5 vragen aan AV-TEST Duitsland: Hierop moeten klanten letten bij IoT en Smart Home-veiligheid
Stay SecureUpdate april 2022
Elektronische deursloten bieden veel gebruiksgemak en vinden steeds meer hun weg in het dagelijks leven. Een van de belangrijkste aspecten daarbij is veiligheid. Want het gaat er niet alleen om de toegang tot je huis praktischer te maken. Je moet het toegangssysteem ook kunnen vertrouwen om je prettig te voelen.
Onze belangrijkste principes zijn SMART – EENVOUDIG – VEILIG. Daarmee laten wij zien dat wij grote waarde hechten aan de veiligheid van onze Smart Home-producten. Bij de ontwikkeling van onze digitale Nuki-deursloten kozen wij van het begin af aan voor een zeer complex end-to-end-versleutelingssysteem, dat ook bij het internetbankieren wordt gebruikt.
Nuki slaagt opnieuw voor de externe test door AV-TEST
Elk nog zo geavanceerd veiligheidsconcept kan natuurlijk niet de test door onafhankelijke, externe testinstituten vervangen. Daarom hebben wij onze producten opnieuw door AV-TEST Duitsland op mogelijke veiligheidslekken laten testen.
Net als eerder al in de jaren 2017, 2018, 2019 en 2020 certificeerde het gerenommeerde onderzoeksinstituut voor IT-veiligheid Nuki ook nu weer als “Veilig Smart Home-product”.
AV-TEST testte dit jaar de Nuki Smart Lock, de Nuki Bridge, de Nuki-app en de Nuki Opener.
Nuki Button, het belangrijkste onderdeel van de Smart Door, is door AV-TEST gecertificeerd als “Getest Smart Home product”
In juni 2021 brachten we de Nuki Button op de markt. Daarmee kan de technologie van Nuki direct in een gemotoriseerde deur worden geïntegreerd. Door samen te werken met partners die deuren produceren, is zo de Nuki Smart Door ontstaan. Net als alle andere Nuki-producten hebben wij ook de Nuki Button door het AV-TEST-instituut onafhankelijk laten testen. Wij zijn er trots op dat de Nuki Button het certificaat “Getest Smart Home product” heeft gekregen. AV-TEST zei het volgende over het positieve testresultaat: “Ook de Nuki Smart Door overtuigde weer in zijn geheel op alle onderdelen van onze test, net als de andere producten van deze fabrikant eerder al deden. De Nuki Smart Door ontstaat door de integratie van de Nuki Button, direct ingebouwd op de binnenkant van je deur. Het doet ons veel plezier om de Nuki Smart Door daarom het certificaat “Getest Smart Home product” te verlenen.”
Interview met AV-TEST – Waar het bij het onderwerp Smart Home-veiligheid echt om gaat
Wat moet je je eigenlijk voorstellen bij een IT-veiligheidstest? Wat zijn veelvoorkomende zwakke punten bij IoT-producten? Waar moet je in het bijzonder op letten? En op welke gebieden presteerde Nuki bijzonder goed?
Wij hebben Eric Clausing van AV-TEST om een kort interview gevraagd:
1. Wat zijn de meest voorkomende zwakke punten op het gebied van veiligheid bij Smart Home-producten? Waarop moet je als klant in het bijzonder letten?
Eric Clausing: Uit onze ervaring blijkt dat de meest voorkomende en meest kritische problemen zich voordoen op het gebied van de communicatiebeveiliging. Hier zien wij steeds weer dat er onversleutelde verbindingen worden gebruikt om gevoelige gegevens via internet te versturen. Ook zien we vaak bij de authenticatieprocessen dat deze onveilig zijn of zelfs geheel ontbreken.
Het is voor een klant moeilijk om zonder extra technische hulpmiddelen vast te stellen of en hoe goed de versleuteling is toegepast. Wat een veilige authenticatie betreft, moet de klant erop letten dat het product de mogelijkheid biedt om de toegang tot apparaten en accounts te beveiligen door sterke wachtwoorden, die ook kunnen worden veranderd.
