Bei wohl kaum einer anderen Produktkategorie des Internet of Things wird die Notwendigkeit für eine adäquate Absicherung, für jedermann, so offensichtlich wie für die Smart Locks – Die unmittelbare Konsequenz vernachlässigter Sicherheit und einer ausnutzbaren Schwachstelle kann hier den eigenen Besitz und die eigene private Sicherheit gefährden. Kein Wunder also, dass Kunden hier genau hinsehen bevor sie eine Kaufentscheidung treffen.

In der Vergangenheit haben wir immer wieder Produkte aus dieser Kategorie getestet und werden dies auch zukünftig weiterhin tun. Die Mehrzahl der beliebtesten Produkte aus dem Bereich „Smart Locks“ sind zudem mit unserem Zertifikat ausgezeichnet und geben somit auch dem Kunden, direkt durch die Auszeichnung auf der Verpackung, die Chance, sichere Produkte zu erkennen.

In der folgenden Übersicht führen wir alle Produkte auf, die wir bereits getestet haben und werden außerdem regelmäßige Updates durchführen, um neu getestete Produkte aufzunehmen, veraltete Tests zu entfernen oder neue Erkenntnisse zu bereits getesteten Produkten einzufügen. Darüber hinaus planen wir außerdem weitere Produktübersichten zu weiteren relevanten Produktkategorien.

Zertifiziert!

Wie bereits erwähnt, haben wir über die Jahre einige der wichtigsten Vertreter in der Rubrik Smart Locks für das Bestehen unserer ausführlichen Sicherheitstests mit unserem Zertifikat ausgezeichnet. In puncto Sicherheit sind hier alle Vertreter absolut würdige Wächter der eigenen Haustür. Auch in Sachen Datenschutz gibt es hier eigentlich keine großen Unterschiede festzustellen. Und wo es die mal gegeben haben sollte, wurden sie als Konsequenz unseres Tests in der Regel binnen weniger Wochen ausgebessert.

Wohingegen einige der Produkte mittlerweile das Ende ihres Lebenszyklus erreicht haben oder schlicht nicht rezertifiziert wurden, sind die folgenden Vertreter aktuell noch zertifiziert (mit Datum des letzten Tests):

Netatmo

Der letzte Zertifizierungs-Neuzugang in der Kategorie Smart Locks ist das Produkt des französischen Herstellers Netatmo. Mit der Smart Door Lock and Keys-Kombination präsentierte Netatmo letztes Jahr ihre Vision für ein sicheres und störungsunempfindliches, smartes Schließsystem. Wie wir selbst bezeugen konnten wurde hier bei der Entwicklung, von Anfang an, der Aspekt Sicherheit großgeschrieben und gipfelte schließlich in einem absolut solide abgesicherten Smart Lock, was im Test keinerlei Indizien für potentielle Schwachstellen lieferte. Auch im Bereich Datenschutz konnten wir hier nur Bestnoten vergeben: Die Datenschutzerklärung informiert den Nutzer vorbildlich und auch über das System selbst lässt sich einer Datensammlung einfach und unkompliziert widersprechen.

Im Gegensatz zu allen anderen Smart Locks, die wir bisher im Test hatten, geht die Netatmo-Lösung einen etwas anderen Weg, was die Bedienung angeht. Wohingegen quasi alle Mitbewerber auf eine motorgesteuerte Bedienung des Schließzylinders setzen, muss bei der Netatmo-Lösung dieser stets händisch bewegt werden. Das System schließt und öffnet die Tür also nicht direkt, sondern gibt die Öffnung lediglich frei bzw. blockiert sie. Für die Störungsanfälligkeit hat dies sicher nur Vorteile, für den einen oder anderen interessierten Kunden könnte dies allerdings ein wichtiger Faktor sein. Das sich das System außerdem, zusätzlich zur klassischen Steuerung über eine mobile Applikation, auch mithilfe von mitgelieferten smarten Keys, die beliebig an- und abgelernt werden können, quasi wie ein normales Schloss bedienen lässt, ist wohl ebenso interessant.

