Sesam öffne dich! Smart Locks im Sicherheitscheck

Smarte Türsteher mit unterschiedlichen Funktionen

Die Kinder kommen von der Schule, Handwerker verlangen Einlass, doch man selbst steckt auf dem Heimweg im Stau oder wartet am Bahnhof auf einen verspäteten Zug. Bisheriges Rettungsszenario: ein Anruf bei vertrauenswürdigen Nachbarn, die einen Notschlüssel verwahren, und die Tür geht auf. Zumindest, wenn jemand erreichbar ist.

Ein Smart Lock eröffnet zusätzliche Optionen: Ein Klick in der Smartphone-App genügt und die Tür öffnet sich von selbst. Per Bluetooth-, WLAN- oder Cloud-Anbindung lassen sich Haustüren auch ohne Schlüssel und sogar aus der Ferne öffnen. Einige der motorgesteuerten Schließzylinder ermöglichen das Einrichten vorprogrammierter Sperr- und Öffnungszeiten sowie die Vergabe von Zutrittsgenehmigungen für andere Nutzer, sofern die zugehörige App auf dem Mobilgerät installiert ist und eine entsprechende Freigabe vom Hauptnutzer übermittelt wurde. Einige Smart Locks verfügen zudem über sogenannte Geofencing-Funktionen: Tritt ein per App autorisierter Nutzer in Funkreichweite, sperren einige Smart Locks automatisch auf. Verlässt ein angemeldetes Mobilgerät den Funkbereich, schließt der Zylinder automatisch ab.

Sechs Smart Locks im Test

Sechs aktuelle Smart Locks unterschiedlicher Anbieter nahmen die IoT-Tester im Labor von AV-TEST unter die Lupe:

•  August, Smart Lock, USA
•  Burg-Wächter, secuENTRY easy 5601, Deutschland
•  Danalock, V3, Dänemark
•  eQ-3, Eqiva Bluetooth Smart Lock, Deutschland
•  Noke, Padlock, USA
•  Nuki, Combo, Österreich
•  Semptec, Urban Survival Technology NX-1448-919 Bluetooth-Kabelschloss, Deutschland

Einfache Systeme, leichte Montage

Alle von AV-TEST überprüften Smart Locks lassen sich trotz unterschiedlicher Schließsysteme ohne handwerkliche Fähigkeiten auch von Laien leicht montieren. Besonders einfach funktioniert das beim System der Hersteller eQ-3 und Nuki. Hier wird einfach eine Montageplatte von innen über dem klassischen europäischen Profilzylinder fixiert, der Schlüssel eingesteckt und die fernsteuerbare Motoreinheit darüber gesteckt. Diese umfasst den Schlüssel und bewegt ihn entsprechend der per App übertragenen Befehle. Die überprüften Smart Locks für Profilzylinder von Burg-Wächter, Danalock und Noke erfordern dagegen den Austausch des Schließzylinders. Doch auch das ist meist mit zwei Schrauben erledigt. Ebenfalls im Test: ein Smart Lock des US-Herstellers August für die in Nordamerika typischen Einzylinder-Riegelschlösser sowie ein Fahrradkabelschloss des deutschen Herstellers Semptec, das aufgrund ähnlicher Funktionsweise zum Vergleich mitgetestet wurde (siehe Kasten).

Testumgebung und Prüfung der Basissicherheit

Im Rahmen des Tests prüfen die Ingenieure des IoT-Labs von AV-TEST die sichere Erfassung, Speicherung, Übertragung und Verarbeitung der beim Einsatz der Smart Locks erzeugten Daten. Die Produkte werden dabei einer Sicherheitsprüfung unter realen Bedingungen unterzogen. Im Falle der Smart Locks wurden folglich alle Produkte in identischer Testumgebung reproduzierbar überprüft. Dabei analysieren die Tester je nach Funktionsumfang die Sicherheit der Geräte selbst, etwa die Update-Funktionalität, sowie die im Einsatz genutzten Datenverbindungen via Bluetooth, WLAN, angebundene Internetdienste und die Apps der Smart Home-Produkte. Ebenfalls Bestandteil der Prüfung ist die Berücksichtigung von Datenschutzaspekten. Hier kontrollieren die Tester auch die Datenschutzerklärungen. Zudem gehen sie im Testeinsatz der Geräte der Frage nach, ob die vom Hersteller erfassten Daten überhaupt zum Betrieb nötig sind und welche Rechte sich der Hersteller für deren weitere Verwendung einräumt.

