Das Bundesamt für Sicherheit in der Informationstechnik warnt seit dem 10. August 2022 vor der Verwendung des digitalen Türschlosses HomeTec Pro CFA 3000 der Firma ABUS. Durch Schwachstellen im Produkt wird dessen Funktionalität kompromittiert und es erfüllt nicht mehr seine Funktion. Das BSI empfiehlt den Austausch dieser Türschlösser. Ergänzung: Stellungnahme von ABUS hinzugefügt.
Anzeige
Das ABUS HomeTec Pro CFA 3000
Keine Ahnung, ob Leute aus der Leserschaft digitale Türschlösser einsetzen und dabei ABUS-Produkte verwenden. Bei einem Versender habe ich ein Angebot für diesen Typ gefunden, der als Bestseller und preislich sogar reduziert ist.
Der Einsatz ist für Haus- und Wohnungseingangstüren, Büro- und Serviceräume möglich, wobei die Montage und Inbetriebnahme unkompliziert versprochen wird. Der Hersteller preist noch einen hohen Bedienkomfort, da ver- und entriegeln der Tür per Tastendruck möglich ist. Maximale Sicherheit bietet eine AES-128-Bit Verschlüsselung … bezüglich Updates habe ich auf die Schnelle nichts gelesen.
Die BSI-Warnung
Für den Objektschutz von Räumen und Eingangstüren werden immer häufiger digitale Türschlösser verwendet. Zum Ver- und Entriegeln kommen dabei unterschiedliche Techniken zur Übertragung von Schließ- und Öffnungssignalen wie etwa Funk zum Einsatz. "Durch Schwachstellen in solchen Funk-Türschlössern wird die Hauptfunktion der Produkte nicht nur kompromittiert, sondern ins Gegenteil verkehrt, da diese Sicherheitslücken gezielt von Unbefugten ausgenutzt werden können", so BSI-Präsident Arne Schönbohm.
Anzeige
Im Rahmen des §7 des BSI-Gesetzes warnt das das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor dem Einsatz des digitalen Türschlosses "HomeTec Pro CFA3000" des Herstellers ABUS und empfiehlt, das Produkt zu ersetzen. Der Hintergrund: Eine Schwachstelle im ABUS-Produkt "Funk-Türschlossantrieb HomeTec Pro CFA3000" führt nach Erkenntnissen des BSI dazu, dass Angreifende, die sich in der Nähe befinden, bei Ausnutzung der Schwachstelle das Funkschloss ver- und entriegeln und sich damit unbefugt Zugang zu Gebäuden, Büroräumen oder Wohnungen verschaffen können.
ABUS liefert keine Updates
Das herstellende Unternehmen ABUS hat die Schwachstelle gegenüber dem BSI bestätigt und mitgeteilt, dass es sich bei dem untersuchten Produkt um ein Auslaufmodell handele, welches seit März 2021 durch ein Nachfolgemodell ersetzt werde. Das sichere Nachfolgemodell sei unter anderem an einer beiliegenden Keycard mit einem jeweils einzigartigen QR-Code zu erkennen; außerdem seien bei der neuen Ausführung Produkt und Verpackung mit dem Bluetooth-Logo bedruckt.
Kunde steht im Regen
Ich staune persönlich immer wieder über die Niederungen der Digitalisierung. Die Leute hätten sich nie mechanisch ABUS-Türschlösser eingebaut, wenn diese nach einige Jahren die Funktion aufgeben und nicht mehr schließen. Bei digitalen Produkten ist es halt so, dass es "bald" keine Updates mehr gibt und der doofe Käufer dann im Regen stehen bleibt. Bei obigem ABUS-Modell war es so, dass es noch nie Updates gab – die Dinger sind nicht patchbar.
Das BSI meint dazu: Eine abschließende Bewertung individueller Gefahrenlagen und weitere Hilfestellungen können Verbrauchende vom herstellenden Unternehmen erhalten. "Wir erwarten, dass Unternehmen ihre Kundinnen und Kunden mit einem Problem dieser Tragweite nicht allein lassen, und empfehlen, den Einsatz alternativer Produkte zu prüfen", so Schönbohm.
Der Fall zeige einmal mehr, dass Informationssicherheit die Voraussetzung für eine nachhaltig erfolgreiche Digitalisierung sei, so das BSI. Na denn, schauen wir weiter zu, wie diese Digitalisierung krachend gegen die Wand fährt und scheitert.
Stellungnahme des ABUS-Supports
Ergänzung: Ein Betroffener hat beim ABUS-Support nachgefragt, weil er das Produkt ausgetauscht haben wollte (er war wohl noch in der Gewährleistungsfrist). Ich stelle mal die Antwort des ABUS-Supports unkommentiert hier ein.