Nuki

Die Smart Locks von Nuki sind seit der ersten, in 2017 erschienenen Version bei uns jährlich im Zertifizierungstest. Von Anfang an konnten wir dabei den Fokus auf Sicherheit und Datenschutz feststellen und mit unserem Zertifikat bescheinigen. In den folgenden Jahren kamen dann die neuen, weiter entwickelten Versionen 2.0, 3.0 und zuletzt die mit Matter-Support ausgestattete Version 4.0 dazu, die ebenfalls problemlos unseren Zertifizierungsprozess durchliefen. Außerdem ist ebenso die integrierte Version in Form der Smart Door, sowie das Peripherieprodukt Opener (in der Tabelle nicht mit aufgeführt) mit dem Prädikat „Geprüftes IoT Produkt“ ausgezeichnet.

Insgesamt ist das Ökosystem von Nuki wohl eines der ausgereiftesten und weitverbreitetsten Lösungen im Bereich Smart Locks, was sich auch nach wie vor in der hohen Kundenbeliebtheit widerspiegelt. Das ohnehin schon hohe Sicherheitsniveau und die weitere, ständige Verbesserung und Erweiterung der Produkte und Produktpalette verspricht außerdem eine hohe Zukunftssicherheit.

tedee

Im letzten Jahr bereits zum 3. Mal zertifiziert wurde außerdem das smarte Türschloss des polnischen Herstellers tedee, zusammen mit der für die Remote-Kontrolle benötigten tedee bridge und der zum tedee lock sicherheitstechnisch identischen Produktvariante GO. Das vergleichsweise kleine Smart Lock überzeugte dabei vom ersten Test an, neben seinem schicken, schlanken Design, vor allem mit einem ebenfalls absolut soliden Sicherheitskonzept. Die Kommunikation über das Internet sowie die Nahkommunikation über Bluetooth, ist wie bei allen anderen zertifizierten Smart Locks natürlich auch, absolut adäquat gegen die üblichsten Angriffe abgesichert. Sogar die mobile Applikation ist hier zusätzlich gegen Manipulation des Quellcodes geschützt und verhindert durch die Implementation von geeigneten Integritätschecks, dass ein Angreifer mit Zugriff auf das Nutzer-Smartphone eine abgeänderte Version installiert. In der Praxis sicher kein allzu häufig auftretendes Szenario und 100-prozentigen Schutz gegen Manipulation bietet hier auch die tedee-App nicht (im Test haben wir die Signatur-Checks ja auch umgangen), aber dass sich hierüber überhaupt Gedanken gemacht wurde, zeigt schon die Hingabe zur Sicherheit.

Die Anwärter

Wie in quasi allen gefragten Produktkategorien des Internet of Things, kommen auch für den Bereich der Smart Locks stetig neue Produkte auf den Markt, die mit den gestandenen Größen in Konkurrenz treten. Daneben gibt es aber auch hier Produkte, die schon lange auf dem Markt sind und sich großer Beliebtheit erfreuen bisher aber noch nicht von unser näher beleuchtet wurden. Die Auswahl treffen wir hier größtenteils anhand der allgemeinen Beliebtheit der Produkte, d.h. anhand von Verkaufszahlen und Kundenbewertungen beispielsweise. Getestet wird in unserem Quick-Check-Format, das hier in jedem Fall eine solide erste Einschätzung des Sicherheits- und Datenschutzniveaus zulässt.

Diese Rubrik wird ebenfalls weiterhin gepflegt und erweitert, sobald neue Produkte unsere Tests durchlaufen haben. In der folgenden Tabelle sind alle getesteten Produkte mit Testergebnis und Testzeitpunkt vermerkt.

