Man kennt es: Oftmals vergisst man zu lüften – Konzentrationsmangel und Müdigkeit sind die Folge. Raumluftsensoren können hier helfen – wir haben uns einmal die Wetterstation und den Home Coach aus dem Hause Netatmo angesehen und auf den Sicherheitsprüfstand gestellt. 

Auf den ersten Blick ähneln sich Netatmo Weather und Home Coach sehr, abgesehen von der Gehäusefarbe. Die Funktionen ähneln sich ebenso, aber der Einsatzzweck ist leicht unterschiedlich. Die Netatmo Weather ist schon einige Jahre auf dem Markt und versorgt den Nutzer dank Thermo- und Barometer, Feuchtigkeitsmesser, CO2-Messgerät und einer Lärmmessung mit allerlei nützlichen Sensordaten. Anhand der CO2-Konzentration (in ppm) wird unter anderem die Luftqualität im Raum angezeigt. Der Netatmo Home Coach setzt hier an und benachrichtigt aktiv über die aktuelle Luftqualität.

© Netatmo

Applikationen

Auch wenn sich Netatmo Weather und Home Coach sehr ähnlich sind, sind zwei verschiedene Apps notwendig, um auf sie zuzugreifen. Die Netatmo Weather App (Android, iOS) ermöglicht den Blick in die hauseigene Wetterstation, Netatmo Healthy Home Coach (Android, iOS) den Zugriff auf den Hüter des Raumklimas.

Netatmo Weather und Home Coach (Verschiedene Räume)

Beide Apps wurden von uns einer statischen und dynamischen Analyse unterzogen. Sie offenbarten keine kritischen Schwachstellen, auch wenn bei beiden kleinere Punkte aufgefallen sind, die sich der Hersteller einmal ansehen sollte. Hierzu zählen unter anderem Compiler-Flags, die zur Verhinderung von Buffer-Overflow-Attacken gesetzt werden sollten. Insgesamt ist das Sicherheitskonzept der Apps aber als solide zu betrachten.

Online-Kommunikation

Die Netatmo-Geräte sind rein cloud-basiert, lassen sich also nur über das Internet ansprechen. Eine lokale Kommunikation wurde von uns nach der Einrichtung nicht mehr festgestellt.

Die Internetkommunikation der beiden Netatmo-Geräte und Apps war zu jeder Zeit verschlüsselt. Während die Apps auf Standardprotokolle zurückgreifen (TLS1.2), wird für die Kommunikation der Netatmo-Geräte mit der Cloud des Herstellers aber scheinbar eine proprietär implementierte Verschlüsselung genutzt. Auch wenn die hierbei übertragenen Daten letztlich nicht hochsensibel sind, würden wir die Verschlüsselung mit gängigen Protokollen empfehlen.

Datenschutz

Die Datenschutzerklärung von Netatmo (Stand 27.07.2020) füllt mit ihren ca. 7000 Wörtern etwa 21 A4-Seiten. Sie informiert sehr detailliert über die wichtigsten Themen, allerdings ist die Verständlichkeit nach Flesch-Kincaid-Lesbarkeitsindex eher auf Universitätsniveau (Grade Level 13.4) angesiedelt.

Ob der Länge und Komplexität raten wir dem Hersteller die Datenschutzerklärung zu vereinfachen und zusätzlich eine verkürzte Version/Übersicht zur Verfügung zu stellen, sodass man sich in kurzer Zeit über die wichtigsten Datenschutzthemen informieren kann.

Beim Einrichten der App fiel die angeforderte Standortberechtigung auf. Diese wird auch für die Einrichtung der Netatmo Weather/Home Coach Geräte benötigt, da aufgrund der Android Berechtigungsstruktur nur so eine Bluetooth-Kommunikation möglich ist. Laut Datenschutzerklärung wird der Standort des Geräts aber beispielsweise auch bei einem Crash der App an Netatmo übertragen. Die Position der Wetterstation wird selbst dann ermittelt, wenn man die Daten nicht mit der Netatmo Weathermap teilt – hier sollte der Hersteller noch einmal tätig werden.

Die statische Analye hat in der Netatmo Weather App Tracker von Google Firebase und Crashlytics, in der Home Coach App zusätzlich Google Analytics identifiziert. Letzterer Analysedienst wird allerdings in der Datenschutzerklärung nicht benannt. Auch ist die Home Coach App nicht unter eigenem Namen, sondern im Bereich „Air Care“ zu finden.

Was uns sehr verwunderte, war, dass der Zugriff auf Netatmo-Dienste außerhalb von Frankreich laut Nutzungsbedingungen auf „eigenes Risiko“ erfolgt. („Die Serviceleistungen werden in den folgenden Ländern gehostet: Frankreich, Irland, Deutschland, Niederlande, USA und Japan. Wenn Sie von außerhalb Frankreichs auf die Inhalte oder Serviceleistungen zugreifen, tun Sie das auf eigenes Risiko.“) In der englischsprachigen Version erfolgt hingegen jegliche Nutzung auf eigenes Risiko. Hier sollte die Übersetzung einmal kontrolliert werden.

Fazit

Beide Netatmo-Lösungen (Weather und Home Coach) konnten in unserem Test viele Punkte sammeln, auch wenn hier und da Kleinigkeiten auftauchten. Die größte Auffälligkeit betrifft die sehr lange Datenschutzerklärung, die zwar über alle wichtigen Aspekte informiert, aber durch die komplizierten Formulierungen einer Überarbeitung bedarf.