Sicherheitsrisiko Heizkörperthermostate: BSI verschweigt die Modelle

Die Untersuchung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu smarten Heizkörperthermostaten zeigt Optimierungsbedarf in mehreren Bereichen. Doch die Verbraucher lässt man am Ende unwissend zurück.

Zwar erfüllen neun von zehn Geräten die grundlegenden europäischen Sicherheitsanforderungen, doch gibt es erhebliche Schwächen bei der Benutzerfreundlichkeit, dem Produktsupport und dem Umgang mit Sicherheitslücken. Schwachstellen wie unverschlüsselte Kommunikation und unsichere Speicherung sensibler Daten bergen Risiken, die Verbraucher und ihre Daten gefährden können, heißt es in der Studie (PDF).

Ein besonderes Problem stellen White-Label-Produkte dar, die unter verschiedenen Marken vertrieben werden. Diese bieten zwar oft einheitliche Sicherheitsstandards, vervielfachen aber die potenziellen Angriffsflächen. Zudem fehlt oft die Transparenz über Herkunft und Herstellung der Geräte, was das Vertrauen der Verbraucher beeinträchtigen kann. Bedienungsanleitungen konzentrieren sich meist nur auf die Installation und vernachlässigen wichtige Hinweise zur sicheren Nutzung.

Auch der Produktsupport weist deutliche Mängel auf: Sicherheitsupdates sind oft nicht garantiert und es fehlen klar definierte Verfahren zum Umgang mit Sicherheitslücken. Eine Responsible Disclosure Policy ist bei vielen Herstellern nicht vorhanden, was die Reaktion auf Schwachstellen erschwert. Das BSI empfiehlt daher Verbesserungen bei der IT-Sicherheit, der Dokumentation und der Herstellerkommunikation, um die Sicherheit und Nutzerfreundlichkeit intelligenter Thermostate zu erhöhen.

Bis hierhin klingt das alles ganz gut, oder? Guter Test, interessante Infos und weiter? Ja, schwierig, denn die Verbraucher werden vom BSI komplett im Dunkeln gelassen. Es gibt keinerlei Informationen, welche Thermostate wie genau abschneiden oder auf welche Modelle sich die Kritik bzw. die Sicherheitsrisiken beziehen. Das ist schade, beziehungsweise ehrlicherweise etwas dämlich.