Zum Inhalt springen

Sesam öffne dich! Smart Locks im Sicherheitscheck

Türen öffnen sich wie von Geisterhand per App, selbst vom anderen Ende der Welt. Smart Locks sind erschwinglich, lassen sich ohne handwerkliches Können montieren und kinderleicht bedienen. Aber sind sie auch sicher oder öffnen sie ungebetenen Gästen Tür und Tor? Immerhin stellt die Haustür die letzte Bastion gegen ungewollten Besuch dar. Ob Sie digitalen Einbruch befürchten müssen oder den Komfort smarter Schlösser nutzen können, klärt dieser Test.

Sechs Smart Locks und ein app-gesteuertes Fahrradschloss im Test des AV-TEST Instituts.

Die Schlösser müssen sich umfangreichen Tests zur Basissicherheit unterziehen. Entsprechend dem Testaufbau werden die Sicherheit des Datenverkehrs, der Schutz vor Manipulation sowie der Umgang mit Nutzerdaten überprüft.

Test: Smart Locks

AV-TEST prüft IoT-Geräte in umfangreichen Sicherheitstests. Aktuelle Tests finden Sie in unserem Blog (www.iot-tests.org).

Der Riese will ins Haus

Amazon verfügt nicht nur über den weltweit größten Online-Shop, sondern mit Alexa und Co. auch über eine Vielzahl an eigenen Smart Home-Produkten. Diese setzt das Handelsunternehmen geschickt zur Umsatzsteigerung der Verkaufsplattform ein. Der neueste Clou ist „Amazon Key“. Das Ziel: Lieferanten öffnen per Smartphone die Tür von Amazon-Kunden und können Bestellungen liefern, selbst wenn die Kunden nicht zuhause sind. Die Testphase für das smarte Haustür-System läuft in den USA gerade für Amazon Prime-Kunden an. Doch smarte Schlösser gibt es bereits seit einiger Zeit von anderen Herstellern. Und sie können nicht nur Lieferanten das Leben erleichtern.

Smarte Türsteher mit unterschiedlichen Funktionen

Die Kinder kommen von der Schule, Handwerker verlangen Einlass, doch man selbst steckt auf dem Heimweg im Stau oder wartet am Bahnhof auf einen verspäteten Zug. Bisheriges Rettungsszenario: ein Anruf bei vertrauenswürdigen Nachbarn, die einen Notschlüssel verwahren, und die Tür geht auf. Zumindest, wenn jemand erreichbar ist.

Ein Smart Lock eröffnet zusätzliche Optionen: Ein Klick in der Smartphone-App genügt und die Tür öffnet sich von selbst. Per Bluetooth-, WLAN- oder Cloud-Anbindung lassen sich Haustüren auch ohne Schlüssel und sogar aus der Ferne öffnen. Einige der motorgesteuerten Schließzylinder ermöglichen das Einrichten vorprogrammierter Sperr- und Öffnungszeiten sowie die Vergabe von Zutrittsgenehmigungen für andere Nutzer, sofern die zugehörige App auf dem Mobilgerät installiert ist und eine entsprechende Freigabe vom Hauptnutzer übermittelt wurde. Einige Smart Locks verfügen zudem über sogenannte Geofencing-Funktionen: Tritt ein per App autorisierter Nutzer in Funkreichweite, sperren einige Smart Locks automatisch auf. Verlässt ein angemeldetes Mobilgerät den Funkbereich, schließt der Zylinder automatisch ab.

Sechs Smart Locks im Test

Sechs aktuelle Smart Locks unterschiedlicher Anbieter nahmen die IoT-Tester im Labor von AV-TEST unter die Lupe:

 • August, Smart Lock, USA
 • Burg-Wächter, secuENTRY easy 5601, Deutschland
 • Danalock, V3, Dänemark
 • eQ-3, Eqiva Bluetooth Smart Lock, Deutschland
 • Noke, Padlock, USA
 • Nuki, Combo, Österreich
 • Semptec, Urban Survival Technology NX-1448-919 Bluetooth-Kabelschloss, Deutschland

