In einer Pressemitteilung vom Dienstag (externer Link) warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor Sicherheitslücken bei Smart-Thermostaten: In Sachen Nutzerfreundlichkeit, beim Produktsupport und im Umgang mit Schwachstellen gebe es "Optimierungsbedarf".

Jeder zehnte deutsche Haushalt heizt "smart"

Laut einer Erhebung des Statistischen Bundesamts verfügte bereits Anfang 2022 etwa jeder zehnte Privathaushalt in Deutschland über intelligente Energiesparmanagementsysteme, wie beispielsweise smarte Heizkörperthermostate. Diese können angesichts hoher Energiepreise durchaus dabei helfen, Energieverbrauch und Kosten zu senken.

"Sicherheit kommt häufig zu kurz"

Laut BSI komme aber aufgrund kurzer Entwicklungszyklen dieser Geräte die IT-Sicherheit häufig zu kurz. Die Folge: Schlecht gesicherte Geräte seien ein Einfallstor für Cyberkriminelle. Zu diesem Urteil gelangt das Bundesamt nach einer Zufallsstichprobe von zehn smarten Heizkörperthermostaten, Interviews mit Herstellern und Händlern sowie technischen Schwachstellenanalysen.

Schwachstellen trotz erfüllter EU-Norm

Zwar entsprächen fast alle getesteten Geräte den europäischen Basissicherheitsanforderungen, trotzdem speicherten einige Smart-Thermostate vertrauliche Daten auf unsichere Weise oder kommunizierten unverschlüsselt mit Servern. Das BSI bemängelt auch, dass es bei den Herstellern oft keine einheitliche Kontaktadresse für IT-Schwachstellen gibt und diese teils auch nicht zeitnah behoben wurden.

Neun von zehn Herstellern machten darüber hinaus keine Angaben hinsichtlich eines garantierten Mindestzeitraumes, in dem die Produkte mit Sicherheitsupdates versorgt werden und begründeten dies mit "hohem Aufwand" oder "mangelnder Flexibilität".

Smart, aber wenig anwenderfreundlich

Vor allem die Bedienungsanleitungen vieler Smart-Thermostate lassen dem BSI zufolge zu wünschen übrig: Darin würde zwar (teils sogar unvollständig) die Installation und Inbetriebnahme beschrieben, bei neun von zehn getesteten Produkten aber nicht auf IT-Sicherheitsaspekte eingegangen, die deren sichere Konfiguration und Betrieb gewährleisten.

BSI rät zu Eigenverantwortung

Das BSI gibt mit seiner Studie keine Kaufempfehlung ab – die Auswertung der erhobenen Daten erfolgte anonymisiert. Verbrauchern rät das Bundesamt bei der Verwendung von smarten Thermostaten und deren Apps dazu, möglichst sparsam mit persönlichen und sensiblen Daten umzugehen. Man solle eigenverantwortlich auf die eigene IT-Sicherheit achten: Dazu bietet das Amt auch die Bürgerbroschüre "Das Internet der Dinge sicher nutzen" (externer Link) zum Download an.