5 Fragen an AV-TEST Deutschland: Darauf sollten Kunden bei IoT und Smart Home Sicherheit achten

Update: 19.April 2022

Elektronische Türschlösser sind gelebte Convenience im Alltag. Einer der wichtigsten Aspekte dabei ist Sicherheit. Denn es geht nicht nur darum, den Zutritt zu deinem Zuhause praktischer zu gestalten. Du musst dem Zutrittssystem vertrauen können, um dich wohl zu fühlen.

Gemäß unseren Leitprinzipien Smart – Einfach – Sicher – legen wir besonderen Wert auf die Sicherheit unserer Smart Home Produkte. Bei der Entwicklung unserer digitalen Nuki Türschlösser setzten wir von Beginn an auf ein hochkomplexes Ende-zu-Ende Verschlüsselungssystem, das auch im Online-Banking verwendet wird.

Nuki besteht auch 2021 wieder externe Überprüfung durch AV-TEST

Jedes noch so ausgeklügelte Sicherheitskonzept ersetzt natürlich keine Überprüfung von unabhängigen, externen Testinstituten. Daher haben wir unsere Produkte erneut von AV-TEST Deutschland auf mögliche Sicherheitslücken überprüfen lassen.
Wie bereits in den Jahren 2017, 2018, 2019 und 2020 zertifizierte das renommierte Forschungsinstitut für IT Sicherheit auch heuer wieder Nuki als “Sicheres Smart Home Produkt”.
AV-TEST überprüfte in diesem Jahr das Nuki Smart Lock, die Nuki Bridge, die Nuki App und den Nuki Opener.

Nuki Button, das Herzstück der Smart Door, von AV-TEST als “Geprüftes Smart Home Produkt” zertifiziert

Im Juni 2021 brachten wir den Nuki Button auf den Markt. Damit kann die Technologie von Nuki direkt in eine motorisierte Tür integriert werden. Zusammen mit Partnern in der Türenherstellung entsteht so eine Nuki Smart Door. Wie sämtliche Nuki Produkte haben wir auch den Nuki Button den unabhängigen Testern des AV-TEST Instituts zur Überprüfung übergeben. Wir sind stolz, dass der Nuki Button das Zertifikat “Geprüftes Smart Home Produkt” erhalten hat. AV TEST äußerte sich zum positiven Testergebnis folgendermaßen: “Insgesamt überzeugte auch die Nuki Smart Door, wie auch schon die anderen Produkte des Herstellers, in allen Bereichen unserer Tests. Die Nuki Smart Door entsteht durch die Integration des Nuki Buttons direkt eingebaut an der Innenseite deiner Tür. Mit Freude vergeben wir dementsprechend für die Nuki Smart Door das Zertifikat “Geprüftes Smart Home Produkt”.

Interview mit AV-TEST – Worauf es beim Thema Smart Home Sicherheit wirklich ankommt

Wie kann man sich einen IT Sicherheitstest eigentlich vorstellen? Was sind häufige Schwachstellen bei IoT Produkten? Worauf solltest du besonders achten? Und in welchen Bereichen schnitt Nuki besonders gut ab?
Wir haben Eric Clausing von AV-TEST zu einem kurzen Interview gebeten:

1. Was sind die häufigsten Schwachstellen im Bereich Sicherheit bei Smart Home Produkten? Worauf muss man als Kunde ganz besonders achten?
Eric Clausing: Die häufigsten und kritischsten Probleme treten nach unserer Erfahrung im Bereich der Kommunikationssicherheit auf. Hier beobachten wir immer wieder die Verwendung von unverschlüsselten Verbindungen zur Übertragung von sensiblen Daten über das Internet. Unsichere oder sogar fehlende Authentifizierungsmechanismen sind ähnlich oft zu beobachten.

Als Kunde ist es schwierig, ohne zusätzliche technische Hilfsmittel festzustellen, ob und wie gut Verschlüsselung umgesetzt wurde. Was sichere Authentifizierung angeht, sollte der Kunde darauf achten, dass das Produkt die Möglichkeit bietet, Zugang zu Geräten und Accounts durch starke und änderbare Passwörter abzusichern.

