In diesem Test wollen wir herausfinden, ob die Herkunftsbezeichnung „Made in Germany” auch in Verbindung mit Smart Home-Lösungen als Gütesiegel gilt, und haben dazu die Sicherheit des Smart Home Starter Kits von Bosch analysiert.

App ohne Schwachstellen

Offensichtliche gravierende Schwachstellen scheint es bei der Android-App nicht zu geben. Das Fehlen von Obfuscation bei sicherheitsrelevanten Funktionen und Klassen kann eine Code-Rekonstruktion und/oder -Modifizierung durch mögliche Angreifer leichter machen, allerdings nicht per se als Sicherheitslücke angesehen werden.

Kritische Daten, die von der Applikation auf dem internen Speicher des Smartphones abgelegt werden, sind gut verschlüsselt, zur Anwendung kommt dabei modernste Technik: API-Calls zum Android KeyStore (und gerätespezifische Schlüsselpaare).

Die hier gezeigten Sicherheitsfeatures beweisen einen hohen Grad an Sicherheit bei der Kommunikation; um diese zu hacken, muss schon ein gehöriges Maß an krimineller Energie aufgewendet werden,

Sichere lokale und Online-Kommunikation

Die gesamte Kommunikation zwischen App und Controller ist TLS1.2-verschlüsselt, unabhängig davon, ob das Starter-Paket in einem Heimnetzwerk oder von unterwegs genutzt wird. Bei der heimischen Nutzung kommunizieren App und Controller direkt miteinander, wir konnten im Test nur wenige Web-Anfragen entdecken. Wenn man unterwegs ist, läuft der Kontakt über *.bosch-smarthome.com Server, welche die Befehle an den Controller weiterleiten.

Wenn ein Fernzugriff erfolgt, leuchtet die Cloud-LED dauerhaft; Nutzer können so erkennen, wenn jemand von außen auf ihr Smart Home-System zugreift.

TLS-verschlüsselter Datenverkehr
TLS-verschlüsselter Datenverkehr

API-Nutzung durch Dritte

Ebenfalls von uns geprüft wurde die Integration von Drittanbietern. Obwohl dies während der IFA 2016 angekündigt wurde, konnten wir keine Anwendungen des Dienstanbieters IFTTT beim Smart Home-System von Bosch erkennen. Eine Verbindung zu unserer Philips Hue Bridge konnten wir hingegen aufbauen und den lokalen Verkehr zwischen den beiden Geräten einsehen. Das Bosch Gateway verwendet die offizielle Hue API, was wiederum bedeutet, dass die Kommunikation unverschlüsselt über das HTTP-Protokoll läuft. Das Problem besteht also nicht auf Seiten von Bosch, sondern müsste von Philips behoben werden (darauf haben wir bereits in unserem Philips Hue Test hingewiesen).

Kommunikation per Funk

Der Controller kommuniziert mit den Smart Home-Komponenten über eine 868 MHz-Frequenz (proprietär) und ein ZigBee Funkprotokoll (2.4 GHz), dabei handelt es sich um einen internationalen Standard für leistungsfähige Funkverbindungen im Bereich der Hausautomatisierung und bei niedriger Leistung. Alle Smart Home-Komponenten, mit Ausnahme der Bewegungsmelder, verwenden ein proprietäres Protokoll, um über das 868 MHz-Band zu kommunizieren. Die Bewegungsmelder selbst funken auf 2,4 GHz (ZigBee), was eine viel größere Bandbreite erlaubt.

Mit dem Einsatz von ZigBee als Funkstandard verwendet Bosch modernste Verschlüsselungstechnologie mit gerätespezifischen Verbindungsschlüsseln, welche zum Aufbau einer Erstverbindung mit dem Controller, bei der ein Austausch individueller Verschlüsselungskeys erfolgt, eingesetzt werden. Während andere Hersteller auf öffentlich bekannte Schlüssel für die Ersteinrichtung zurückgreifen, macht die Methode der Nutzung von gerätespezifischen Verschlüsselungskeys ZigBee zu einem sehr sicheren Übertragungsprotokoll für drahtlose Netzwerke. Ähnliche Technologien kommen wohl auch beim proprietären 868 MHz-Funkprotokoll zum Einsatz und die Geräte, die auf dieser Frequenz funken, verfügen ebenfalls über einen individuellen Geräteschlüssel.

Datenschutz

Die Datenschutzerklärung zur Smart Home-App von Bosch ist an die Dienste des Unternehmens angepasst und sie ist für 18- bis 19-Jährige leicht verständlich (Bewertung der Lesbarkeit nach der Flesch-Kincaid Reading Ease Metrik). Die Themengebiete sind klar definiert, ebenso die Angaben zur Datenerfassung und der Zweck dieser Erfassung. Ein Datenaustausch in Verbindung mit dem Smart Home-System findet nur mit Update- und Zeitservern statt, darüber hinaus zu statistischen Analysezwecken.

Die Daten des Smart Home-System setzen sich aus Nutzernamen, angebrachtem Zubehör, Spezifikationen des Controllers sowie den Seriennummern und Softwareversionen der einzelnen Komponenten zusammen. Zusätzliche Daten werden nur aufgezeichnet, wenn Support erforderlich wird. In Verbindung mit der Datenschutzerklärung bestehen drei geringfügige Probleme, die Bosch beheben sollte: Die Erklärung ist zwar korrekt im Google Play Store verlinkt, jedoch nicht im App Store von Apple. Der Link über die Android-App verweist nur auf die Datenschutzerklärung in deutscher Sprache (der Grund dafür liegt vermutlich darin, dass die Produkte nur in Deutschland und Österreich verfügbar sind). Und es wird das Datum angezeigt, an dem die Erklärung zuletzt überarbeitet wurde (11.04.2017).

Die Berechtigungen der Android-App liegen in dem notwendigen Rahmen:

  • Kamera (Erfassung von QR-Codes zur erstmaligen Einrichtung der Produkte)
  • WLAN (Kommunikation mit dem Controller)
App-Berechtigungen der Android-App
App-Berechtigungen der Android-App

Fazit

Das Starter-Paket von Bosch Smart Home machte auf uns insgesamt einen sehr guten Eindruck. Die Kommunikation zwischen den Geräten ist gut gesichert und mögliche Angriffe wären nur mit einem sehr hohen Aufwand möglich. Eine gute weitere Sicherheitsebene besteht durch die physische Interaktion mit dem Controller, z.B. wenn ein weiterer Sensor mit dem Controller verbunden wird. Erfreulich war auch festzustellen, dass die Datenschutzerklärung von Bosch sehr detailliert und datenschutzgerecht ist.

Im Ergebnis unseres Schnelltests konnten wir dem Smart Home Starter-Paket drei von drei möglichen Sternen und damit die Maximalwertung verleihen.

Auch die umfangreichen Zertifizierungstests, die unsere IoT-Experten durchgeführt hatten, hat das Produkt von Bosch mit Erfolg bestanden und wurde infolgedessen mit dem Gütesiegel „Approved Smart Home Product“ von AV-Test belohnt.