Homematic IP Türschlossantrieb

Der Türschlossantrieb für eQ-3-System Homematic IP bietet wie die anderen Mitbewerber ebenfalls eine bequeme Möglichkeit, ein Türschloss fernzusteuern. Hierzu ist zusätzlich außerdem noch ein Homematic IP Access Point (HAP) oder eine Zentrale (CCU) erforderlich. Mit der Zentrale kann dann eine WebUI zur Steuerung der Homematic IP Geräte aufgerufen werden. Für unseren Quick-Check haben wir in diesem Fall den Access Point verwendet. Wichtig zu erwähnen beim Homematic IP Türschlossantrieb ist, dass eine Cloud-Verbindung zwingend erforderlich ist, um das Gerät auch bei direkter räumlicher Nähe bedienen zu können –  eine Bedienung per Nahfunk wie Bluetooth oder NFC, ist beim Homematic IP Gerät nicht möglich. Das hat für die Bedienung und Verfügbarkeit sicher Nachteile, sicherheitstechnisch verringert es natürlich aber auch dementsprechend die Angriffsfläche.

Öffnungsrequest an die Cloud

Auch das eQ-3 Gerät präsentiert sich erst einmal recht solide – Im Rahmen unseres Quick-Checks haben wir keine expliziten Schwachstellen gefunden, haben aber trotzdem einige Anmerkungen. So haben wir auch Homematic IP-App zu kritisieren, dass die App auf veralteten Geräten und Android-Versionen bis hinunter zu Version 6.0 des Google OS installiert werden kann. Wie schon zuvor öfter erwähnt, würden wir dies für sicherheitskritische Anwendungen auf jeden Fall vermeiden.

Eine weitere Anmerkung betrifft die Einstellung „Cleartext Traffic“, die es der Applikation grundsätzlich erlaubt, unverschlüsselte Kommunikation über HTTP anstelle von HTTPS durchzuführen. Wir konnten im Test zwar keine unverschlüsselte Kommunikation feststellen, würden aber auch hier empfehlen, die Konfiguration soweit abzuändern, dass unverschlüsselte Kommunikation schon von Systemseite aus verhindert wird.

Bei der Kommunikation sieht erst einmal alles recht solide aus. Wir würden nur empfehlen bei Requests an die Cloud eine Zeitkomponente mit in die Kommunikation zu integrieren, um die Sicherheit zu erhöhen und eine erhöhte Robustheit gegen Replay-Angriffe zu gewährleisten. Auf aktuellem Stand werden nur die Parameter AUTHTOKEN, PIN (falls vom Nutzer festgelegt), DeviceID und State berücksichtigt.

In Bezug auf Datenschutz und die Datenschutzerklärung gibt es dann ebenfalls nur mariginale Sachen anzumerken: Insgesamt ist der Informationsgehalt der Erklärung absolut ausreichend und alle wichtigen Informationen zu Datensammlung, -verarbeitung und -weitergabe sind enthalten. Besonders positiv im Vergleich zu den anderen beiden Anwärter-Smart Locks, fällt die sehr bescheidene Verwendung von Trackern auf. Hier lässt sich bei der Homematic IP Applikation nur ein einziger Tracker zuverlässig identifizieren: Google Firebase Analytics. Dieser ist unserer dynamischen Analyse zufolge auch nur sporadisch aktiv und wird außerdem auch völlig korrekt in der Datenschutzerklärung erwähnt. Des Weiteren ist die eQ-3-Lösung das einzige der drei Smart Locks im Quick-Check-Format, das direkt im Google Play Store eine deutsche Datenschutzerklärung bereitstellt. Für Produkte, die auf dem deutschen Markt vertrieben werden, sollte dies natürlich eigentlich Mindeststandard sein.

Übersicht Datenschutzerklärung Homematic IP

Zu guter Letzt noch ein paar allgemeine Punkte zur Übersicht: Die Datenschutzerklärung umfasst 2.056 Wörter mit durchschnittlich 19,77 Wörtern pro Satz. Um die gesamte Datenschutzerklärung zu lesen, benötigt der Nutzer etwa 3,3 Minuten. Die Datenschutzerklärung im Google Play Store wird auf Deutsch angezeigt. Zur Bewertung der Lesbarkeit wurde der Flesch-Kincaid Lesbarkeitsindex herangezogen, der in unserem Beispiel darauf hinweist, dass ein abgeschlossenes Studium erforderlich ist, um die Datenschutzerklärung zu verstehen.

