2018-05-04 07:10:55

AV-Sicherheitszertifikat für SmartLock von Nuki

Als erstes smartes Türschloss wird Nuki als „Safe Smart Home Product“ ausgezeichnet.

Nuki, führender Anbieter von nachrüstbaren, smarten Zutrittslösungen in Europa, übernimmt auch im Bereich Sicherheit eine Vorreiterrolle. So hat das Grazer Unternehmen seine Nuki Combo, bestehend aus Smart Lock und Bridge, vom AV-TEST Institut umfangreich prüfen lassen und den Test in allen Bereichen erfolgreich bestanden. Das Einhalten aller Sicherheitsanforderungen anhand des aktuellen Testkatalogs bestätigt das AV-TEST-Siegel „Tested Smart Home Product“.

„Der Wunsch nach verifizierter Sicherheit ist bei einem Türschloss besonders hoch“, sagt Martin Pansy, Gründer und Geschäftsführer von Nuki Home Solutions. „Das Sicherheitsthema stand bei unserer Produktentwicklung daher von Anfang an im Fokus. Wir freuen wir uns sehr über eine erneute objektive Bestätigung unserer hohen Security-Skills durch das AV-Test Zertifikat.“

Das AV-TEST Institut mit Hauptsitz in Magdeburg ist ein weltweit führender, unabhängiger Anbieter im Bereich IT-Sicherheit und Antiviren-Forschung. Neben der Nuki Combo und Nuki App haben die Sicherheits-Experten auch den zugehörigen Alexa Custom Skill für Amazon Echo geprüft. In allen Punkten konnte Nuki die Tester überzeugen.

„Nuki beweist, dass gut durchdachte Sicherheit die Benutzerfreundlichkeit eines Smart-Home-Produkts nicht einschränken muss“, sagt Maik Morgenstern, CTO des AV-TEST Instituts. „Das Ergebnis zeigt deutlich, dass Sicherheit bei der Produktentwicklung von Anfang an eine entscheidende Rolle spielte – das ist beispielhaft.“

Die Analyse-Ergebnisse im Einzelnen

Die Untersuchung bestätigte die sichere Kommunikation sowohl lokal als auch online. Beim Aufruf des Nuki Smart Locks mit Bluetooth LE über die App ist der Zugriff Ende-zu-Ende verschlüsselt und wirksam gegen Replay-Angriffe geschützt. Bei Verwendung der App über den Einladungscode wird für die Verbindung ein Administrations-PIN definiert, der eingegeben werden muss. Um sich noch mehr zu schützen, kann die Kopplungsmethode per Button in der App deaktiviert werden.

Die Nuki Bridge ermöglicht den Fernzugriff auf das smarte Türschloss per App und Web. Die Verbindung zum Schloss wird über den Herstellerserver und die Nuki Bridge hergestellt. Eine Ende-zu-Ende-Verschlüsselung, bei der nur Absender und Empfänger Zugriff auf gesendete Daten haben, sorgt auch hier für entsprechende Sicherheit.

Verbindungen zwischen App und Server sind über TLS 1.2 verschlüsselt, die Verbindungen zwischen Server und Bridge über TLS 1.1. Beide Verbindungen sind gegen Man-in-the-Middle-Angriffe gerüstet, da neben der TLS-basierten Verschlüsselung auch Certificate Pinning verwendet wird, d.h. bei unbekannten Zertifikaten wird die Kommunikation direkt abgebrochen.

Die Analyse bestätigte zudem die Sicherheit der App. So zeigte sich, dass keine offensichtlichen oder kritischen Sicherheitslücken bei der Implementierung sicherheitsrelevanter Funktionen wie Pairing, Authentifizierung und Verschlüsselung bestehen. Auch gibt es keinen Hinweis auf eine ungeschützte oder anfällige Speicherung sensibler Daten auf dem Smartphone, die potentielle Angreifer für eine Manipulation nutzen könnten.

Beim Test der Amazon Alexa Skills bestätigte sich erneut das durchdachte Sicherheitskonzept von Nuki. Wie beim Web-Zugang mit der Nuki-App ist hier eine Sicherheitseingabe erforderlich, um das Schloss zu öffnen.