2. Welke aanvallen van buitenaf zijn er en hoe kun je je daartegen beschermen? Voor welke uitdagingen staan fabrikanten op het gebied van IoT?
Eric Clausing: Onder andere aanvallen op de beschikbaarheid van IoT-systemen (jamming) vormen voor klanten het grootste risico, bijvoorbeeld als een alarmsysteem niet meer werkt of een Smart Lock niet meer bereikbaar is. In de praktijk valt er tegen dergelijke aanvallen niet veel te doen, ook niet door de fabrikanten, omdat draadloze systemen in principe altijd gestoord kunnen worden en apparaten moedwillig vernietigd kunnen worden. Bij een goed systeem moet men er zeker van kunnen zijn dat het in ieder geval het uitvallen van componenten detecteert en dit aan de klant meldt, zodat deze kan reageren.
Afgezien daarvan zijn aanvallen op de authenticatie- en toegangsprocessen van een IoT-apparaat het gevaarlijkste. In het ergste geval kunnen ze ook remote (op afstand) worden uitgevoerd en ertoe leiden dat er toegang is tot het IoT-product zelf en de eraan verbonden accounts. Daarin schuilt het grootste risico op mogelijke schade en het grootste gevaar. De focus van de fabrikanten zou derhalve bij de beveiliging van hun apparaten moeten liggen.
3. Hoe zien de testen eruit, waaraan een product wordt onderworpen om het certificaat te kunnen verkrijgen?
Eric Clausing: Producten die bij ons worden aangeboden voor de certificeringstest moeten een uitgebreide test doorstaan. Deze is verdeeld in 3 grote deelgebieden en in meer dan 100 aparte testpunten.
De hoofdpunten omvatten de
- analyse van de communicatie, zowel online via internet als lokaal via bijvoorbeeld Bluetooth,
- de analyse van de bijbehorende mobiele applicaties voor Android en iOS en
- de analyse van privacy.
Alle gebieden worden daarbij zowel statisch (dus door uitgebreide scans en code reviews) als dynamisch (d.w.z. tijdens het gebruik) getest op mogelijke zwakke plekken en potentiële incidentiepunten. Een zwakke plek die kan worden misbruikt of een kritische nalatigheid in een van de 3 hoofdgebieden leidt er onvermijdelijk toe dat het totale certificeringsproces niet wordt gehaald.
4. Op welke aspecten presteert Nuki bijzonder goed en waarom?
Eric Clausing: De Nuki-producten presteren in onze testen normaal gesproken al jaren goed op elk van de 3 hoofdgebieden: de gehele communicatie via internet en lokaal is bijvoorbeeld altijd al veilig versleuteld en beveiligd. Ook de mobiele applicaties hebben tot nu toe geen reden tot kritiek opgeleverd. Opvallend goed is steeds weer de perfecte uitvoering van de producten, waarbij weinig gegevens nodig zijn en de zeer goede en transparante privacyverklaring.
5. Welke trends zijn er op het gebied van IoT en waarop let AV-TEST bij toekomstige testprocedures in het bijzonder?
Eric Clausing: De afgelopen jaren bleek dat kopers het onderwerp gegevensbeveiliging en privacy als geheel steeds belangrijker gingen vinden. Daarom passen wij onze testen ook in deze richting aan, zodat we in de toekomst ook uitgebreider en gedetailleerder op dit gebied kunnen testen en analyseren. De belangrijkste focus blijft echter nog steeds op de veiligheid liggen.
Testresultaten in detail op de AV-TEST-website
Heb je nog meer vragen over het onderwerp IT-veiligheid in het algemeen of over de veiligheid van Smart Home-apparaten of Smart Locks in het bijzonder? Wij hebben de meest voorkomende vragen van klanten verzameld en in de volgende bijdrage uitvoerig en duidelijk beantwoord.