Smart Locks insgesamt mit ordentlichem Schutzlevel

Im Test lassen sich drei Sterne – und damit die Bescheinigung eines guten Schutzlevels – in den Testpunkten „lokale Kommunikation“, „externe Kommunikation“, „App-Sicherheit“ und „Datenschutz“ erreichen. Das gelang der Hälfte der überprüften Smart Locks. Zwei weitere Testkandidaten erreichten immerhin zwei von drei möglichen Sternen, was noch einer ordentlichen Basissicherheit entspricht. Nur ein Schloss überzeugte im Testlabor nicht, allerdings sind die im Kurztest festgestellten Mängel leicht abzustellen. Es scheint insgesamt so, als hätten die Hersteller smarter Türschlösser, im Gegensatz zu vielen anderen Herstellern von Smart Home-Produkten, ihre Hausaufgaben gemacht. Ein wichtiges Ergebnis, immerhin könnten schlecht gesicherte Smart Locks Einbrechern Tür und Tor öffnen.

Eine Warnung müssen die AV-TEST-Experten lediglich beim zum Vergleich mitgetesteten Fahrradschloss aussprechen, das mit null von drei Sternen durch den Sicherheitstest fiel.

Lokale Kommunikation: sicheres Bluetooth!

Alle überprüften Smart Locks lassen sich lokal per Bluetooth-Funk ansprechen. Und bei allen stellte sich die Kommunikation zwischen Schloss und Mobilgerät als sicher heraus. Bei der Bluetooth-Kommunikation senden und empfangen die Schlösser meist im 4.0 Standard (1 Milliwatt, Low Energy), der eine maximale Funkreichweite von ca. zehn Metern erlaubt. Angriffe auf die Bluetooth-Kommunikation setzen damit schon eine extreme Nähe zum Schloss voraus. Standardmäßig setzen die Smart Locks eine ordentlich implementierte Verschlüsselung ein, meist AES mit mindestens 128 Bit. Drei Schlösser, August, Danalock und Nuki, verschlüsseln sogar höher und setzen auf AES mit 256 Bit.

Lokale Kommunikation: solider WLAN-Funk

Zum Testzeitpunkt ließ sich ausschließlich das Nuki-Schloss ins heimische WLAN einbinden. Ermöglicht wird dies durch eine WLAN-Bridge, die als Zubehör käuflich erhältlich ist. Über diese Bridge erlaubt das Smart Lock des österreichischen Herstellers das ortsunabhängige Fernsteuern des Schlosses über die App des Mobilgeräts sowie die Einbindung in andere Smart Home-Systeme, darunter etwa die Steuerung durch Sprachbefehle über Amazon Echo. Bei der Prüfung im AV-TEST-Labor zeigten weder die Bluetooth-Verbindung zwischen Nuki-Schloss und Bridge noch der SSL-verschlüsselte WLAN-Funk zwischen Bridge und Router erkennbare Schwächen.

Nach Abschluss des Tests zogen weitere Hersteller nach und bieten nun ebenfalls eine Bridge zur Kommunikation per WLAN, darunter August und Danalock.

Externe Kommunikation: unverschlüsseltes Update

Wichtige Updates erhalten die Smart Locks im Bluetooth-Austausch mit ihren Apps, die dafür bei fast allen Produkten eine sichere SSL-verschlüsselte Online-Verbindung per Smartphone oder Tablet zu den Firmenservern einsetzen. Lediglich beim Schloss von Burg-Wächter stellten die Tester unverschlüsselten Datenversand fest und konnten so übertragene Firmware-Updates abfangen und mitlesen. Angreifern ergibt sich dadurch die theoretische Möglichkeit, verfälschte Updates auf das Schloss zu spielen und so beispielsweise die Funktionen des Smart Locks zu manipulieren.

Zudem kritisieren die Tester die Tatsache, dass das Schloss von Burg-Wächter einen für Smart Home-Produkte typischen Kardinalfehler begeht: Zum Betreiben von Schloss und App wird kein Wechsel des ab Werk genutzten Standard-Kennworts für das Admin-Konto verlangt. Eine gefährliche Nachlässigkeit, denn IoT-Geräte mit unveränderten Standard-Login-Daten sind für Angreifer leichte Beute. Über IoT-Suchmaschinen für IoT-Geräte, wie Shodan, sind solche Geräte leicht aufzuspüren. Dafür gab es Punktabzug bei der Überprüfung der „lokalen Kommunikation“.

