vor 2 Wochen
Moin zusammen,
ich habe gerade mit erschrecken einen Beitrag bei Giga zum Test der Cyber Security von mehreren Herstellern gelesen. Darunter AVM, Tado und auch Bosch. Ich habe quasi meine gesamtes Haus mit allen möglichen Sensoren und Aktoren von Bosch ausgestattet.
Nun mache ich mir Gedanken. Ich habe mich extra für Bosch entschieden, das es ein deutsches Unternehmen mit Servern in Deutschland ist und wir gewisse Standards haben.
Ich möchte gerne wissen was Bosch für die Cyber Security tut und wie mit welchen Protokollen die Geräte untereinander kommunizieren.
Ich hoffe auf eine qualifizierte ehrliche Aussage.
Danke und beste Grüße
vor 2 Wochen
Hallo @Zerberus88,
möchtest du den Artikel vielleicht noch mit uns teilen oder uns darüber aufklären, weshalb er dich erschreckt hat?
Viele Grüße
vor 2 Wochen
Es geht wahrscheinlich um diese BSI-Studie, über die gerade einige Medien berichten. Ist weitgehend anonymisiert, direkte Rückschlüsse auf einzelne Hersteller lassen sich daher nicht ziehen. Lohnt sich aber dennoch zu lesen. Meinem Eindruck nach dürfte Bosch ganz gut abgeschnitten haben. Das ist z. B. der einzige der zehn angefragten Hersteller, der einem Interview und einer namentlichen Erwähnung zugestimmt hat. In dem Bericht finden sich einige interessante Zitate einer Person aus Boschs IT-Sicherheitsmanagement. Die meisten Hersteller haben dagegen entweder gar nicht reagiert oder nur anonym teilgenommen.
vor 2 Wochen
Interessant
vor 2 Wochen
Nabend zusammen,
natürlich, habem ihn mal eben raus gesucht. Bitte entschuldigt.
Beste Grüße
vor 2 Wochen
Der Giga-Bericht ist schon grenzwertig, Zitat:
Untersucht wurden zehn Produkte verschiedener Hersteller, darunter bekannte Namen wie Bosch, Tado und AVM (Fritzbox). Die Sicherheitsanalyse deckte unter anderem unverschlüsselte Datenübertragungen, fehlende Authentizitätsprüfungen und mangelhafte Update-Mechanismen auf.
Namentlich genannt werden also drei (von zehn) Herstellern und im nächsten Satz werden dann drei festgestellte Sicherheitsprobleme aufgezählt. Dadurch entsteht sicherlich bei vielen der Eindruck, dass genau diese Hersteller von genau diesen Problemen betroffen sind. Im BSI-Bericht sind die Untersuchungsergebnisse aber anonymisiert, es lassen sich überhaupt keine Rückschlüsse ziehen, welche Hersteller von welchen Problemen betroffen sind!
Zu den zehn Herstellern gehören auch Buden, die nur chinesische Apps und Thermostate zukaufen und ihr Logo draufkleben. Da dürfen sich alle selbst ausrechnen, welche Hersteller die größten Sicherheitsschwankungen haben könnten...
vor 2 Wochen - zuletzt bearbeitet vor 2 Wochen
@Zerberus88 Ich finde den Giga-Artikel auch grenzwertig und reißerisch.
Die Hersteller werden nicht alphabetisch aufgelistet und direkt im nächsten Satz auf SicherheItsrisiken hingewiesen, was suggerieren könnte, dass Bosch am schlechtesten abgeschnitten hat.
Ich kann nur hoffen, dass Bosch hier schnell eine Richtigstellung einfordert.
Der ganze Giga-Artikel ist dem Thema überhaupt nicht angemessen.
Heise Security ist da informativer und weniger reißerisch.
vor 2 Wochen
Am besten die Primärquelle vom Bundesamt für Sicherheit in der Informationstechnik heranziehen und lesen (!). Maurice hat es oben bereits verlinkt und die wichtigsten Fakten genannt.