Ähnliche Artikel:
Ungepatchte ABUS Secvest-Alarmanlagen remote abschaltbar
Türschloss-Hack, oder Amazon is 'great again'
Neues zum Amazon Key-Hack
Ausgetrickst: Amazons Kamera ausgetrickst
Avast: 15,5 % der Smart Home-Geräte mit Sicherheitslücken
Bugs im Samsung IoT Hub gefährden Smart Home-Sicherheit
IoT: Nachholbedarf bei der Sicherung des Smart Homes
Smart Home: Der 'Feind' sitzt nebenan
Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau
Anzeige
Wieder so ein typischer Fall. Ein Bürogebäude wird statisch auf 50 Jahre Nutzungszeit geplant, ein Wohnhaus auf 100 Jahre. Das wäre dann auch der Zeitraum den Anbieter von Türschlössern sicherstellen müssen – und zwar gerade bei digitalen Türschlössern – gibt es da doch Prinzipbedingt keine Erfordernis ein Schloss vorzeitig zu tauschen, wenn ein Schlüssel verloren geht – Oh wait…
Sorry, aber das ist doch absoluter BS:
Kein Gebäude (bei dem man Wert auf Einbruchssicherheit legt) hat noch die Schlösser von 1922.
Insbesondere bei klassischen Schlössern/Schliessystemen im Heimbereich ist das 'Hacken' simpel: Einfachste Lockpickingtools genügen. Dagegen bieten die Smartlocks eine um Welten bessere Aufsperrsicherheit.
Dieses ganze "Home und Smart"-Gedöns ist einfach nur Spielzeug für Männer, so wie früher die elektrische Eisenbahn.
Kann man als Hobby betreiben um Zeit zu erschlagen und viel Geld dafür ausgeben. Hat aber keinen echten Nutzen. Bestenfalls funktioniert es einfach. Schlimmstenfalls nervt es einfach nur.
Wertsteigerung erfolgt keine. Es wird einfach nur Elektronikschrott daraus – eher früher, als später.
Angepriesene Einspareffekte (Strom/Heizung) sind oft schön gerechnet.
Der Break-Even-Point wird selten erreicht.
Und ein Sicherheitsgewinn scheint auch nicht immer gegeben zu sein.
Kann man machen. Muss man aber nicht.
Freundliche Grüße
"Angepriesene Einspareffekte (Strom/Heizung) sind oft schön gerechnet."
Und das ist überhaupt der größte aller Aufreger: "Bis zu 30 % Ersparnis"… wird so gerne geworben. 30 % wovon?
Jeder in Deutschland handelsübliche Thermostat basiert auf einer Bi-Metalfeder. Der dort eingestellte Zahlenwert entspricht einer bestimmten Temperatur – viele verwechseln das mit einem Durchfluß wie beim Wasserhahn.
Und definitiv ist es kostengünstiger, die Wohnung auf einen Temperaturbereich zu halten, als 4x täglich rauf- und runter zu heizen…
Meine zu Testzwecken verbauten "smarten" Thermostate haben mir letztlich einen Mehrverbrauch von über 40 % eingefahren, obgleich Temperaturempfehlungen bei der Programmierung berücksichtigt wurden.
Ständig waren die Teile am laufen (Nachtabsenkung, anheben vor Feierabend etc.). Den Mehrverbrauch möchte ich nicht mehr haben, back to Danfoss
Das mit dem Mehrverbrauch habe ich jetzt schon wiederholt gehört. Sehr interessant, das immer wieder zu hören/lesen. Vor allem sind diese "schlauen Dinger" ja nicht gerade billig in der Anschaffung – und dann auch noch expliziter Mehrverbrauch …
Na ja, die meisten Bürger heizen eh nach Gefühl und nicht nach Raumtemperatur (gemessen über Thermometer) und entsprechenden sinnvollen (= möglichst dauerhaften) Thermostateinstellungen, in einer möglichst sinnvollen Bandbreite. Meine lieben Kollegen im Betrieb (und ja, dort vor allem die halt technisch doch nicht so versierten Frauen) meinen auch ständig "weit aufdrehen" macht die Heizung schneller heiß und vor allem heißer, als wie auf kleineren Zahlenwerten … Da fehlt bei so Einigen jedes Grundverständnis, wie eine Heizungsanlage und Thermostate eigentlich so funktionieren … Da bringen dann auch intelligente Thermostate nicht sehr viel, da auch diese einfach halt dann ständig (ohne Konzept) höher oder tiefer gedreht werden. Hauptsache es wird irgendwie so warm, wie man es gefühlt gerne hätte … Ganz schlimm ist es immer in der Übergangszeit im Frühjahr und Herbst, wenn der Außenfühler der Heizungsanlage eben durch die (ja gewollte) Trägheit (wegen der oft extremen Temperaturunterschiede zwischen Tag und Nacht) dann nicht sofort so reagiert wie manche Damen sich das vorstellen … ;-)
Nachtrag noch:
Frau von der Leyen und der Chef der USA finden schlaue Thermostate auch so richtig gut – natürlich! :-) Und die Hersteller dergleichen, werden ihre Lobbyhorden schon nach Brüssel gekarrt haben um weitere Überzeugungsarbeit zu leisten …
https[:]//www.heise.de/meinung/Kommentar-Energiemangel-laesst-sich-nicht-mit-digitalen-Thermostaten-bekaempfen-7193840.html
Da spricht der Praktiker – wenn ich mit so was um die Ecke komme (mit Wurzeln im Handwerk weiß ich, dass alles, was eingebaut wird, auch repariert werden muss – entweder von mir oder von einem Handwerker), gelte ich als "von gestern". Aber lasst mal die Fortschrittsgläubigen machen und schaut zu, wie die gegen die Wand fahren.
