Sicher­heits­lücke Abus lässt Betroffene im Stich

1
Sicher­heits­lücke - Abus lässt Betroffene im Stich
Nicht sicher. Das Abus-Türschloss Home­Tec Pro CFA3000. © Stiftung Warentest / Ralph Kaiser

Hacker können das Home­Tec Pro CFA3000 knacken. IT- und Versicherungs­experten raten, das Schloss nicht mehr zu nutzen. Doch Abus weigert sich, das Gerät auszutauschen.

„Sicherheit braucht Qualität“ lautet das Firmen-Motto von Abus. Zumindest Ersteres bietet das von einer Sicherheitslücke betroffene Abus-Türschloss Home‧Tec Pro CFA3000 nicht. Fachleute warnen davor, das Schloss weiter zu verwenden: Da die Schwach­stelle inzwischen allgemein bekannt sei, könne es sein, dass Hausrat-Versicherungen bei einem Einbruch nicht zahlen. Abus-Kunden würden auf dem Schaden sitzen bleiben.

Gegen­über der Stiftung Warentest hatte der Anbieter Abus zunächst Kulanz signalisiert. Doch Kunden erhielten eine Stan­dard-Mail, in der die Firma schreibt, „dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können.“

Versicherer: Bei Einbruch keine Haftung?

Auf einen Risiko­faktor geht Abus in seinem Stan­dard-Schreiben an betroffene Kunden gar nicht ein: Wenn Nutzer das Schloss weiter verwenden, obwohl die Sicher­heits­lücke bekannt ist, könnten Versicherer die Haftung bei Einbrüchen verweigern.

„Ein solcher Fall kann versicherungs­tech­nisch zum Problem werden“, meint Michael Sittig, Versicherungs­experte der Stiftung Warentest. „Solange Einbruch­spuren am Türschloss vorhanden sind, wird es wahr­scheinlich kein Problem mit der Hausrat-Versicherung geben. Aber wenn solche physischen Spuren fehlen, weil das Schloss per Hack geknackt wurde, wird es schwierig.“ Streng genommen, so Michael Sittig, seien Nutzer sogar verpflichtet, den Versicherer auf das Problem hinzuweisen, weil die Schwach­stelle zu einer Gefahr­erhöhung führe.

„Anders ist die Lage, wenn Schäden durch die Sicher­heits­lücke entstanden sind, bevor diese bekannt wurde“, erklärt unser Rechts­experte Christoph Herr­mann mit Verweis auf ein Urteil des Bundesgerichtshofes: „In solchen Fällen ist der Hersteller des Schlosses zu Schaden­ersatz verpflichtet.“

IT-Spezialisten: Hack „nicht unwahr­scheinlich“

Anruf beim Bundes­amt für Sicherheit in der Informations­technik (BSI): Die Behörde hatte die Schwach­stelle im August vermeldet und vor dem weiteren Einsatz des Schlosses gewarnt. Abus versuchte darauf­hin, Kunden per Mail zu beruhigen: Einen Angriff auf das Schloss beschrieb die Firma darin als recht unwahr­scheinlich und schwierig, unter anderem da das Türschloss in der Regel „von außen nicht sicht­bar“ sei.

Die IT-Spezialisten vom BSI kommen zu einer anderen Einschät­zung: Sie ordnen der Sicher­heits­lücke die Risi­kostufe 3 zu – das zweit­höchste Level. „Bereits hieraus lässt sich ableiten, dass wir seitens des BSI die Ausnutzung als nicht unwahr­scheinlich bewerten“, teilt die Behörde auf Anfrage der Stiftung Warentest mit.

Potentielle Opfer ausspähen

Bleibt noch die Frage nach der Sicht­barkeit: Wie schwer ist es für Angreifer, die Nutzung des Funk­schlosses von außen zu erkennen? „Zumindest bei Verwendung des Nummernpads ist für eine angreifende Person die Verwendung von außen klar erkenn­bar“, schreibt das BSI und bezieht sich dabei auf eine mit dem Schloss verbundene Funk­tastatur. Die können Kunden an die Tür oder Hauswand montieren, um das Schloss durch Eingabe eines Zahlencodes zu öffnen. Andere Nutzer setzen eine Funk­fernbedienung ein, um das Schloss zu öffnen – das lasse sich laut BSI durch „vorheriges Ausspähen des potenziellen Opfers“ erkennen.