Nicht jeder zusammengeschnittenen und aus dem Kontext gerissenen Schlagzeile sofort glauben.
vor einer Woche
Ja schon krass, wie reißerisch manche Portale berichten. Netzwelt titelt mit "Datenklau über die Heizung" und einem roten Banner "Aktuelle Betrugswarnung" oben drüber, hier 🙄
Dabei ist der BSI-Report sehr nüchtern geschrieben. Die größte Sensation ist am ehesten, dass einige der untersuchten Hersteller nicht auf die Verbesserungsvorschläge des BSI reagiert haben. Leider hilft uns der Bericht als Endkunden nicht, da die Schwachpunkte zwar benannt, aber nicht den Herstellern zugeordnet werden (alles anonymisiert). Ich hab den Bericht gestern mal vorm Einschlafen gelesen 😅
Ein paar Punkte fand ich interessant:
- 6 der 10 untersuchten Hersteller haben einem Interview mit Fragen zu Ihrer IT-Sicherheit zugestimmt, nur eQ-3 (Homematic IP) und Bosch haben die Nennung Ihres Unternehmens bei den Antworten erlaubt. Der Befragte von Bosch war auch ein Mitarbeiter im IT-Sicherheitsmanagement (gut, dass es sowas schon mal gibt). Ich finde, dass zeugt schon mal von einem gewissen Selbstvertrauen bei dem Thema.
- Bosch gibt an, das eine zweistellige Prozentzahl des Aufwands in IT-Sicherheit fließen.
- Das Kundenbewusstsein für Sicherheit sei allerdings gering. Bosch würde mit Sicherheit auch gar nicht werben (-> Vielleicht ändert sich das? Homematic IP stellt das Thema ja sehr nach vorne)
- Es gab bei den IOS-Apps mehr Sicherheitslücken als bei den Android-Apps. Spannend, weil viele ja immer glauben, bei Apple sei per se alles sicherer.
- Bei drei Herstellen, die in China entwickelte Geräte einfach umlabeln, konnte ein sicherheitsrelevanter Key direkt extrahiert werden
- Bei den Sicherheitslücken gibt es eine, wo aus meiner Sicht tatsächlich Bosch gemeint sein könnte:
"Authentizitätsprüfung: Eine der untersuchten zehn Apps setzt primär auf die direkte Kommunikation
zwischen dem Mobilgerät und der Basisstation (entweder im lokalen Netzwerk oder durch einen ins
Internet exponierten TCP Port). Da in der Kommunikation keine Stelle involviert ist, der beide
Kommunikationspartner vertrauen, ist die Authentizitätsprüfung des Gegenübers schwierig
umzusetzen. Die untersuchte App führt daher beim ersten Verbindungsaufbau keine
Authentizitätsprüfung durch. Bei nachfolgenden Verbindungen wird das präsentierte Zertifikat mit dem
Zertifikat des initialen Verbindungsaufbaus verglichen. Schafft es ein Angreifer in den ersten
Verbindungsaufbau einzugreifen, kann dieser mangels Authentizitätsprüfung den gesamten
Datenverkehr mitlesen." Das entspricht ziemlich genau dem Ablauf, wenn man ein Gerät über die Rest-API anmelden will... Allerdings frag ich mich, wie hier ein Angriff laufen soll, weil man ja zeitgleich den Button am Controller drücken muss.
Also zusammengenommen bestätigt mich der Artikel darin, nicht auf eine Chinalösung gesetzt zu haben 😬
vor einer Woche
direkte Kommunikation
zwischen dem Mobilgerät und der Basisstation [...] durch einen ins
Internet exponierten TCP Port
Das spricht aus meiner Sicht eher dagegen, dass Bosch gemeint sein könnte. Beim Fernzugriff verbindet sich die App nicht direkt mit einem exponierten TCP-Port des SHC. Vielmehr werden die Daten über einen Bosch-Server getunnelt, mit dem sich SHC und App verbinden.
Mir riecht das eher nach AVM. Da bei denen der Controller direkt auf dem Router läuft ist ein direkter Fernzugriff möglich, ohne dem User manuelle Firewall-Einstellungen zumuten zu müssen.
vor einer Woche
Hallo @Zerberus88, hallo in die Runde,
danke für den Beitrag und die Diskussion dazu! Wir hoffen, dass unser ausführliches Statement hierzu euch Bedenken und Sorgen nimmt.
Ich wünsche euch ein schönes 3. Adventswochende 🕯und sende viele smarte Grüße
Ulrike