerdem freut es uns sehr, dass wir erst diesen Sommer auch für das „Ultion Nuki”, ein gemeinsames Produkt mit unserem britischen Partner Brisant Secure explizit für den UK-Markt, eine besonders prestigeträchtige Zertifizierung erzielen konnten. Das „BSI Kitemark for the Internet of Things” attestiert auch diesem Smart Lock physische und digitale Sicherheit höchsten Standards.
9. Wie transparent geht Nuki mit potenziellen Sicherheitslücken um?
Als einer der wenigen Smart-Lock-Hersteller haben wir einen Großteil unserer APIs offengelegt. Dadurch können Entwickler:innen die Sicherheitsarchitektur unseres elektronischen Türschlosses überprüfen und Schwachstellen ausschließen. Diese Transparenz stellt sicher, dass eingesetzte Technologien aktuellen Sicherheitsstandards entsprechen und vor potenziellen Angriffen schützen. Verantwortungsvolle Offenlegung (Responsible Disclosure) und sogenannte Bug-Bounty-Programme sind weitere wesentliche Elemente unserer Sicherheitsstrategie. Sicherheits-Forscher:innen haben die Möglichkeit, Schwachstellen direkt an Nuki zu melden, ehe diese öffentlich gemacht werden. So können wir schnell Maßnahmen ergreifen und Sicherheitslücken schließen. Über ein Bug-Bounty-Programm gibt es auch monetäre Anreize, Schwachstellen zu finden und zu melden. All diese Schritte im Sinne der Transparenz leisten einen entscheidenden Beitrag zur kontinuierlichen Verbesserung unserer Sicherheitsmaßnahmen.
10. Was bedeuten EU Cyber Security Act (CSA) und Cyber Resilience Act (CRA) für IoT-Geräte und Nuki?
CSA und CRA stellen Meilensteine für die Sicherheit von IoT-Geräten dar. Die Verordnungen wurden 2023 beziehungsweise 2024 vom Parlament der Europäischen Union verabschiedet. Der Cyber Security Act kommt ab dem 1. August 2025 zur Anwendung, der Cyber Resilience Act ab 2027. Beide Rechtsakte sollen dafür sorgen, dass IoT-Geräte in der EU sicherer werden und das Vertrauen in diese Technologie gestärkt wird. Nuki erfüllt bereits heute alle wesentlichen Merkmale von CSA und CRA.