Vorbildlicher Schutz der Privatsphäre

Die Datenschutzerklärung wurde als leicht verständlich gelobt. Zudem wurde positiv hervorgehoben, dass keine Daten an Dritte weitergegeben werden. Das Löschen des Nuki-Web-Accounts ist direkt in Nuki Web möglich, außerdem können hier auch einzelne Smart-Locks vom Account entfernt werden.

Das detaillierte Testergebnis kann unter https://nuki.io/de/?p=69567 nachgelesen werden.

mat

Druckversion

Zum Thema

  • 2018-05-04

    Schwachstelle Drupalgeddon 2

    Vor einigen Wochen wurde eine Schwachstelle im beliebten Content-Management-System Drupal gefunden, Sicherheitsforscher von Check Point haben sich die Sicherheitslücke mit Namen Drupalgeddon 2 (SA-CORE-2018-002 / CVE-2018-7600) einmal genauer angesehen. Angreifer hätten vor dem Fix am 28. März per Fernzugriff Schadcode ausführen können, haben es aber anscheinend nicht getan.  mehr

  • 2018-03-01

    USA-Zugriff auf Daten in Europa

    Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit dem er nach dem Willen der US-Regierung tief in den europäischen Datenschutz eingreifen würde. Im Februar 2018 entscheidet er darüber, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.  mehr

  • 2018-04-17

    Mobile Mitarbeiter: Im Fadenkreuz von Hackern

    Lsut des iPass Mobile Security Report 2018 nimmt mehr als die Hälfte der von Vanson Bourne befragten Unternehmen (57%) an, dass ihre mobilen Mitarbeiter in den letzten 12 Monaten gehackt wurden oder aber es einen Sicherheitsvorfall auf deren mobilen Geräten gab.  mehr

  • 2018-03-12

    Mitarbeiter mit Administratorrechten

    Nach neuesten Erkenntnissen des globalen Sicherheitssoftware-Anbieters Avecto gewähren über 50 Prozent der IT-Unternehmen ihren Mitarbeitern trotz der damit verbundenen Sicherheitsrisiken lokale Administratorrechte auf Windows-Computern. Ein Viertel der 504 befragten IT- und Sicherheitsexperten aus Europa, dem Vereinigten Königreich und den USA war sich nicht sicher, welche Mitarbeiter im eigenen Unternehmen über lokale Administratorrechte verfügten.  mehr

  • © quelle ibm
    2018-04-17

    Biometrischer Identitätsschutz vs Passwörter

    Ob bei der Anmeldung in Anwendungen oder an Geräten - Sicherheit hat bei Verbrauchern weltweit mittlerweile höchste Priorität. Das zeigt eine neue globale Studie mit knapp 4.000 Befragten aus den USA, APAC und der EU, die von IBM Security in Auftrag gegeben wurde.  mehr

  • 2018-04-17

    Kryptominer-Malware

    Check Point hat seinen H2 2017 Global Threat Intelligence Trends Report vorgestellt. Dabei fand das Unternehmen heraus, dass Cyberkriminelle zunehmend zu Kryptominern tendieren, um illegal Einnahmequellen zu generieren. Ransomware und „Malvertising“-Adware betreffen jedoch weiterhin Unternehmen auf der ganzen Welt.  mehr

  • © quelle bitkom
    2018-04-17

    Neuer Höchststand bei SW-Sicherheitslücken

    Im Jahr 2017 hat die Zahl der weltweit registrierten Software-Sicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.003 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.  mehr

  • 2018-02-23

    2018 wird ein gefährliches Cyber-Jahr

    Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den großen unternehmerischen Herausforderungen zählen.  mehr

  • 2018-05-01

    Smart Home Alarmsystem: "Alexa, sag Gigaset ich gehe jetzt"

    Mit seinem Alarmsystem bietet Gigaset seit Jahren eine zuverlässige Lösung das Zuhause vor Einbruch, Diebstahl, Feuer und Wasser zu schützen, bzw. zahlreiche weitere Optionen die eigenen vier Wände individuell smarter zu gestalten. Nun erweitert Gigaset erneut sein Portfolio und verbindet das System mit dem Sprachdienst Amazon Alexa.  mehr

  • 2018-02-22

    Online-Erpressern in 2018 nicht auf den Leim gehen

    Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit "Security and Privacy in Computer Systems" erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen.  mehr