Ein weiteres Produkt aus der Kategorie “Smart Home” hat unseren Zertifizierungstest erfolgreich durchlaufen – Die CloudMatic Lösung, die eine gesicherte Fernzugriffs- und –steuerungsmöglichkeit für die eQ3 Homematic CCU2 zur Verfügung stellt. Wie sicher die Kombination aus verschlüsselter Cloud-Kommunikation und Steuerung per VPN-Tunnel funktioniert, klärt der folgende Testbericht.

 

Online-Kommunikation

Den sicheren Fernzugriff auf die Homematic CCU realisiert CloudMatic über eine Kombination aus gesichertem Cloudzugriff per mobiler App und einem VPN-Tunnel aus der Cloud zur CCU. Diese zwei Aspekte wurden in unserem Aspekt dementsprechend auch genau unter die Lupe genommen.

Die Cloudverbindung und damit der Login in für den Fernzugriff wird über eine mobile Applikation über beispielsweise Android durchgeführt. Wir haben uns dafür die CloudMatic EASY App angeschaut, um herauszufinden, ob die Verbindungen dabei abgesichert sind – denn eine sichere Steuerung über VPN allein reicht nicht aus, wenn der Zugriff darauf ungesichert ist.

Wie die folgenden Abbildungen zeigen, waren die beobachteten Verbindungen der mobilen Applikation (in der Vorabversion 2.5.0) durchweg adäquat verschlüsselt.

Nutzer-Login über TLS 1.2 abgesicherte Verbindung

Auch unsere für dieses Testszenario durchgeführten Man-in-the-Middle-Angriffe auf unter anderem den Nutzerlogin waren hierbei nicht erfolgreich – Die verschlüsselten Verbindungen sind durch ein sogenanntes Zertifikats-Pinning zusätzlich abgesichert und machen es für einen Angreifer ohne das entsprechende Serverzertifikat praktisch unmöglich sich unauthorisiert in die Verbindung einzuklinken.

Fehlgeschlagener Man-in-the-Middle-Angriff auf Nutzer-Login
Applikation erkennt den Man-in-the-Middle-Angriff und meldet den entsprechenden Fehler

Für den Aufbau der VPN-Verbindung aus der Cloud zur CCU konnten wir im Test konnten im Test ebenfalls keine offensichtlichen Schwachstellen identifiziert werden. An dieser Stelle sollte es für einen Angreifer ohnehin erheblich schwerer sein, ein Angriff anzusetzen, sodass die Verbindung von der App zur Cloud als kritischster Bereich betrachtet werden muss.

 

Applikation

Die Android Applikation selbst weist erst einmal keine offensichtlichen, gravierenden Schwachstellen auf. Fehlende Obfuscation sicherheitsrelevanter Funktionen und Klassen erlaubt potentiellen Angreifern zwar einfach und unkompliziert eine Rekonstruktion bzw. Manipulation der Funktionsweise der Applikation, eine echte Schwachstelle stellt dieser Fakt allein jedoch noch nicht dar.

Auch wenn die App keinerlei kritische Informationen in Form von logs oder Debug-Ausgaben im Android logcat preisgibt, gibt es auf Smartphones mit root-Rechten allerdings die Möglichkeit aus den Appdaten direkt die Klartext Nutzer-Credentials auszulesen. Wir werten dies nicht als direkte Schwachstelle, es soll aber vermerkt sein, da es für moderne Schadsoftware durchaus im Bereich des Machbaren liegt.

 

Datenschutz

Die Datenschutzerklärungen von CloudMatic und der EASY SmartHome GmbH beziehen sich nur auf die Nutzung der jeweiligen Webseite, nicht aber auf die Nutzung der App. Da die App aber einen wichtigen Bestandteil für die Nutzung des Systems darstellt, sollte sie unserer Auffassung nach in der Datenschutzerklärung zumindest Erwähnung finden.

Die Nutzung der CloudMatic-Dienste wird ebenfalls erwähnt, sowie die hierbei erfassten Daten – Eine Erwähnung des Zwecks der Datenerfassung wäre in diesem Punkt aber ebenfalls noch wünschenswert.

Da die Android App verhältnismäßig viele Berechtigungen aufweist, würden wir außerdem eine Erwähnung des Zwecks der Berechtigungen in der Datenschutzerklärung empfehlen, da so die Transparenz für den Kunden noch weiter verbessert werden könnte. Da die App größtenteils aus einer Browserkomponente besteht, könnte an dieser Stelle möglicherweise sogar auf einen Teil der Berechtigungen verzichtet werden.

Eine Versionierung der Datenschutzerklärung, sowie die Möglichkeit, sie vor Login/Registrierung in der App sowie im laufenden Betrieb einzusehen, werden weiterhin von unserer Seite empfohlen.

Insgesamt bietet die CloudMatic Lösung in Sachen Datenschutz aber keine gravierenden Kritikpunkte, sodass wir auch in diesem Punkt keinen Anlass zu einer Abwertung sehen.

 

Bewertung

Die CloudMatic Lösung stellt einen sicheren Weg zur Verfügung das eQ3 Homematic Smart-Home-System über einen Fernzugriff zu verwalten und zu steuern. Die gewählte Kombination aus mobiler Applikation und VPN-Verbindung bietet neben Vorteilen für die Benutzerfreundlichkeit ebenfalls sicherheitstechnisch ein hohes Schutzniveau. Da im Test auch sonst keine schwerwiegenden, offensichtliche Schwachstellen identifiziert werden konnten, kann die CloudMatic Lösung als adäquat sicher betrachtet werden und erhält demnach das AV-TEST Zertifikat „Sicheres Smart Home Produkt“.