Einfache Systeme, leichte Montage

Alle von AV-TEST überprüften Smart Locks lassen sich trotz unterschiedlicher Schließsysteme ohne handwerkliche Fähigkeiten auch von Laien leicht montieren. Besonders einfach funktioniert das beim System der Hersteller eQ-3 und Nuki. Hier wird einfach eine Montageplatte von innen über dem klassischen europäischen Profilzylinder fixiert, der Schlüssel eingesteckt und die fernsteuerbare Motoreinheit darüber gesteckt. Diese umfasst den Schlüssel und bewegt ihn entsprechend der per App übertragenen Befehle. Die überprüften Smart Locks für Profilzylinder von Burg-Wächter, Danalock und Noke erfordern dagegen den Austausch des Schließzylinders. Doch auch das ist meist mit zwei Schrauben erledigt. Ebenfalls im Test: ein Smart Lock des US-Herstellers August für die in Nordamerika typischen Einzylinder-Riegelschlösser sowie ein Fahrradkabelschloss des deutschen Herstellers Semptec, das aufgrund ähnlicher Funktionsweise zum Vergleich mitgetestet wurde (siehe Kasten).

Testumgebung und Prüfung der Basissicherheit

Im Rahmen des Tests prüfen die Ingenieure des IoT-Labs von AV-TEST die sichere Erfassung, Speicherung, Übertragung und Verarbeitung der beim Einsatz der Smart Locks erzeugten Daten. Die Produkte werden dabei einer Sicherheitsprüfung unter realen Bedingungen unterzogen. Im Falle der Smart Locks wurden folglich alle Produkte in identischer Testumgebung reproduzierbar überprüft. Dabei analysieren die Tester je nach Funktionsumfang die Sicherheit der Geräte selbst, etwa die Update-Funktionalität, sowie die im Einsatz genutzten Datenverbindungen via Bluetooth, WLAN, angebundene Internetdienste und die Apps der Smart Home-Produkte. Ebenfalls Bestandteil der Prüfung ist die Berücksichtigung von Datenschutzaspekten. Hier kontrollieren die Tester auch die Datenschutzerklärungen. Zudem gehen sie im Testeinsatz der Geräte der Frage nach, ob die vom Hersteller erfassten Daten überhaupt zum Betrieb nötig sind und welche Rechte sich der Hersteller für deren weitere Verwendung einräumt.

Smart Locks insgesamt mit ordentlichem Schutzlevel

Im Test lassen sich drei Sterne – und damit die Bescheinigung eines guten Schutzlevels – in den Testpunkten „lokale Kommunikation“, „externe Kommunikation“, „App-Sicherheit“ und „Datenschutz“ erreichen. Das gelang der Hälfte der überprüften Smart Locks. Zwei weitere Testkandidaten erreichten immerhin zwei von drei möglichen Sternen, was noch einer ordentlichen Basissicherheit entspricht. Nur ein Schloss überzeugte im Testlabor nicht, allerdings sind die im Kurztest festgestellten Mängel leicht abzustellen. Es scheint insgesamt so, als hätten die Hersteller smarter Türschlösser, im Gegensatz zu vielen anderen Herstellern von Smart Home-Produkten, ihre Hausaufgaben gemacht. Ein wichtiges Ergebnis, immerhin könnten schlecht gesicherte Smart Locks Einbrechern Tür und Tor öffnen.

Eine Warnung müssen die AV-TEST-Experten lediglich beim zum Vergleich mitgetesteten Fahrradschloss aussprechen, das mit null von drei Sternen durch den Sicherheitstest fiel.

Lokale Kommunikation: sicheres Bluetooth!

Alle überprüften Smart Locks lassen sich lokal per Bluetooth-Funk ansprechen. Und bei allen stellte sich die Kommunikation zwischen Schloss und Mobilgerät als sicher heraus. Bei der Bluetooth-Kommunikation senden und empfangen die Schlösser meist im 4.0 Standard (1 Milliwatt, Low Energy), der eine maximale Funkreichweite von ca. zehn Metern erlaubt. Angriffe auf die Bluetooth-Kommunikation setzen damit schon eine extreme Nähe zum Schloss voraus. Standardmäßig setzen die Smart Locks eine ordentlich implementierte Verschlüsselung ein, meist AES mit mindestens 128 Bit. Drei Schlösser, August, Danalock und Nuki, verschlüsseln sogar höher und setzen auf AES mit 256 Bit.