Insgesamt ist auch die eQ-3-Lösung also als absolut adäquat abgesichert zu betrachten. Hier und da könnte das Sicherheitsniveau, gerade im Vergleich zu den Top-Vertretern der Produktkategorie „Smart Locks“, noch durchaus verbessert werden, um so auch selbst theoretische Schwachpunkte rigoros auszuräumen. In Sachen Datenschutz ist die Lösung allerdings schon jetzt vorbildlich und wird nach unserem Quick-Check-Format mit 2 von 3 Sternen bewertet.

Lockin G30 Smart Lock

Als einer der relativ neuen Vertreter geht das G30 Smart Lock von Lockin an den Start – ein klassisches Smart Lock, das das Türschloss über Bluetooth und mit einer mitgelieferten Bridge auch über WLAN steuern kann. Eine Bedienung direkt in der unmittelbaren Nähe des Gerätes sowie eine Fernsteuerung des Türschlosses sind also, wie üblich, auch beim G30 möglich. Um die dazugehörige mobile Applikation nutzen zu können, ist beim Lockin G30 aber, anders als beispielsweise den Nuki-Produkten, zwingend ein Account erforderlich. Die Applikationen sehen aus sicherheitstechnischer Sicht in Ordnung aus, konfigurationstechnisch fiel uns hier nur auf, dass das automatische Update für die Bridge standardmäßig deaktiviert ist. Wirklich fraglich, warum eine so essentielle Funktion standardmäßig deaktiviert ist. Der Nutzer sollte hier auf jeden Fall die Auto-Update-Funktion aktivieren, um schnellstmöglich von Sicherheitsupdates profitieren zu können.

A propos mobile App: In unseren Tests ist es relativ häufig notwendig, Veränderungen am Applikations-Code selbst vorzunehmen. Dies kann mehrere Gründe haben. So kann es sein, dass wir Logging einbauen, um bestimmte Funktionen schneller zu verstehen oder ganze Prozessketten einfacher nachvollziehen zu können. Dabei treffen wir auch immer wieder auf Applikationen, die eine Manipulation des App-Codes zu verhindern versuchen. Die tedee-App ist ein zuvor schon erwähntes Beispiel. Die Applikation von Lockin versuchte uns hier aber besonders rigoros das Leben schwer zu machen. Nicht nur, dass hier Funktionen implementiert waren, die die Manipulation und die dynamische Analyse der Applikation verhindern sollen, auch waren hier Funktionen zu finden, die nur den Anschein hatten als würden sie diesem Zweck dienen, tatsächlich aber nie aufgerufen werden. Entweder handelt es sich hier um Entwicklungsrelikte oder man versucht absichtlich falsche Fährten zu legen – sowas sehen wir in kommerziellen Produkten tatsächlich sehr selten.

Abgesehen davon sind aber auch einige Funtkionen implementiert, die tatsächlich der Manipulations- und Analysebehinderung dienen, darunter beispielsweise Reverse Hooks, die darauf abzielen, dynamische Analysewerkzeuge, wie Frida, Xposed oder Saurik zu erkennen (siehe folgender Code-Ausschnitt), Key-Hash-Prüfungen zur Sicherung der Dateiintegrität, Erkennung von Root-Zugriff auf gerooteten Android-Geräten oder eine Emulator-Erkennung, um feststellen zu können, wenn die App in einer virtualisierten Umgebung ausgeführt wird.

Natürlich kann man einem Entwickler grundsätzlich kaum vorwerfen, dass er zuviel Sicherheit implementiert hat, aber verdächtig ist diese unbedingte Verhinderung der Analyse schon, deutet sie doch oft daraufhin, dass hier versucht wird, eine möglicherweise mangelhafte Sicherheit durch die Verhinderung der Analyse zu verschleiern – quasi Security by Obscurity. Davon abgesehen bringt das Ganze gerade auf Android nicht sonderlich viel – natürlich konnten wir unsere Analyse trotzdem durchführen, wenn auch zugegebenermaßen umständlicher als gewohnt.

