Auch das Home Contol System von devolo hat sich AV-TEST - das führende Institut für IT Sicherheit angesehen. Viel fanden die Tester nicht zu meckern, aber was das war und was besonders positiv auffiel - ließt du hier.
Fleißige siio Leser wissen es schon: Seit einiger Zeit haben wir mit dem führenden Institut für IT Sicherheit "AV-TEST" eine Partnerschaft, in welcher wir die Smart Home Zentralen auf Usability prüfen und AV-TEST den Teil der IT-Sicherheitsprüfung und möglichen Angreifbarkeit übernimmt.
Vorab sei hier gesagt, das diesmal nicht wir von siio den Test angestoßen haben, sondern der Hersteller devolo selbst auf den Test bestand. Meine persönliche Meinung dazu:
"Ich finde es super, wenn Smart Home Anbieter Ihre Verantwortung ernst nehmen und auch auf die IT Sicherheit achten. Fehler und damit Sicherheitslücken können passieren, daher ist es wichtig, das diese erkannt und behoben werden. Ich freue mich daher besonders, wenn unsere Kooperation mit AV-TEST von den Herstellern als konstruktive Kritik gesehen wird."
Warum ein Smart Home - IT Sicherheits -Test?
Lange vorbei sind die Zeiten, in welchen nur der Windows PC oder das Windows Notebook mit dem Internet verbunden war. Inzwischen sind auch Smartphone, Tablet und unsere Haushaltsgeräte online. Es gehört ein Stück weit zum Komfort, das wir unsere Heizung, Lichter und Co. auch von unterwegs kontrollieren und schalten. Dafür" hängt" die Smart Home Zentrale am heimischen Router und erhält somit Zugriff auf das Internet und ist von dort aus auch erreichbar. Einige Smart Home Zentralen kommunizieren auch stetig mit den Server des Smart Home Anbieters - sogenannte Cloudlösungen und benötigen daher Internetzugriff.
Wie auch die devolo Home Control Zentrale. In puncto Sicherheit ist dies nicht immer ein Nachteil, sondern kann auch Vorteile bringen, wie im Fall von devolo.
Lokaler Zugriff - Fehlanzeige?
Ihr kennt es aus meinen anderen Berichten, in welchen wir Smart Home Gateways wie den Almond+ ; Homee, den Homepilot oder die Hauppauge Box bei AV-TEST unter die Lupe nehmen lassen haben. Hier folgt eigentlich der Teil in welchem geprüft wurde ob die Verbindung im lokalen Netz, also zwischen den Geräten die so an deinem Router stecken oder mit dem via WLAN funken, abgesichert ist.
Dieser Teil entfällt bei devolo, denn es gibt schlichtweg keinen lokalen Zugriff. In der Regel öffnet man zum Anlernen der Geräte und Konfigurieren der Szenen den Webbrowser und gibt eine 192.168.x.x Adresse, also eine im lokalen Netz befindliche Adresse ein. Dies geht so nicht bei devolo - das hatte mich schon bei meinem Test hier: Devolo Home Control im Test – Teil1 etwas verblüfft.
Für den Zugriff steht das Web Portal- oder die App „my devolo“ zur Verfügung. Wobei wir schon bei der nächsten Kategorie im IT-Sicherheitstest wären.
Fernzugriff
Wie angesprochen ist devolo Home Control Zentrale cloudbasiert, heißt die Zentrale meldet sich am Server von devolo an, wo auch die Konfiguration hinterlegt ist. Zur Einrichtung der devolo Zentrale muss daher die Webseite https://www.mydevolo.com verwendet werden.
Den ersten Pluspunkt erntete devolo hierbei von AV-TEST, da die Verbindung verschlüsselt via HTTPS hergestellt wird. Sollte nur das HTTP verwendet werden, leitet das devolo Webportal automatisch auf das HTTPS um. Wer es selbst versuchen möchte, einfach http://www.mydevolo.com aufrufen ;-)
Weiter, so die Tester:
... auch stellt HSTS sicher, dass die Seite verschlüsselt werden muss und sie nicht verwendet werden kann, sollte dem Zertifikat nicht vertraut werden, z.B. wenn ein Man-in-the-Middle-Angriff stattfindet.
