Mittlerweile zum 7. Mal zur Rezertifizierung bei uns im Labor: Das Smart Home System von BOSCH. Zu diesem Anlass hat uns BOSCH dieses Jahr den neuen schlankeren Smart Home Controller II zur Verfügung gestellt. Zusammen mit den aktuellen App-Versionen hat auch dieser unsere gewohnten Tests durchlaufen und dabei ebenso vorbildlich abgeschnitten, wie schon sein Vorgänger. Ob und was sich sonst geändert hat, soll der folgende kurze Testbericht erläutern.

Im Bereich der mobilen Applikationen für das BOSCH Smart Home System gab es in vergangenen Tests immer nur marginale Punkte anzumerken und auch bei den diesjährig untersuchten Versionen (Android v10.16.2986 und iOS v10.16.1) hatten wir keinen Anlass für ernsthafte Kritik: Die Implementierung sicherheitsrelevanter Funktionen, wie etwa der Kommunikationsverschlüsselung, ist adäquat umgesetzt und ohne offensichtliche Schwachstellen. Auch aus datenschutztechnischer Sicht gibt es hier bei einer rein statischen Untersuchung erst einmal nichts Verdächtiges festzustellen. Lediglich drei Standard Google-Tracker sind zu identifizieren (Firebase, Analytics, Tag Manager), welche heutzutage im Prinzip in jeder Android-Applikation enthalten sind und auch sonst lassen weder die geforderten Berechtigungen noch die beobachtbare Kommunikation auf eine unnötige oder gar exzessive Datensammlung schließen. Neu in der iOS-Applikation ist die Integration eines neuen Trackers von Qualtrics, dessen Verwendung aber detailliert in der Datenschutzerklärung erläutert wird.

Integrierte Tracker Android (oben) und iOS (unten)

Der Smart Home Controller II (in Firmware v10.17.3151-29317) selbst wurde im Test auch wieder allen Scans und Schwachstellenanalysen unterzogen und wie auch beim Vorgänger können hier keine gravierenden Probleme festgestellt werden. Das System bietet, auch in Version 2, nach wie vor eine geringe Angriffsfläche, sodass das Risiko für eine praktisch auszunutzende Schwachstelle sehr gering erscheint.

Getestete Geräte- und Firmwareversion

Wie auch üblich für die Zertifizierung haben wir uns außerdem auch wieder alle ein- und ausgehende Kommunikation der Applikationen und des Gerätes selbst angesehen, um auch in diesem Bereich nach möglichen Implementations- oder Konfigurationsfehlern zu suchen, die zu einer Schwachstelle führen könnten. So haben wir auch wieder verschiedene Arten von Replay-, Spoofing- und Man-in-the-Middle-Angriffen gegen das BOSCH Smart Home System gefahren, konnten aber auch hierbei keine Indizien für ein potentielles Problem feststellen.

Erfolglose Man-in-the-Middle-Angriffe auf die Kommunikation der App (unten) und des Smart Home Controllers (oben)

Im Bereich Datenschutz war die BOSCH Lösung in vergangenen Tests immer vorbildlich und auch daran hat sich dieses Jahr nichts Gravierendes geändert. Die Datenschutzerklärung ist inhaltlich immer noch sehr detailliert und gut verständlich formuliert. Der Nutzer wird über alle Implikationen, die die Nutzung des Systems mit sich bringt ausführlich informiert – im Falle der BOSCH Lösung sind diese aber sowieso recht übersichtlich, da das System ohnehin sehr datensparsam daherkommt.

Insgesamt gibt es also auch in diesem Jahr mit dem neuen Smart Home Controller II keinen Anlass für ernsthafte Kritik am BOSCH Smart Home System von unserer Seite. Die Lösung ist sicherheitstechnisch auch weiterhin auf einem hohen Niveau und verdient dementsprechend nach wie vor das Zertifikat „Geprüftes IoT Produkt“. Herzlichen Glückwunsch und auf die nächsten 7 Jahre!