Request zur Öffnung des Smart Locks
Response zur Öffnung
Response zur fehlgeschlagenen Öffnung der Tür nach 3 erfolgreichen Öffnungs-Replays

Bei der dynamischen Analyse der App ist uns aufgefallen, dass die Öffnung per App die Möglichkeit bietet, ein und denselben Öffnungs-Request mehrmals in einem Replay zu wiederholen. So war es im Test möglich, denselben Request zweimal innerhalb eines Zeitraums von mindestens 10 Minuten zu replayen und so das Schloss erfolgreich zu öffnen. Beim Versenden des Requests zum vierten Mal wird er schließlich als outdated erkannt. Hier sollte auf jeden Fall nachgebessert werden. Diese potentielle Schwachstelle erscheint auch besonders unnötig, da beim Öffnungs-Request ohnehin schon eine Zeitkomponente mit übertragen, aber scheinbar nicht geprüft wird. Positiv ist anzumerken, dass jede Öffnung (auch die per Replay durchgeführten) im einsehbaren Log protokolliert wird und damit eine lückenlose Nachverfolgbarkeit möglich ist.

Was die Kommunikation über Bluetooth angeht, konnten wir zumindest im Rahmen des Quick-Checks keine offensichtlichen Schwachstellen feststellen, auch wenn es Indizien für zumindest potentielle Schwachpunkte gibt. So ist die Bedienung des Schlosses per Bluetooth nur bei aktiver Verbindung zum Internet durchführbar. Bei einer solide und sicheren Bluetooth-Kommunikation sollte das eigentlich nicht notwendig sein. Möglicherweise forschen wir hier später noch einmal tiefer nach.

Eine zusätzliche Anmerkung die App betreffend ist, dass diese sich ab Android-Versionen 6 installieren. Wir können natürlich nachvollziehen, dass Entwickler hier eine möglichst breite Palette von Geräten unterstützen möchten, für eine sicherheitskritische Anwendung würden wir aber davon abraten, solch alte Versionen zu unterstützen. Android Version 6 etwa erhält seit 2018 keine Sicherheitsupdates mehr und enthält einige kritische Schwachstellen, die im ungünstigsten Fall dann auch die installierten Applikationen betreffen könnten.

Natürlich haben wir auch die Datenschutzerklärung von Lockin überprüft. Die meisten wichtigen Informationen sind darin enthalten. Bei der Analyse haben wir jedoch zwei Tracker im Code gefunden: Google Firebase Analytics und Pangle. Diese werden in keinster Weise in der Datenschutzerklärung erwähnt. Unsere dynamischen Analyse konnte zwar auch keine eindeutige Aktivitiät der Tracker nachweisen, hier kann man aber sicher davon ausgehen, dass dies zumindest vereinzelt stattfindet und dann sollte dies dementsprechend auch in der Datenschutzerklärung erwähnt sein. Des Weiteren ist anzumerken, dass für Anfragen außerhalb Chinas, wie beispielsweise in der EU, eine Frist von bis zu 30 Tagen für eine Antwort eingeräumt wird – zu ungeduldig darf man hier als nicht sein.

Übersicht Datenschutzerklärung Lockin

Zu guter Letzt noch ein paar allgemeine Punkte zur Übersicht: Die Datenschutzerklärung umfasst 3.263 Wörter mit durchschnittlich 29,4 Wörtern pro Satz. Um die gesamte Datenschutzerklärung zu lesen, benötigt der Nutzer etwa 4,41 Minuten. Die Datenschutzerklärung im Google Play Store wird auf Englisch angezeigt. Zur Bewertung der Lesbarkeit wurde der Flesch-Kincaid Lesbarkeitsindex herangezogen, der in unserem Beispiel darauf hinweist, dass ein abgeschlossenes Studium erforderlich ist, um die Datenschutzerklärung zu verstehen.

Insgesamt wird das Lockin G30 mit 2 von 3 möglichen Sternen nach unserem Quick-Check-Format bewertet: Im Prinzip ist die Lösung durchaus solide, hier und da gibt es allerdings doch Abstriche was die Implementation und die Datenschutzerklärung betrifft.