Kunden: Viele ärgern sich über Abus

Nach unserem Bericht über die Sicher­heits­lücke haben sich zahlreiche Leser an uns gewandt. Sie zeigten sich empört darüber, wie der Anbieter mit dem Fall umgeht: „Abus verharmlost die Problematik“, schreibt ein Nutzer – „Abus tut nichts“, ein anderer. Ein Dritter konstatiert: „100% Fail, 0% Sicherheit! Wenn ein Hersteller von Sicher­heits­geräten sich so verhält, dann sollte man der Sicherheit nicht trauen.“

Emotionaler Schaden

Wir sprachen mit einem Betroffenen aus Nieder­sachsen. Er arbeitet als IT-Qualitäts­manager und besitzt den Fens­ter­öff­ner Abus Home­Tec Pro FCA3000. Vermutlich hat der die gleiche Schwach­stelle: Abus schreibt auf seiner Website, dass der Fens­ter­öff­ner dieselbe Technik nutzt wie das Türschloss und verweist auf die Warnung des BSI. „Bei mir hat die Reaktion von Abus Erschre­cken ausgelöst“, erzählt der Betroffene. „Bei einem Einbruch sind ja nicht nur meine Wert­sachen gefährdet, sondern auch persönliche Gegen­stände. Der emotionale Schaden, wenn das eigene Zuhause aufgebrochen wird, ist noch viel größer als der materielle.“

Abus: Der Hersteller bleibt bei seiner Haltung

Aufgrund der zahlreichen Zuschriften von enttäuschten Abus-Kunden haben wir uns erneut an den Anbieter gewendet. Wir wollten unter anderem wissen, ob Abus Betroffene proaktiv über die Sicher­heits­lücke informiert hat. Und ob die Firma Maßnahmen ergriffen hat, damit noch im Handel erhältliche Schlösser nicht mehr verkauft werden. Schriftlich geht Abus nicht direkt auf diese Fragen ein – statt­dessen teilt uns das Unternehmen mit, dass „sich an der Beur­teilung seit unserem letzten Kontakt nichts geändert hat“.

Nur ein Hinweis auf die BSI-Warnung

Abus bleibt also dabei, dass ein Hack der Geräte unwahr­scheinlich, weil sehr aufwendig und kompliziert sei. Ein Rück­ruf oder systematischer Austausch scheinen demnach weiterhin nicht geplant zu sein. Auf den deutschen Produkt­seiten des Türschlosses und des Fens­ter­öff­ners hat Abus einen Hinweis auf die BSI-Warnung einge­baut: Dort heißt es, bei Fragen könne man sich sich per E-Mail an kundenservice-cfa3000@abus.de oder Kontaktformular an den Kunden­service wenden.

Händler: Manche zeigen Kulanz

Wenn der Hersteller nicht hilft, bleibt Betroffenen noch der Weg über den Händler, bei dem sie das Gerät erworben haben. Tatsäch­lich sind hier die Erfolgs­chancen derzeit wohl größer als beim Hersteller: Während Abus das unsichere Schloss einfach für sicher erklärt, helfen manche Händler und finden gemein­sam mit den Betroffenen freiwil­lig kundenfreundliche Lösungen. Unser Tipp lautet daher: Fragen Sie bei Ihrem Händler nach.

1

Mehr zum Thema

  • Einbruch­schutz Tests und Tipps der Stiftung Warentest für Ihre Sicherheit

    - Einbrecher scheitern zunehmend beim Versuch, in Haus und Wohnung einzudringen. Der Grund: In Deutsch­land rüsten immer mehr Menschen ihr Heim auf – mit Tür- und...

  • Antiviren­programme im Test Unver­zicht­barer Schutz für Ihren Rechner

    - Virens­canner sind unver­zicht­bar: Sie schützen vor Schadsoftware und Phishing. Wir zeigen, welche Antiviren­programme im Test am besten funk­tionieren.

  • test warnt Phishing-Gefahr für Bürorück­kehrer

    - Derzeit kehren viele Beschäftigte an ihren Arbeits­platz zurück, und es entstehen neue Einfalls­tore für Cyberkriminelle. test.de sagt, worauf Sie achten sollten.

1 Kommentar Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

ninick am 29.09.2022 um 21:53 Uhr
Leider ist Abus nun mal kein Qualitätshersteller

Mal abgesehen von den teils hervorragenden Fahrradschlössern stellt Abus leider sehr viele drittklassige bis mittelmäßige Produkte her. Dazu gehört fast das gesamte Schließzylinder-Sortiment (insbesondere die Wendeschlüsselsysteme lassen sich oft mit Schlagschlüsseln in Sekunden öffnen), die dünnen Fahrradschlösser (Einladung zum Fahrraddiebstahl bzw. "Geschenkbänder für Fahrraddiebe". Wie ernst kann ich einen Hersteller nehmen, der Sicherheitsprodukte verkauft, die "3" auf einer Skala von bis zu "10" ausweisen? Ist es o.k., auch im Sicherheitsbereich unsichere, schlechte und drittklassige Produkte anzubieten, nur weil man unbedingt die Umsätze mitnehmen will, die sonst andere Anbieter einstecken würden? Ist ein Produkt wie ein Billig-Fahrradschloss, das Sicherheit suggeriert und einen traurigen diebstahlgeschädigten Anwender zurücklässt, der es aus Mangel an Wissen nicht besser wusste, eigentlich ein antisoziales Produkt, und ein Hersteller, der es herstellt, antisozial? Ich denke: ja