Mittlerweile zum dritten Mal in unserem Testlabor zur Zertifizierung: Die Kombination aus Smart Lock 2.0 und Bridge des österreichischen Herstellers Nuki. In den vergangenen zwei Jahren überzeugte die Lösung dabei mit einem durchdachten und adäquat implementierten Sicherheitskonzept sowie vorbildlicher Praxis im Bereich Datenschutz und -sparsamkeit.

Auch in diesem Jahr fanden unsere Tester eine unverändert solide Umsetzung vor, die wiederholt wenig Raum  für ernsthafte Kritik lässt und somit auch zum dritten Mal völlig verdient unser Zertifikat „Geprüftes Smart Home Produkt“ erhält.

Applikation

Auch in diesem Jahr wurden die zum Testzeitpunkt aktuellsten Applikationsversionen (Android io.nuki v2.6.5, iOS io.nuki.ios v2.6.2) statisch als auch dynamisch nach potentiellen Schwachstellen ausführlich durchleuchtet. Nach wie vor gibt es dabei lediglich marginale Anmerkungen von uns und die Apps überzeugten im umfangreichen Sicherheitstest erneut. Die Applikationen sind weiterhin gut gegen potentielles Reverse-Engineering gewappnet, leisten sich keine gravierenden Fehler bei der Implementation sicherheitsrelevanter Funktionen in Authentifizierung und Kommunikation und sind zudem auch so ausgelegt, dass die Privatsphäre des Nutzers bei der Verwendung geachtet wird. Wir konnten zwar zwei integrierte Google-Tracker-Module identifizieren, diese werden hier aber nur dann verwendet, wenn im Falle einer Fehlfunktion eine Analyse zum Zweck der Dienstverbesserung notwendig wird. Wir bewerten ihr Vorhandensein dementsprechend auch nicht als negativ.

Integrierte Google-Tracker

Die Applikationen sichern sich potentiell einiges an Rechten auf dem Nutzergerät zu, nach unserem Verständnis sind diese aber alle mit einer Notwendigkeit für die eine oder andere Funktionalität erklärbar.

Berechtigungen der Android-Applikation
Berechtigungen der iOS-Applikation

Abgesehen davon ergab unsere Analyse lediglich einige theoretische Schwachstellen in der Implementation der Android- und iOS-Applikationen. Diese haben aber in allen Fällen lediglich hypothetischen Charakter und wurden von uns auch nur der Vollständigkeit halber an den Hersteller Nuki gemeldet. Eine reelle Gefahr geht von ihnen, unserer Einschätzung nach, nicht aus.

Insgesamt also wie gewohnt eine absolut solide Vorstellung in diesem Testbereich.

Lokale und Online Kommunikation

Die lokale Kommunikation zwischen Smart Lock und Smartphone bzw. Applikation erfolgt im Fall des Nuki Smart Lock 2.0 (aktuelle Firmware-Version 2.6.4) nach wie vor über Bluetooth im Standard 5. Der Payload dieser Kommunikation ist dabei ebenfalls nach wie vor gut verschlüsselt und gegen Standardattacken effektiv geschützt. Die Bluetooth-Technik selbst ist zwar, wie jede Funkkommunikation, grundsätzlich anfällig gegen bestimmte Denial-Angriffe mit beispielsweise Störsendern, die unter Umständen gewisse theoretische Gefährdungsszenarien erzeugen können.  Praktisch konnten wir abgesehen davon aber keine kritischen und/oder offensichtlichen Schwachstellen in diesem Bereich feststellen.

Bei der eigentlichen Kommunikation über das Internet zwischen Applikation und Bridge ist ebenfalls keine Schwachstelle aufzufinden – alle Verbindungen sind adäquat und nach aktuellem Standard verschlüsselt und auch gegen die üblichen Standardattacken, wie beispielsweise Man-in-the-Middle-Angriffe effektiv abgesichert.

Online Kommunikation hauptsächlich das Secure-WebSocket-Protokoll

Wir haben die Bridge (zum Testzeitpunkt in der Firmware-Version 2.5.1) außerdem auch auf potentielle Schwachstellen in Konfiguration und Implementation gescannt, aber auch hier präsentierte sich die Lösung wie gehabt absolut solide. Lediglich einige Systeminformationen, beispielsweise zum Hersteller der verbauten Ethernet-Karte, konnten von uns auf diesem Wege ermittelt werden – nichts womit ein reeller Angreifer allein wirklich etwas anfangen könnte.

Datenschutz

Die Datenschutzerklärung ist aktuell immer noch auf dem Stand Mai 2018 und wurde dementsprechend von uns bereits zwei Mal in dieser Version geprüft und zertifiziert. Naturgemäß haben wir also in diesem Punkt auch bei unserer dritten Prüfung keine Kritikpunkte identifiziert: Die Datenschutzerklärung enthält alle essentiellen Informationen, die der Nutzer benötigt, um ausreichend über Datensammlung, -speicherung und –verarbeitung aufgeklärt zu sein.

Insgesamt ist die Nuki Combo 2.0 immer noch eine der datensparsamsten Lösungen, die wir zum Test im Labor bisher hatten und wird daher auch nach wie vor von uns als vorbildlich bewertet.

Fazit

Auch im dritten Anlauf durchläuft die Nuki Combo 2.0 ohne den Anlass zu ernster Kritik unsere Zertifizierungsprozedur und überzeugt dabei nach wie vor mit einem soliden Sicherheitskonzept und vorbildlichem Datenschutz.

Damit erhält die Kombination aus Nuki Smart Lock 2.0 und der dazugehörigen Nuki Bridge auch für 2020 von uns das Zertifikat „Geprüftes Smart Home Produkt“.