Lokale Kommunikation: solider WLAN-Funk

Zum Testzeitpunkt ließ sich ausschließlich das Nuki-Schloss ins heimische WLAN einbinden. Ermöglicht wird dies durch eine WLAN-Bridge, die als Zubehör käuflich erhältlich ist. Über diese Bridge erlaubt das Smart Lock des österreichischen Herstellers das ortsunabhängige Fernsteuern des Schlosses über die App des Mobilgeräts sowie die Einbindung in andere Smart Home-Systeme, darunter etwa die Steuerung durch Sprachbefehle über Amazon Echo. Bei der Prüfung im AV-TEST-Labor zeigten weder die Bluetooth-Verbindung zwischen Nuki-Schloss und Bridge noch der SSL-verschlüsselte WLAN-Funk zwischen Bridge und Router erkennbare Schwächen.

Nach Abschluss des Tests zogen weitere Hersteller nach und bieten nun ebenfalls eine Bridge zur Kommunikation per WLAN, darunter August und Danalock.

Externe Kommunikation: unverschlüsseltes Update

Wichtige Updates erhalten die Smart Locks im Bluetooth-Austausch mit ihren Apps, die dafür bei fast allen Produkten eine sichere SSL-verschlüsselte Online-Verbindung per Smartphone oder Tablet zu den Firmenservern einsetzen. Lediglich beim Schloss von Burg-Wächter stellten die Tester unverschlüsselten Datenversand fest und konnten so übertragene Firmware-Updates abfangen und mitlesen. Angreifern ergibt sich dadurch die theoretische Möglichkeit, verfälschte Updates auf das Schloss zu spielen und so beispielsweise die Funktionen des Smart Locks zu manipulieren.

Zudem kritisieren die Tester die Tatsache, dass das Schloss von Burg-Wächter einen für Smart Home-Produkte typischen Kardinalfehler begeht: Zum Betreiben von Schloss und App wird kein Wechsel des ab Werk genutzten Standard-Kennworts für das Admin-Konto verlangt. Eine gefährliche Nachlässigkeit, denn IoT-Geräte mit unveränderten Standard-Login-Daten sind für Angreifer leichte Beute. Über IoT-Suchmaschinen für IoT-Geräte, wie Shodan, sind solche Geräte leicht aufzuspüren. Dafür gab es Punktabzug bei der Überprüfung der „lokalen Kommunikation“.

Externe Kommunikation: Zutrittsberechtigungen per App

Ebenfalls per App lassen sich bei einigen Smart Locks Zutrittsberechtigungen für Dritte erstellen, verschicken und verwalten. Dafür nutzt das Nuki-Schloss beispielsweise die verschlüsselte Kommunikation des WhatsApp Messengers. Der Empfänger erhält eine Einladung per WhatsApp Chat. Diese enthält einen gültigen Link auf eine sicher verschlüsselte HTTPS-Adresse des Nuki-Servers. Der Einladungscode lässt sich ausschließlich mit der Nuki-App nutzen und verfällt nach 48 Stunden.

App-Sicherheit: Logdateien bieten Angriffsfläche

Als Basis für Updates, die Verwaltung von Zugangsberechtigungen sowie für die meist auf Bluetooth basierende Kommunikation mit den Smart Locks sind die Apps ein potentielles Ziel für Angreifer. Darum sollten die Apps, insbesondere deren Programmierung und Logdateien, weitestgehend gegen potentielle Angriffe geschützt sein. Vier von sechs Testkandidaten zeigten im Schnelltest guten Schutz vor potentiellen Angriffen auf die App. Lediglich die Apps von August und Danalock erzeugten umfangreiche Debug-Protokolle. Diese können potentiellen Angreifern Hinweise auf die Funktionsweise der Apps sowie weitreichende Anhaltspunkte zu Benutzeraktionen liefern. In der August-App fanden die Ingenieure von AV-TEST solche Protokolle lediglich in einem ohnehin geschützten Bereich der App. Bei der Danalock-App war es dagegen möglich, die Protokolle mit gängigen Werkzeugen wie dem Tool Android LogCat auszulesen. Hier sollten beide Hersteller nachbessern.

Datenschutz

Wer verlässt wann das Haus und kommt wann wieder zurück? Über die Apps einiger Anbieter sind solche Informationen für den Besitzer des Schlosses ersichtlich – aber wirklich auch nur für den Besitzer? Die Experten von AV-TEST überprüften die Datenschutzerklärungen der Smart Locks, wobei europäisches Datenschutzrecht als Standard diente. In diesem Testpunkt überzeugte vor allem Nuki. Die Datenschutzerklärung der Österreicher ist direkt auf das getestete Produkt zugeschnitten. Das liegt allerdings auch daran, dass der noch recht neue Anbieter aktuell nur dieses eine Produkt vertreibt. Abgesehen davon ist die Nuki-Datenschutzerklärung gut über die App und die Website erreichbar, gut gegliedert und verständlich geschrieben – und damit vorbildlich.