2. Welche Angriffe von außen gibt es und wie kann man sich davor schützen? Welchen Herausforderungen müssen sich Hersteller im Bereich IoT stellen?
Eric Clausing: Angriffe auf die Verfügbarkeit von IoT-Systemen (Jamming) stellen für Kunden unter anderem die größte Gefahr dar – z.B. wenn ein Alarmsystem nicht mehr arbeitet oder ein Smart Lock nicht mehr erreichbar ist. In der Praxis lässt sich gegen derartige Angriffe auch von Herstellerseite nicht viel tun, da Funk grundsätzlich immer gestört oder Geräte mutwillig zerstört werden können. Ein gutes System sollte einen Komponentenausfall aber zumindest sicher detektieren und an den Kunden melden können, damit dieser reagieren kann.

Abgesehen davon sind Angriffe auf die Authentifizierungs- und Zugangsmechanismen eines IoT-Gerätes die gefährlichsten. Im schlimmsten Fall können sie auch remote (aus der Ferne) durchgeführt werden und außerdem Zugriff zum IoT-Produkt selbst und den verknüpften Accounts als Folge haben. Dabei liegt das höchste Schadenspotential und die größte Gefahr. Hier sollte demnach der Fokus der Hersteller bei der Absicherung ihrer Geräte liegen.

3. Wie sehen die Tests aus, denen ein Produkt unterzogen wird, um das Zertifikat erhalten zu können?
Eric Clausing: Produkte die bei uns zum Zertifizierungstest antreten, müssen einen umfangreichen Test überstehen. Dieser ist in drei große Teilbereiche und in über 100 einzelne Testpunkte aufgeteilt.
Die Hauptpunkte umfassen die

• Analyse der Kommunikation, sowohl online über das Internet wie auch lokal über beispielsweise Bluetooth,
• die Analyse der dazugehörigen mobilen Applikationen für Android und iOS sowie
• die Analyse des Datenschutzes.

Dabei werden alle Bereiche sowohl statisch, also durch umfangreiche Scans und Code Reviews als auch dynamisch, d.h. während des laufenden Betriebs auf mögliche Schwachstellen und potentielle Einfallspunkte geprüft. Eine praktisch ausnutzbare Schwachstelle oder ein kritisches Versäumnis in einem der drei Hauptbereiche führt dabei unweigerlich zum Nichtbestehen des gesamten Zertifizierungsprozesses.

4. In welchen Aspekten schneidet Nuki besonders gut ab und warum?
Eric Clausing: Die Nuki Produkte schneiden in unseren Tests prinzipiell in allen 3 Hauptbereichen seit Jahren gut ab: So ist die gesamte Kommunikation über das Internet und lokal von jeher sicher verschlüsselt und abgesichert. Auch die mobilen Applikationen gaben bisher nie einen Grund für Kritik. Besonders beispielhaft fällt immer wieder die vorbildlich, datensparsame Umsetzung der Produkte sowie eine sehr gute und transparente Datenschutzerklärung auf.

5. Welche Trends gibt es im IoT Bereich und worauf wird bei zukünftigen Prüfverfahren durch AV-TEST besonders geachtet?
Eric Clausing: In den vergangenen Jahren kann beobachtet werden, dass das Thema Datenschutz und Privatsphäre in der Käuferschaft insgesamt immer wichtiger empfunden wird. Dementsprechend passen auch wir unsere Tests in dieser Richtung an, sodass wir in Zukunft auch ausgiebiger und detaillierter in diesem Bereich testen und bewerten können. Natürlich wird aber der Hauptfokus auf Sicherheit nach wie vor beibehalten.


Den ausführlichen Testbericht kannst du auf der Website von AV-TEST nachlesen

Du hast noch weitere Fragen zum Thema IT Sicherheit im Allgemeinen und Sicherheit von Smart Home Geräten bzw. Smart Locks im Speziellen? Wir haben die häufigsten Kundenfragen gesammelt und im nachfolgenden Beitrag ausführlich und klar verständlich aufbereitet.