ABUS, die bekannte Marke für Sicherheitstechnik in Deutschland, erweitert mit dem Z-WAVE Gateway sein Consumer Electronics Portfolio im Bereich Smart Home. Darüber lassen sich Smart Home-Netzwerke aufbauen, etwa mit ABUS Z-WAVE-Gefahrenmeldern, oder bereits vorhandene Smartvest Funk-Alarmanlagen mit verfügbaren Z-WAVE Komponenten verbinden. Das IoT-Lab von AV-TEST hat das Produkt vor Markteinführung im Zertifizierungsprozess ausführlichen Prüfungen unterzogen. Das ABUS Z-WAVE Gateway durchlief alle notwendigen Tests erfolgreich, sodass wir das Zertifikat „Geprüftes Smart Home Produkt“ vergeben können. Im Folgenden werden die durchgeführten Tests und dazugehörigen Ergebnisse erläutert.

 

Applikationen und Firmware

Für den Test wurden die mobilen Applikationen (in den zu dieser Zeit vorliegenden unveröffentlichten Versionen) sowohl für Android (v1.1.0) und iOS (v1.1.0) analysiert und auf eventuelle konzeptionelle oder implementierungstechnische Schwachstellen hin untersucht.

Dabei fielen kaum Schwächen auf. Nicht sicherheitsrelevante Optimierungsfelder waren in den meisten Fällen dem Pre-Release-Status der Applikationsversionen geschuldet. So fehlten noch an einigen Stellen Fehlermeldungen, z.B. zu einem fehlgeschlagenen Update-Versuch auf iOS. Nicht alle Passwortfelder waren als solche deklariert, was unter Umständen das Mitlesen von Eingaben durch Drittapplikationen ermöglichen könnte. Abgesehen davon gab es an beiden Versionen, sowohl für Android wie auch iOS keine echte Kritik zu üben. Nach Rücksprache mit AV-TEST behob der Hersteller die von den Testern kritisierten Punkte umgehend.

Bei der Untersuchung der Firmware für das Z-WAVE Gateway (in der Version v040027) fiel prinzipiell nur ein Aspekt auf: Das Firmware-Image ist nicht durch Integritäts- oder Authentizitätssichernde Maßnahmen abgesichert. Eine echte Schwachstelle stellt dieser Fakt allein noch nicht dar, einem potentiellen Angreifer ist es hierdurch aber Reverse Engineering möglich, um die Funktionsweise des Gateways nachzuvollziehen und mögliche Schwachstellen ausfindig zu machen. Auf dem Übertragungsweg selbst ist das Image allerdings  gegen Manipulation geschützt, sodass Nutzer keine Sorge vor dem Aufspielen einer möglicherweise abgeänderten Version haben müssen.

 

Kommunikation online und lokal

Auch im Bereich der lokalen und online Kommunikation konnte das Z-WAVE Gateway in unseren Tests durch ein adäquates Sicherheitsniveau punkten. Das Konzept, das hier zur Anwendung kommt, um eine gesicherte Verbindung zwischen App, Basis und Cloud zu gewährleisten, bietet für das Einsatzszenario soliden Schutz. Zur hauptsächlichen Kommunikation wird das verbindungslose, standardmäßig unverschlüsselte UDP-Protokoll verwendet, bei dem man hier in diesem Fall den eigentlichen Payload extra verschleiert. Diese Umsetzung kann als ausreichend sicher angesehen werden. Allerdings weist es im Gegensatz zur klassischen Lösung mit SSL-gesicherter TCP-Verbindung, einige sicherheitstechnische Nachteile auf. So sind etwa Man-in-the-Middle-Attacken auf eine UDP-Verbindung für Client und Server quasi nicht detektierbar, was zumindest theoretisch Angriffsszenarien ermöglicht, sollte der Payload mitlesbar sein.

Beim Firmware-Update-Prozess wird das Firmware-Image ausschließlich über eine SSH-Verbindung (SSH-2.0-OpenSSH_6.4), d.h. verschlüsselt, auf die Basis übertragen. Eine Manipulation des Images auf dem Übertragungsweg kann somit praktisch ausgeschlossen werden.

Firmware-Update über eine sicher verschlüsselte SSH-Verbindung

 

Datenschutz

Die  Nutzungsbedingungen für das ABUS Z-WAVE Gateway enthalten unter anderem auch die Datenschutzerklärung (Stand: 01.12.2018) für das Produkt. Die wesentlichen und wichtigsten Informationen werden dem Kunden darin zur Verfügung gestellt. Demnach werden bei der Nutzung des Z-WAVE Gateway lediglich die öffentliche IP (inklusive Netzwerk-Zugriff Ports) sowie die Geräte-ID selbst erfasst und gespeichert. Sparsam und damit vorbildlich!

Für eine noch bessere Datenschutzerklärung wären zusätzliche Informationen über die Verwendung der recht umfangreichen App-Berechtigungen (Audioaufnahme, Schließen von Hintergrundprozessen u.ä.) sowie  zu Speicherort und -dauer zielführend. Im Fall von ABUS Z-WAVE Gateway werden allerdings laut Datenschutzerklärung ohnehin nur relativ unkritische Daten gespeichert, sodass das Fehlen dieser Informationen nicht weiter ins Gewicht fällt. Die Transparenz für den Kunden könnte durch Erweiterung der Datenschutzerklärung in diesen Belangen allerdings verbessert werden. Der Hersteller hat nach Absprache mit AV-TEST bereits seine Bereitschaft erklärt, die Datenschutzerklärung entsprechend anzupassen.

 

Berechtigungen der Android-Applikation

 

Fazit

Das ABUS Z-WAVE Gateway bietet insgesamt ein adäquates Sicherheitsniveau. Einige aus unserer Sicht weniger kritische Punkte könnten noch verbessert werden. Wir sind allerdings überzeugt, dass ABUS hier noch Anpassungen vornehmen wird. Wir konnten den Hersteller bei der Entwicklung begleiten und dabei die fortlaufende und sicher weiter anhaltende Verbesserung Schritt für Schritt verfolgen. Im Bereich Datenschutz und Privatsphäre gibt es ebenfalls keinen wirklichen Grund zur Beanstandung – zusätzliche Informationen, etwa zu Speicherort und -dauer sowie Verwendung der geforderten App-Berechtigungen, wären ein Plus, trüben den sonst guten Eindruck aber nicht.

Das ABUS Z-WAVE Gateway durchläuft insgesamt erfolgreich den AV-Test Zertifizierungsprozess und kann wird darum mit dem Siegel „Geprüftes Smart Home Produkt“ ausgezeichnet.