Die „Qivicon Home Base“ der Telekom passiert zum wiederholten Male erfolgreich die Zertifizierungstests und erhält das Sicherheitszertifikat des AV-TEST Instituts. Doch auch zwei weitere aktuelle Produkte aus dem Magenta-Universum der Telekom passierten die Labortests erfolgreich und tragen von nun an die Auszeichnung „Sicheres Smart Home Produkt“: Der Telekom-Router „Speedport Smart 3“ und der Sprachassistent „Smart Speaker“.

Sichere Basis: Qivicon Home Base 2

Im IoT-Sicherheitslabor des AV-TEST Instituts ist die Smart Home-Zentrale von Qivicon eine gute alte Bekannte. in Kombination mit Magenta SmartHome durchlief die Telekom-Basis zur Hausautomatisierung erneut erfolgreich das Rezertifizierungsverfahren. Überprüft wurde das Gerät selbst zusammen mit den entsprechenden mobilen Anwendungen auf Android (v5.6.1) und iOS (v5.6.0).

Im Rahmen der umfangreichen Tests zeigten sich alle relevanten Verbindungen zum Internet von und zur Home Base 2 sowie zu den zugehörigen Anwendungen über TLS 1.2 als gut verschlüsselt. Ein Abhören der Kommunikation sowie die Manipulation von Daten durch potentielle Angreifer wird dadurch effektiv verhindert. Durch den Einsatz von Zertifikat-Pinning ist die Kommunikation zudem wirksam gegen Man-in-the-Middle-Angriffe geschützt. Im Test der zugehörigen Apps für Android und iOS stellten die Tester ebenfalls keine kritischen Mängel fest. Und die ausführliche und informative Datenschutzerklärung kann für Smart Home-Produkte als vorbildlich angesehen werden.

Somit erfüllt die „Qivicon Home Base 2“ erneut die Sicherheitsanforderungen des AV-TEST-Zertifizierungsverfahrens und erhält für ein weiteres Jahr das Zertifikat „Sicheres Smart Home Produkt“.

Zertifizierter Router: Speedport Smart 3

Mit dem „Speedport Smart 3“ bringt die Telekom das aktuelle Router-Standardmodell an den Start. Im Vergleich zu den Vormodellen glänzt der durch höheren Datendurchsatz und Mesh-Funktionalität. Zudem kann er als Basis für Magenta SmartHome-Angebote eingesetzt werden. Doch auch die für den Betrieb eines sicheren Smart Home nötigen Funktionen und Einstellungen wurden bei der Entwicklung des Routers bedacht, wie der Zertifizierungstest im IoT-Labor bewies.

Sowohl in der statischen Schwachstellenanalyse auf bekannte und spezifische Schwachstellen sowie in der dynamischen Prüfung mit einer Reihe von Standardangriffen zeigten weder die Android- noch die iOS-App Mängel, die negativen Einfluss auf die allgemeine Anwendungssicherheit haben könnten. Die Überprüfung der LAN-Kommunikation zeigte gut verschlüsselte Verbindungen ohne sicherheitskritische Fehler oder Schwachstellen und bot so ebenfalls keinen Grund für Beanstandungen.

In der Analyse der Online-Kommunikation des „Speedport Smart 3“ stand die gesamte Kommunikation zwischen mobiler Anwendung und Cloud sowie zwischen Gerät und Cloud auf dem Prüfstand. Dabei ergaben unsere umfangreichen Scans keine Hinweise auf ausnutzbare Schwachstelle auf kritischer Ebene. Die Kommunikation zwischen Speedport, Cloud und mobilen Anwendungen, findet geschützt gegen die üblichen Man-in-the-Middle-Angriffe statt. Das Certificate Pinning ist effektiv implementiert.

Die Datenschutzerklärung der „Magenta SmartHome App“ (25.05.2018) informiert den Kunden ausführlich und es ist klar definiert, welche Art von Daten von welcher Instanz, z.B. der Home Base 2 selbst oder den entsprechenden Apps, erfasst werden. Die Daten werden in Deutschland oder anderen europäischen Ländern verarbeitet. Müssen Daten außerhalb der EU verarbeitet werden, gilt ein angemessenes Datenschutzniveau.

Mit diesen ordentlichen Testwerten erhält der Telekom-Router „Speedport Smart 3“ erstmals das Sicherheitszertifikat des AV-TEST Instituts.

