Viele Smart Home-Systeme bringen Einbruchschutz als zusätzliches Feature mit, selten gibt es Systeme, die den Schutz der eigenen vier Wände in den Vordergrund stellen. Eines davon ist Ring Alarm. Wir haben das Alarmsystem unter die Lupe genommen und geprüft, wie es um die IT-Sicherheit und den Datenschutz der Gesamtlösung bestellt ist.

Gekoppelte Geräte sowie das Protokoll in der Ring App

 

Technische Daten

Das Ring Alarm Starterset besteht in der kleinsten Konfiguration aus der Basisstation, einem Keypad, einem Tür-/Fensterkontakt sowie einem Bewegungsmelder und Signal-Verstärker (Repeater).

Sowohl die Basisstation als auch der Repeater verfügen über einen internen Akku (5100mAh bzw. 1100mAh), mit denen die Geräte einen 15minütigen Stromausfall mit allen bzw. weitere 24 Stunden mit eingeschränkten Features überbrücken können. Die Basisstation verfügt zusätzlich über eine SIM-Karte (in unserem Fall aus dem Hause AT&T), sodass auch Internetausfälle überbrückt werden können, sofern Mobilfunkempfang vorhanden ist und das Plus-Abonnement abgeschlossen wurde.

Die Basis verfügt sowohl über WLAN, Z-Wave als auch Zigbee. Alle mitgelieferten Geräte funken via Z-Wave Plus. Dieser Funkstandard verbessert den Z-Wave Standard in Bezug auf Stromverbrauch, Reichweite und Bandbreite. Weiterhin wurden bessere Fehlertoleranz sowie ein standardisiertes Verfahren für Firmware-Updates (OTA) implementiert.

Alle Geräte verfügen über einen gerätespezifischen, aufgedruckten Key. Durch diesen findet ein Teil des Schlüsselaustauschs zwischen Basis und Gerät nicht in der Z-Wave Kommunikation selbst statt, sodass dieser nicht vollständig belauscht werden kann. Im Auslieferungszustand sind alle Geräte bereits mit der Basisstation gekoppelt.

Applikationen

Die Ring App (Android, iOS) wurde einer statischen und dynamischen Analyse unterzogen. Da die App das recht umfangreiche Produktportfolio abdecken muss, sind auch die Berechtigungen der App vergleichsweise umfangreich. Sie werden aber nur angefordert, wenn notwendig.

In der Analyse konnten keine nennenswerten Schwachstellen ausgemacht werden.

Integrierte Tracker

In der App sind vergleichsweise viele Tracker vorhanden, die Kommunikation mit selbigen war aber zu jeder Zeit verschlüsselt. Weiterhin ist Certificate Pinning in die App implementiert, sodass Man-in-the-Middle Attacken wirksam vorgebeugt wird.

Online-Kommunikation

Wie wir aufgrund unseres Tests der Ring Doorbell 2 schon vermuteten, konnten wir auch beim Test der Ring Alarm Lösung keine unverschlüsselte Kommunikation feststellen. Sämtliche Kommunikation zwischen App und Cloud bzw. Basis und Cloud war TLS1.2-verschlüsselt.

Ring Basis: Kommunikation mit europäischen Amazon-Servern

 

Ring-App: Kommunikation mit US-amerikanischen Servern

Bei der Überprüfung der Kommunikation ist allerdings aufgefallen, dass die Ring Basisstation mit einem europäischen Amazon-Server (Frankfurt am Main) kommunizierte, die App allerdings nur zu amerikanischen Servern des Konzerns Kontakt aufnahm. Dass dies zu einem Problem führt, wird im Punkt Datenschutz noch einmal gesondert angesprochen.

Alarmfunktion

Da wir nur die IT-Sicherheit des Systems bewerten, hat dieser Testpunkt nur informativen Charakter.

Im Gegensatz zu einigen anderen von uns getesteten Systemen, z.B. im Vergleichstest von Security Starter Kits, verbaut Ring in den Sensoren Sabotagekontakte. Manipulationen an den Sensoren werden daher erkannt und im Protokoll vermerkt und je nach Status der Scharfschaltung auch Alarm ausgelöst. Laut App-Einstellungen sollte bei Manipulationen auch eine Push-Benachrichtigung erscheinen, dies funktionierte im Rahmen des Tests aber nicht.

Manipulationen werden protokolliert

Das entsprechende Abonnement vorausgesetzt, benachrichtigt bzw. alarmiert das System auch, wenn das Internet ausfällt – über das integrierte Mobilfunkmodem. Durch die im Repeater und in der Basis verbauten Akkus überbrücken sie auch längere Stromausfälle, wie eingangs erwähnt.

Datenschutz

Die Datenschutzerklärung von Ring ist versioniert, Benutzer können also auch im Nachhinein nachsehen, was sich über die Zeit geändert hat. Wir haben uns die aktuellste Version vom 21.10.2020 näher angesehen. Bei der Registrierung muss man den vollen Namen sowie eine Mailadresse hinterlegen, beim Hinzufügen von Geräten zusätzlich die Anschrift angeben, an der die Geräte verbaut sind. Warum dies zwingend erforderlich ist, erschließt sich uns nicht in Gänze. Hier sollte Amazon nachbessern bzw. eine zusätzliche Erklärung liefern.

Sofern der Besitzer es erlaubt, wird bei Benutzung der App der aktuelle Standort erfasst. Vorteile hat er hiervon nicht, Geofencing-Features o.ä., die dies rechtfertigen würden, gibt es (noch) nicht.

Die zahlreichen integrierten Tracker der Ring App werden in der Datenschutzerklärung nicht aufgezählt, sondern nur in allgemeiner Form in einem Absatz kurz beschrieben. Auch wird nicht genau benannt, welche Daten hierbei an die Analysedienste übertragen werden. Personalisierte Werbung und die Aufzeichnung von Web- bzw. App Analysedaten kann im Control Center durch den Benutzer deaktiviert werden.

Wie im Bereich Online-Kommunikation erwähnt, kommuniziert die Ring-App mit US-amerikanischen Servern. Hierbei beruft sich die Datenschutzerklärung auf den seit Mitte Juli vom Europäischen Gerichtshof für ungültig erklärten EU-US-Privacy-Shield. Demnach sind die von Ring genutzten Standardvertragsklauseln ebenfalls ungültig und müssen dringend auf den aktuellen Stand gebracht werden, da im aktuellen Stand bei Übertragung von Daten von EU-Bürgern in die USA gegen geltendes Recht verstoßen werden könnte.

Fazit

Ring Alarm konnte in den meisten Bereichen unseres Testkatalogs punkten. Das Sicherheitskonzept des Gesamtsystems ist durchdacht und sehr gut abgesichert. Da sich die Datenschutzerklärung aber auf seit Monaten ungültige Standardvertragsklauseln beruft und einige Angaben vermissen lässt, können wir in diesem Bereich nicht die volle Punktzahl vergeben.