"Das herstellende Unternehmen ABUS hat die Schwachstelle gegenüber dem BSI bestätigt und mitgeteilt, dass es sich bei dem untersuchten Produkt um ein Auslaufmodell handele, welches seit März 2021 durch ein Nachfolgemodell ersetzt werde."
Und werden die Kunden ihre Konsequenzen daraus ziehen? Nein, werden sie nicht. Warum? Weil ABUS ja angeblich eine so tolle und alteingesessene Marke ist (obgleich selbst die mechanischen Schlösser zu den Schlechtesten und Unsichersten überhaupt zählen).
Seit deren IoT-Debakel Sicherheitsprodukte via root:toor abzusichern, welches hart einkodiert wurde, sind sie eigentlich (für mich) komplett weg vom Fenster.
Ich finde das Verhalten einfach unsäglich unverschämt, bei einer solchen Sicherheitslücke keine Aktualisierung nachzureichen. Kaufen für die Mülltonne, die geplante Obsoleszenz freut sich – die Anteilseigner ebenso.
So viel zum Thema Ressourcen sparen. Klar das Ding gibt es schon seit 2016, aber naja wegschmeißen ist jetzt nicht unbedingt die beste Lösung, aber offensichtlich die wirtschaftlichste. Was wieder zeigt wo Prioritäten gesetzt werden. Und jetzt soll mir mal einer noch was erzählen. Also entweder wir haben Ressourcenknappheit und tun dann auch etwas dagegen oder wir haben keine. Und mit solchen Aktionen würde ich eher letzteres Annehmen, was aber eigentlich falsch ist.
Eben "Aktionen"! Und nicht nur hier. Fast panischer Aktionismus gerade auf fast allen Ebenen. Man sieht ja gerade, wie die Politik sich um Kopf und Kragen rudert um den Mist, der über Jahrzehnte verzapft wurde, bis zum Winter irgendwie ohne größeren Ärger und Schäden glatt zu bügeln … (Die haben ja im Moment noch wesentlich mehr Angst vor sozialen Unruhen, wie sie es je während der Pandemie hatten …) Man hat Angst, dass wegen einigen zusätzlichen Heizlüftern das Stromnetz demnächst zusammenbricht, will uns aber gleichzeitig die Mär von der so gut wie 100%igen Elektromobilität in den nächsten Jahren schmackhaft machen … Ein bekloppter, schnellstmöglicher Atomausstieg über Nacht, ohne bereits bereitstehende, sinnvolle Alternative(n) wurde durchgezogen und nun hat man Angst vor ein paar lächerlichen Heizlüftern … Bevor ich wichtige Infrastruktur endgültig abschalte, sollte evtl. eine (die) Energiewende möglichst trag- und belastbar vollzogen sein. Umwelt, oder sonstige Ideologien hin oder her. Ist keinem mit gedient, wenn wir demnächst im Dunkeln sitzen und der Gefrierschrank dann langsam aber sicher abtaut – und es evtl. dann für längere Zeit auch keinen Sprit mehr gibt … Und … Und … Und … Ich bin gespannt!
Und zum Thema hier:
Auch hier sollten die Anbieter von solchen Türschlössern von der Politik längstens zu "lebenslangen Updates" verpflichtet worden sein! Mit "lebenslang" meine ich eine Dauer von mind. 25 – 30 Jahren, denn so lange hält ein mechanisches Schloss auch i. d. R. locker durch (siehe hierzu auch den ersten Kommentar von Olli!) Alles andere ist eine Konterkarierung von angeblicher Ressourcenknappheit. Aber wie gesagt, dies ist nicht nur bei den Schlössern so. Man denke nur an Andys Elektroroller z. B., die eine einzige, unnötige Umweltsauerei darstellen …! Wir drehen uns in unserer Wohlstandsgesellschaft diesbzgl. immer mehr im Kreis und halten es wie die Katze, die ihrem eigenen Schwanz nachrennt … Und viele der maßgeblich Verantwortlichen sehen dies nicht einmal – oder wollen es wohl nicht so richtig sehen?!