Saubere Ansage: Telekom Smart Speaker

Auch der neue Smart Speaker der Telekom unterzog sich dem AV-TEST Smart Home Zertifizierungsprozess. Überprüft wurde das Gerät zusammen mit den entsprechenden mobilen Anwendungen auf Android (v1.6.0) und iOS (v1.6.0). Dabei zeigten sich alle relevanten Verbindungen zwischen Internet und Smart Speaker sowie zu den Apps ordentlich verschlüsselt (TLS 1.2) und gegen standardisierte Abhörattacken und Manipulationsversuche gut gerüstet. Durch das Pinning von Zertifikaten wird Man-in-the-Middle-Angriffen keine Angriffsfläche geboten.

Beim Check der Apps zeigten sich keine kritischen Mängel. Während des Testverfahrens wurde ein Firmware-Update-Prozess überprüft. Dabei erfolgt die Datenübertragung vollständig verschlüsselt über eine gesicherte Verbindung. Im Labor wurden eine Reihe von Standard-Man-in-the-Middle-Angriffen durchgeführt, die Seitens des Smart Speakers durch eine entsprechende Zertifikatsverifizierung jedoch erfolgreich abgewehrt wurden.

Testaufbau des Speaker-Tests: Überprüft werden unter anderem alle IP-basierten Verbindungen zwischen Gerät, App und cloud-basierten Diensten.

Wir beobachteten und analysierten die gesamte Kommunikation zwischen App und Cloud sowie zwischen Speaker und Cloud, um potenzielle Schwachstellen festzustellen. Dabei traten keine kritischen Schwachstellen zutage.  Zwar offenbarte das Gerät im üblichen Rahmen Systeminformationen, wie etwa Betriebssystem, Systemzeit, Gerätetyp und den Webserver. Jedoch ist keine dieser Informationen allein für Angreifer ohne vorliegende Schwachstellen ausnutzbar. Unser Scan ergab allerdings keine Hinweise auf eine solche ausnutzbare Schwachstelle. Auch der Smart Speaker kommuniziert mit den angebundenen Cloud-Diensten und mobilen Anwendungen vollständig verschlüsselt und ist gegen übliche Man-in-the-Middle-Angriffe geschützt

Die Datenschutzerklärung der App „Hallo Magenta“ (15.11.2019) informiert über alle datenschutzrelevanten Begriffe mit hohem Detailgrad. Alle erfassten Daten werden in der EU gespeichert und verarbeitet. In Ausnahmefällen, und zur Behebung außerordentlicher technischer Probleme der Systeminfrastruktur, ist Experten von außerhalb der EU der Zugriff auf die Daten gestattet. Dieser Zugriff ist dabei auf die Reparatur als solche beschränkt. Die Daten werden nur an Auftragsverarbeiter und Kooperationspartner weitergegeben. Die Sprachdaten werden bis zu 2 Jahre lang gespeichert. In dieser Zeit werden sie zu Forschungs-, Entwicklungs- und Verbesserungszwecken verwendet. Kunden können innerhalb von 90 Tagen einzelne oder sämtliche Datensätze in der App „Hallo Magenta“ löschen.

Die Berechtigungen der App werden ebenfalls ausführlich erläutert. Ist die Telefonie-Funktion aktiviert, werden Teile des Telefonbuchs mit der Telekom-Cloud synchronisiert. Diese können ebenfalls über die App gelöscht werden. Auch die Kontaktinformationen werden nur für die Telefonie-Funktion verwendet. Mittels integrierter Tracker wird das Nutzerverhalten in anonymisierter / pseudonymisierter Form analysiert. Auch die Erhebung dieser Daten kann vom Kunden in der App deaktiviert werden. Die Telekom teilt transkribierte Sprachdaten mit einem Partner (Retresco GmbH), erwähnt dies allerdings auch deutlich in der Datenschutzerklärung. Beim Einsatz von Sprachassistenten verfahren andere Anbieter, darunter Google und Apple, ähnlich. Für die Sicherheitszertifizierung des Gerätes stellt dies kein Hindernis dar, da die Datenschutzerklärung eindeutig formuliert ist.

Somit erhält auch der Smart Speaker der Telekom nach ausgiebiger Überprüfung durch unser IoT-Labor das Zertifikat „Sicheres Smart Home Produkt“ des AV-TEST Instituts.