Externe Kommunikation: Zutrittsberechtigungen per App

Ebenfalls per App lassen sich bei einigen Smart Locks Zutrittsberechtigungen für Dritte erstellen, verschicken und verwalten. Dafür nutzt das Nuki-Schloss beispielsweise die verschlüsselte Kommunikation des WhatsApp Messengers. Der Empfänger erhält eine Einladung per WhatsApp Chat. Diese enthält einen gültigen Link auf eine sicher verschlüsselte HTTPS-Adresse des Nuki-Servers. Der Einladungscode lässt sich ausschließlich mit der Nuki-App nutzen und verfällt nach 48 Stunden.

App-Sicherheit: Logdateien bieten Angriffsfläche

Als Basis für Updates, die Verwaltung von Zugangsberechtigungen sowie für die meist auf Bluetooth basierende Kommunikation mit den Smart Locks sind die Apps ein potentielles Ziel für Angreifer. Darum sollten die Apps, insbesondere deren Programmierung und Logdateien, weitestgehend gegen potentielle Angriffe geschützt sein. Vier von sechs Testkandidaten zeigten im Schnelltest guten Schutz vor potentiellen Angriffen auf die App. Lediglich die Apps von August und Danalock erzeugten umfangreiche Debug-Protokolle. Diese können potentiellen Angreifern Hinweise auf die Funktionsweise der Apps sowie weitreichende Anhaltspunkte zu Benutzeraktionen liefern. In der August-App fanden die Ingenieure von AV-TEST solche Protokolle lediglich in einem ohnehin geschützten Bereich der App. Bei der Danalock-App war es dagegen möglich, die Protokolle mit gängigen Werkzeugen wie dem Tool Android LogCat auszulesen. Hier sollten beide Hersteller nachbessern.

Datenschutz

Wer verlässt wann das Haus und kommt wann wieder zurück? Über die Apps einiger Anbieter sind solche Informationen für den Besitzer des Schlosses ersichtlich – aber wirklich auch nur für den Besitzer? Die Experten von AV-TEST überprüften die Datenschutzerklärungen der Smart Locks, wobei europäisches Datenschutzrecht als Standard diente. In diesem Testpunkt überzeugte vor allem Nuki. Die Datenschutzerklärung der Österreicher ist direkt auf das getestete Produkt zugeschnitten. Das liegt allerdings auch daran, dass der noch recht neue Anbieter aktuell nur dieses eine Produkt vertreibt. Abgesehen davon ist die Nuki-Datenschutzerklärung gut über die App und die Website erreichbar, gut gegliedert und verständlich geschrieben – und damit vorbildlich.

Mit Ausnahme des US-Herstellers August rufen alle anderen Schloss-Anbieter ausschließlich Informationen ab, die zum Einsatz der Smart Locks erforderlich sind. Das nordamerikanische Unternehmen hingegen verlangt zum Beispiel ein Foto bei der Online-Registrierung.  Bei August, Danalock und Noke sehen die Tester Nachbesserungsbedarf, etwa bei Angaben zu gespeicherten Daten und deren Nutzung durch Dritte. Eine Anpassung an europäisches Datenschutzrecht würde diese Mängel leicht ausräumen.

Fazit

Komfort muss nicht gleichbedeutend mit Unsicherheit sein. Dieses beruhigende Fazit lässt sich nach dem überraschend guten Ergebnis des Tests von Smart Locks ziehen. Überraschend gut, weil sich die meisten getesteten Geräte dieser Produktgruppe in punkto Sicherheit erfrischend von anderen Smart Home-Geräten unterscheiden. Etwa von den oft unsicheren IP-Kameras, deren Zweck ebenfalls die Gebäudesicherung ist. Die Hersteller von Smart Locks haben alles in allem einen guten Job gemacht. Fünf von sechs im Kurztest überprüften Schließsystemen bescheinigt das AV-TEST Institut eine solide Basissicherheit mit bestenfalls theoretischer Angreifbarkeit. Die Smart Locks von eQ-3, Noke und Nuki bestehen den Test sogar mit drei von drei möglichen Sternen, bieten ein gutes Sicherheitslevel und somit genau das, was man sich von einer smarten Schließanlage wünscht. Das Smart Lock von Burg-Wächter erreicht aufgrund vermeidbarer und leicht abstellbarer Mängel nur einen von drei Sternen und kann darum derzeit nicht empfohlen werden. Dass es noch deutlich schlimmer geht, beweisen die erschreckenden Ergebnisse des app-gesteuerten Fahradschlosses des Anbieters Semptec (siehe Kasten).