Yale Linus L2

Das Linus Smart Lock von Yale verspricht, wie alle anderen Lösungen auch, eine einfache und sichere Fernbedienung des Türschlosses. Über die Kooperation mit BOSCH ist ebenfalls eine unkomplizierte Integration in das Smart Home des deutschen Herstellers und die Bedienung über die BOSCH Applikationen ohne Probleme möglich. Ohne die passende Hardware kann das Smart Lock entweder nur über Bluetooth betrieben werden oder aber es wird die zusätzliche Yale Connect Wi-Fi Bridge verwendet, die dann auch eine Verwendung als vollständig eigenständige Lösung mit eigener mobiler Applikation bietet und macht sie über das Internet von überall erreichbar. Allerdings ist hierfür ebenfalls zwangsläufig ein Account erforderlich. Es ist  außerdem erwähnenswert, dass eine Zwei-Faktor-Authentifizierung (per SMS und E-Mail) verfügbar ist, die das Sicherheitsniveau hier auf Wunsch noch weiter erhöhen kann.

Request zum Öffnen

Unser Quick-Check ergab, dass es sich um ein solides Produkt handelt. Die einzige Anmerkung aus der statischen Analyse ist, dass die App für Android Versionen 6.0 und höher installierbar ist – wie bereits erwähnt erhalten diese alten Android-Versionen keine Sicherheitsupdates mehr und sollten daher für sicherheitskritische Anwendung nicht mehr verwendet werden, auch wenn dies bedeutet, dass sich das System mit älteren Smartphones nicht mehr bedienen lässt.

Die Kommunikation an sich ist absolut angemessen gesichert. Die Nachrichten werden vor Manipulation und unerlaubtem Zugriff durch eine AES-Verschlüsselung abgesichert. Dazu wird mit einem geheimen remoteOperateSecret gearbeitet und außerdem auch die Übertragungszeit mitverschlüsselt, so dass auch Replay-Angriffe hier effektiv verhindert werden können.

Auch hier haben wir die Datenschutzerklärung genauer unter die Lupe genommen. Fast alle erforderlichen Informationspunkte einer Datenschutzerklärung sind abgedeckt. Eine Ausnahme bilden jedoch die Tracker, die sowohl in der statischen als auch in der dynamischen Analyse gefunden wurden. Diese wurden in der Datenschutzerklärung nicht erwähnt. Es handelt sich dabei um zwei weit verbreitete Tracker namens Google CrashLytics, der Abstürze meldet, und Google Firebase Analytics, der weitere Berichte generiert. Trotzdem sollten sie unbedingt in der Datenschutzerklärung erwähnt werden.

Übersicht Datenschutzerklärung Yale

Zu guter Letzt noch ein paar allgemeine Punkte zur Übersicht: Die Datenschutzerklärung umfasst 2.434 Wörter mit durchschnittlich 27,35 Wörtern pro Satz. Um die gesamte Datenschutzerklärung zu lesen, benötigt der Nutzer etwa 2,96 Minuten. Die Datenschutzerklärung im Google Play Store wird auf Englisch angezeigt. Zur Bewertung der Lesbarkeit wurde der Flesch-Kincaid Lesbarkeitsindex herangezogen, der in unserem Beispiel darauf hinweist, dass ein abgeschlossenes Studium erforderlich ist, um die Datenschutzerklärung zu verstehen.

Das Yale Linus Smart Lock L2 bietet als Nachfolgemodell in der Welt der IoT-Geräte eine verbesserte Leistung und ein integriertes WLAN-Modul. Obwohl die WLAN-Integration die Konnektivität verbessert, ist es entscheidend sicherzustellen, dass robuste Sicherheitsmaßnahmen implementiert sind, um potenzielle Cyberangriffe zu verhindern. Im Test konnten wir allerdings auch keine Indizien für potentiell schwerwiegende Probleme in diesem Bereich feststellen.

Insgesamt präsentiert sich das Yale Linus L2 in seinem Testdebut als absolut solide Lösung. Natürlich ist die Testtiefe bei unserem Quick Check noch eher auf der seichteren Seite, so dass hier bei näherer Betrachtung immer noch Probleme auftreten könnten. Erst einmal ergeben sich aber keine Anzeichen dafür. Auch in Sachen Datenschutz und Privatsphäre steht die Lösung solide dar. Eine Bewertung mit den vollen 3 von 3 Sternen ist hier also absolut gerechtfertigt.