- Auszug aus dem AV-TEST Prüfprotokoll.
Ein weiterer Weg auf das Smart Home zuzugreifen, ist die my devolo Smartphone App. Auch hier wurden Sicherheitsmechanismen eingebaut. Die App kommuniziert ebenfalls verschlüsselt mit den devolo Servern und überprüft auch das Zertifikat selbst.
... beim Versuch von Man-in-the-Middle wurde das Zertifikat selbst dann gemeldet, wenn das als Basis verwendete Root-Zertifikat im Smartphone installiert ist.
Sehr gut von devolo gelöst ist, dass wenn ein Zertifikat nicht verifiziert werden kann, dieses nicht automatisch verworfen wird und somit die Funktion der App nicht gegeben ist - sondern der Benutzer gefragt wird und die Auswahl zwischen „Für die Sitzung als vertrauenswürdig“ und „Abbrechen“ hat.
Home Control Base spricht nach Hause
In der Regel funkt die devolo Zentrale für zwei Fälle "nach Hause". Das ist zum einen für den Fall der Fernwartung sowie aber auch für Updates. Im ersten Fall haben die Jungs von AV-TEST einen sogenannten "Man-in-the-Middles" Angriff versucht - welcher Ihnen nicht gelang. Die devolo Zentrale lehnte brav das falsche Zertifikat ab.
Aber auch Updates können eine potentielle Angriffsstelle sein. Werden diese von unbefugten Dritten manipuliert, können diese die Smart Home Zentrale im Falle dessen, das Sie "eingespielt" werden, infizieren. Darüber wäre auch ein Zugriff unbefugter Dritter auf das Smart Home denkbar. Die gute Nachricht, das Update ist SSL verschlüsselt. Auch hier versuchte AV-TEST das System via "Man-in-the-Middles" anzugreifen. Dabei wurde die Verbindung sofort vom Server beendet.
An dieser Stelle soll positiv erwähnt werden, dass zum ersten Mal eine TLS-Verbindung von Smarthome-Zentralen gesehen wurde, bei der sowohl auf Client-, als auch auf Serverseite eine Zertifikatsüberprüfung vorgenommen wurde.
- Auszug aus dem AV-TEST Prüfprotokoll.
Es gibt also nichts zu meckern beim devolo Sicherheitskonzept. Nun, etwas mussten die Jungs von AV-TEST ja finden ;-)
Für die verschlüsselten Verbindungen kommt TLS 1.0 zum Einsatz mit dem TLS_RSA_WITH_RC4_128_MD5 ... Algorithmys. (Weitere technische böhmische Dörfer erpar ich euch hier :-) ). Die "Internet Engineering Task Force", welche für TLS verantwortlich sind haben im Februar 2015 diesen Algorithmys als ungenügend eingestuft. Im Moment sind aber noch keine praktischen Angriffe bekannt geworden. devolo hat hierzu bereits ein Update angekündigt.
Fazit:
In den bisherigen Tests der SmartHome Zentralen, hatten wir von den Ergebnissen "mangelhafter Schutz" über kleinere Probleme bis hin zu "sehr guter Schutz" (Almond+) alles Vertreten. devolo darf sich nun in den Ergebnissen des Testurteil "sehr guter Schutz" einreihen.
Das AV-TEST Protokoll gibt es hier zum Download.
Hallo,
Ich bin der Meinung das das System eine Sicherheitslücke hat.
Nach Installation des Systems konnte ich per Explorer nicht mehr auf meine Fritz,Box als Router zugreifen und die Homecontroll Zentrale war mehr Offline als Online.
Außerdem landete ich auf dem Router meines Nachbarn der anscheinend D-lan verwendet.
Es eine Änderung der IP-Adresse im Router brachte Verbesserungen.
Auf den Router des Nachbarn kann ich immer noch zugreifen !