Mit Ausnahme des US-Herstellers August rufen alle anderen Schloss-Anbieter ausschließlich Informationen ab, die zum Einsatz der Smart Locks erforderlich sind. Das nordamerikanische Unternehmen hingegen verlangt zum Beispiel ein Foto bei der Online-Registrierung.  Bei August, Danalock und Noke sehen die Tester Nachbesserungsbedarf, etwa bei Angaben zu gespeicherten Daten und deren Nutzung durch Dritte. Eine Anpassung an europäisches Datenschutzrecht würde diese Mängel leicht ausräumen.

Fazit

Komfort muss nicht gleichbedeutend mit Unsicherheit sein. Dieses beruhigende Fazit lässt sich nach dem überraschend guten Ergebnis des Tests von Smart Locks ziehen. Überraschend gut, weil sich die meisten getesteten Geräte dieser Produktgruppe in punkto Sicherheit erfrischend von anderen Smart Home-Geräten unterscheiden. Etwa von den oft unsicheren IP-Kameras, deren Zweck ebenfalls die Gebäudesicherung ist. Die Hersteller von Smart Locks haben alles in allem einen guten Job gemacht. Fünf von sechs im Kurztest überprüften Schließsystemen bescheinigt das AV-TEST Institut eine solide Basissicherheit mit bestenfalls theoretischer Angreifbarkeit. Die Smart Locks von eQ-3, Noke und Nuki bestehen den Test sogar mit drei von drei möglichen Sternen, bieten ein gutes Sicherheitslevel und somit genau das, was man sich von einer smarten Schließanlage wünscht. Das Smart Lock von Burg-Wächter erreicht aufgrund vermeidbarer und leicht abstellbarer Mängel nur einen von drei Sternen und kann darum derzeit nicht empfohlen werden. Dass es noch deutlich schlimmer geht, beweisen die erschreckenden Ergebnisse des app-gesteuerten Fahradschlosses des Anbieters Semptec (siehe Kasten).

Jetzt ist aber Schloss! Semptec-Schutz fällt im Test durch.

Semptec „Urban Survival Technology“ nennt sich der Hersteller vollmundig. Was denn Schutz seines app-gesteuerten Bluetooth-Kabelschlosses NX-1448-919 betrifft, bleibt es leider bei vertrauenerweckenden Ankündigungen. Denn im AV-TEST-Labor zeigte sich das Fahrradschloss alles andere als sicher. Dabei ist die Idee eigentlich gut: ein app-gesteuertes Bluetooth-Kabelschloss, das sich komfortabel von selbst öffnet, sobald sich der Besitzer nähert. So entfällt das Aufschließen des Fahrrads und man kann gleich in die Pedale treten. Im Falle unberechtigter Öffnungsversuche gibt das Schloss dagegen einen schrillen Warnton von sich und schickt eine Warnmeldung auf das Smartphone des Besitzers.

Doch die gute Idee ist schlecht umgesetzt und mit dem Bluetooth-Schloss gesicherte Fahrräder sind alles andere als sicher. So funkt das Semptec-Schloss über eine unverschlüsselte Bluetooth-Verbindung, die sich mit einfachen Mitteln manipulieren lässt. Angreifer könnten so etwa das Auslösen des Alarms verhindern. Nicht viel besser sieht es bei der Wahl möglicher Passwörter aus. Hier ist über die App lediglich ein sechsstelliger Zahlencode wählbar, der sich über eine Brute-Force-Attacke leicht knacken lässt. Dies wird zusätzlich dadurch erleichtert, dass das Schloss die Anzahl hintereinander folgender Einwahlversuche nicht auf eine bestimmte Anzahl reduziert. Die voreingestellte PIN ist somit spätestens nach vier Stunden geknackt. Die Tester monierten noch einige weitere schlecht durchdachte oder schlicht fehlende Sicherheitsmechanismen. Doch bereits aufgrund der genannten Produktfehler war es für das Semptec-Schloss ausgeschlossen, einen Stern im Test zu ergattern.

Beitrag teilen: