Bosch Smart Home Community

Interessant 

Nabend zusammen,

natürlich, habem ihn mal eben raus gesucht. Bitte entschuldigt. 

https://www.giga.de/tech/experten-warnen-vorsicht-bei-smarten-thermostaten--01JETS5CRRS4YZXA2JN7508P...

Beste Grüße 

@Zerberus88 Ich finde den Giga-Artikel auch grenzwertig und reißerisch.

Die Hersteller werden nicht alphabetisch aufgelistet und direkt im nächsten Satz auf SicherheItsrisiken hingewiesen, was suggerieren könnte, dass Bosch am schlechtesten abgeschnitten hat.

Ich kann nur hoffen, dass Bosch hier schnell eine Richtigstellung einfordert.

Der ganze Giga-Artikel ist dem Thema überhaupt nicht angemessen.

Heise Security ist da informativer und weniger reißerisch.

Am besten die Primärquelle vom Bundesamt für Sicherheit in der Informationstechnik heranziehen und lesen (!). Maurice hat es oben bereits verlinkt und die wichtigsten Fakten genannt.

Nicht jeder zusammengeschnittenen und aus dem Kontext gerissenen Schlagzeile sofort glauben.

Ja schon krass, wie reißerisch manche Portale berichten. Netzwelt titelt mit "Datenklau über die Heizung" und einem roten Banner "Aktuelle Betrugswarnung" oben drüber, hier 🙄

Dabei ist der BSI-Report sehr nüchtern geschrieben. Die größte Sensation ist am ehesten, dass einige der untersuchten Hersteller nicht auf die Verbesserungsvorschläge des BSI reagiert haben. Leider hilft uns der Bericht als Endkunden nicht, da die Schwachpunkte zwar benannt, aber nicht den Herstellern zugeordnet werden (alles anonymisiert). Ich hab den Bericht gestern mal vorm Einschlafen gelesen 😅

Ein paar Punkte fand ich interessant:

- 6 der 10 untersuchten Hersteller haben einem Interview mit Fragen zu Ihrer IT-Sicherheit zugestimmt, nur eQ-3 (Homematic IP) und Bosch haben die Nennung Ihres Unternehmens bei den Antworten erlaubt. Der Befragte von Bosch war auch ein Mitarbeiter im IT-Sicherheitsmanagement (gut, dass es sowas schon mal gibt). Ich finde, dass zeugt schon mal von einem gewissen Selbstvertrauen bei dem Thema.

- Bosch gibt an, das eine zweistellige Prozentzahl des Aufwands in IT-Sicherheit fließen.

- Das Kundenbewusstsein für Sicherheit sei allerdings gering. Bosch würde mit Sicherheit auch gar nicht werben (-> Vielleicht ändert sich das? Homematic IP stellt das Thema ja sehr nach vorne)

- Es gab bei den IOS-Apps mehr Sicherheitslücken als bei den Android-Apps. Spannend, weil viele ja immer glauben, bei Apple sei per se alles sicherer.

- Bei drei Herstellen, die in China entwickelte Geräte einfach umlabeln, konnte ein sicherheitsrelevanter Key direkt extrahiert werden

- Bei den Sicherheitslücken gibt es eine, wo aus meiner Sicht tatsächlich Bosch gemeint sein könnte:

"Authentizitätsprüfung: Eine der untersuchten zehn Apps setzt primär auf die direkte Kommunikation
zwischen dem Mobilgerät und der Basisstation (entweder im lokalen Netzwerk oder durch einen ins
Internet exponierten TCP Port). Da in der Kommunikation keine Stelle involviert ist, der beide
Kommunikationspartner vertrauen, ist die Authentizitätsprüfung des Gegenübers schwierig
umzusetzen. Die untersuchte App führt daher beim ersten Verbindungsaufbau keine
Authentizitätsprüfung durch. Bei nachfolgenden Verbindungen wird das präsentierte Zertifikat mit dem
Zertifikat des initialen Verbindungsaufbaus verglichen. Schafft es ein Angreifer in den ersten
Verbindungsaufbau einzugreifen, kann dieser mangels Authentizitätsprüfung den gesamten
Datenverkehr mitlesen." Das entspricht ziemlich genau dem Ablauf, wenn man ein Gerät über die Rest-API anmelden will... Allerdings frag ich mich, wie hier ein Angriff laufen soll, weil man ja zeitgleich den Button am Controller drücken muss.

Also zusammengenommen bestätigt mich der Artikel darin, nicht auf eine Chinalösung gesetzt zu haben 😬