Und wieder ein Jubiläum! Seit 2018 bei uns in der Zertifizierung und damit nun schon zum 5. Mal getestet: Das XT1 Plus Starter Kit vom deutschen Alarmsystemhersteller Lupus-Electronics. Zu diesem Anlass wollen wir den aktuellen Stand des Systems beleuchten und erklären, warum es auch heute, nach 5 Jahren, immernoch unser Siegel „Geprüftes IoT Produkt“ verdient.

Die mobilen Applikationen in den aktuellen Versionen (Android 3.2.5 und iOS 3.1.35) lieferten in der statischen Quellcodeanalyse nach wie vor keine wirklich nennenswerten Probleme. Die iOS-Applikation, naturgemäß ohnehin weniger anfällig für viele Schwachstellen, gab prinzipiell überhaupt keinen Ansatz für Kritik. Die Android-App weist nur die für praktisch jede Android-Applikationen typischen kleineren Konfigurationsprobleme auf, die meist auch lediglich theoretische Schwächen darstellen. Beispiele dafür sind etwa Intent Receiver, die möglicherweise von anderen Apps auf dem selben Smartphone mitgelesen werden können. In der Praxis erweisen sich diese Punkte aber selten als relevant und auch im Falle der Lupusec XT1+ sahen wir hier keinen Grund von einer echten Schwachstelle auszugehen: Weiterhin ist die Implementation in den sicherheitsrelevanten Bereichen als adäquat und solide anzusehen.

Die lokale und Online-Kommunikation ist ebenfalls größtenteils unverändert geblieben: Im lokalen Netz greift der Nutzer entweder direkt über den Browser auf die Steuerungsoberfläche seiner Anlage zu oder verwendet dafür eine der mobilen Applikationen. In beiden Fällen kommuniziert der Nutzer direkt mit der Anlage, ohne den Umweg über das Internet gehen zu müssen und adäquat abgesichert, um so auch gegen potentielle Angreifer im eigenen Netzwerk geschützt zu sein. Um den gleichen Zugriff auch von unterwegs über das Internet zu realisieren, wird ein DynDNS-Dienst verwendet. Dabei wird der Anlage eine quasi feste Internetadresse zugeordnet, die sich auch nach einer IP-Änderung nicht ändert. Über eine Portweiterleitung im Router des Nutzers kann dann von überall auf die Alarmanlage zugegriffen werden. Dieser Zugriff ist hierbei natürlich auch noch einmal mit einer Nutzername-Passwortabfrage und einer verschlüsselten Verbindung abgesichert.

Die iOS-Applikation erkennt ein unbekanntes Zertifikat während eines Man-in-the-Middle-Angriffs und informiert korreterweise den Nutzer

In Sachen Datenschutz konnte das System, vom ersten Test an mit Datensparsamkeit punkten, da es eine vollumfängliche Nutzung der Alarmanlage ermöglicht, ohne dabei persönliche Daten angeben zu müssen. Was integrierte Tracker angeht, konnten wir im Test auch nur Google Firebase Analytics identifizieren – dieser ist aber auch praktisch in wirklich jeder App heutzutage enthalten. Die Anforderungen an die Datenschutzerklärung sind dementsprechend auch relativ überschaubar. Solange die essentiellen Informationen zu Datensammlung, -speicherung und -weitergabe enthalten sind, kann man hier eigentlich nicht wirklich viel falsch machen. Luft nach oben gibt es in diesem Punkt aber auch praktisch immer. Im Prinzip hatten wir hierbei nur Formalien anzumerken: Die Datenschutzerklärung, die in den App-Stores verlinkt ist, referenziert die allgemeine Datenschutzerklärung von Lupus-Electronics, geht aber nicht explizit auf die App-Nutzung ein. Beim ersten Start der App wird dann aber in den angezeigten Nutzungsbedingungen auch die App adressiert. Für den Nutzer wäre es sicher einfacher, wenn diese Informationen auch schon über die Links in den App-Stores und vor Download der App zugänglich wären, aber ein wirklich kritischer Punkt ist das natürlich nicht. Ebenfalls für eine erhöhte Nutzerfreundlichkeit, könnte außerdem noch ein Datum der Erstellung bzw. Änderung eingefügt werden, damit man hier stets weiß, ob man auf dem aktuellen Stand ist, ohne die Datenschutzerklärung periodisch immer wieder lesen zu müssen, um mögliche Änderungen aufzuspüren.

Insgesamt erfüllt das Lupusec System auch weiterhin alle Anforderungen für eine erfolgreiche Zertifizierung. Dementsprechend vergeben wir auch in diesem Jahr und zum fünften Mal in Folge unser Siegel „Geprüftes IoT Produkt“ an das Lupus-Electronics XT1 Plus Starter Kit! Herzlichen Glückwunsch und viel Erfolg für die nächsten 5 Jahre!