Nicht sicher. Das Abus HomeTec Pro CFA3000. © Stiftung Warentest / Ralph Kaiser
Fremde könnten das Abus HomeTec Pro CFA3000 hacken. Die Stiftung Warentest empfiehlt, das Schloss nicht mehr zu nutzen. Betroffene können sich an Abus wenden.
Das Funk-Türschloss Abus HomeTec Pro CFA3000 hat eine Sicherheitslücke, die es Unbefugten unter Umständen ermöglicht, das Schloss zu hacken und dadurch zu öffnen. Das meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI). Da sich das Problem laut Anbieter nicht per Software-Update lösen lässt, empfiehlt die Stiftung Warentest, das Produkt abzumontieren und nicht mehr zu verwenden. Das Türschloss war vor rund zwei Jahren Teil eines unserer Tests. Die Stiftung Warentest hat das test-Qualitätsurteil (Gut, 2,4), sowie die Urteile zu „Sicherheit und Datenschutz“ und „Bedienen: vor Ort“ nun zurückgezogen.
Derzeit stehen wir im Austausch mit Abus und dem BSI – wenn uns neue Informationen erreichen, werden wir an dieser Stelle darüber informieren.
Hack nur unter bestimmten Voraussetzungen möglich
Wie groß die tatsächliche Gefahr eines Hackerangriffs ist, lässt sich derzeit nur schwer abschätzen. Abus hat noch keine Details zur Sicherheitslücke veröffentlicht. Fest steht aber, dass Angreifer zunächst einmal wissen müssten, dass ein Haushalt das Schloss verwendet. Es wird an der Innenseite der Tür angebracht und ist daher von außen nicht sichtbar.
Abus selbst sieht das Risiko als relativ gering an – gegenüber der Stiftung Warentest erklärte der Anbieter: „Für eine entsprechende Attacke sind hoher technischer Aufwand, kriminelle Energie, speziell zusammengestellte Hardware und fundierte Programmierkenntnisse erforderlich. Zur Vorbereitung eines Angriffs ist zudem eine räumliche Nähe zum Produkt während des eigentlichen Öffnungs- bzw. Schließvorgangs eines berechtigten Nutzers erforderlich.“ Außerdem sei die Anzahl per Hack durchgeführter Einbrüche relativ gering – in den allermeisten Fällen würden Kriminelle physische Schäden anrichten, um in fremde Wohnungen einzudringen.
So lassen sich betroffene Geräte erkennen
Laut Abus handelt es sich bei der vom BSI untersuchten Variante des HomeTec Pro CFA3000 um ein Auslaufmodell, das allerdings noch im Handel zu finden sein dürfte. Bereits seit März 2021 sei ein gleichnamiges Nachfolgemodell erhältlich, welches nicht von der Sicherheitslücke betroffen sei. Diese neue Produktgeneration ließe sich unter anderem daran erkennen, dass auf Gerät und Verpackung ein Bluetooth-Logo abgedruckt sei – zudem liege dem Gerät eine physische Karte mit QR-Code bei.
Hinweis: Fehlen diese Merkmale bei Ihrer Version des HomeTec Pro CFA3000, sollten Sie sicherheitshalber davon ausgehen, dass Ihr Gerät von der Schwachstelle betroffen ist.
Kunden müssen sich aktiv bei Abus melden
Bei Redaktionsschluss war auf der Produktseite von Abus noch kein Hinweis auf die Sicherheitslücke zu finden. Gegenüber der Stiftung Warentest teilte Abus mit, Besitzerinnen und Besitzer des HomeTec Pro CFA3000 könnten die Firma per E-Mail (kundenservice@abus.de) kontaktieren.
Welche Lösungen das Unternehmen anbietet, ist allerdings unklar: Fragen der Stiftung Warentest, ob Betroffene ein Ersatzprodukt oder eine Rückerstattung des Kaufpreises erhalten können, ob es einen Rückruf geben wird und was Nutzende mit ihrem Schloss tun sollten, beantwortete Abus nicht konkret. Wie es zu dem Problem kommen konnte, blieb ebenfalls offen. Das Gleiche gilt für die Frage, ob neben dem HomeTec Pro CFA3000 noch weitere Abus-Funk-Türschlösser von Sicherheitslücken betroffen sind.
Sollte Abus zu diesen Fragen noch Informationen liefern, werden wir den vorliegenden Artikel selbstverständlich aktualisieren.
-
Abus lässt Betroffene im Stich
- Hacker können das HomeTec Pro CFA3000 knacken. IT- und Versicherungsexperten raten, das Schloss nicht mehr zu nutzen. Doch Abus weigert sich, das Gerät auszutauschen.
-
Sicherheitslücken in drei Hotspots
- In WLan-Routern mit Mobilfunkmodem von Asus, D-Link und TP-Link fanden wir kritische Sicherheitslücken. Betroffene sollten schnell handeln.
-
So nutzen Sie den digitalen Ausweis
- Dank der Online-Ausweisfunktion lassen sich von Kfz-Zulassung bis Bafög-Antrag bereits einige Dinge online erledigen. Das funktioniert auch mit dem Smartphone.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Mit dieser Reaktion hat Abus seine Glaubwürdigkeit in punkto Sicherheit komplett verwirkt.
"Kann man weiter nutzen, weil ein Einbrecher müsste ja etwas von Technik verstehen" - srysly?
Das ist Prinzip Hoffnung, mehr nicht!
Damit kann man auch nicht mehr auf Nachfolger von Abus vertrauen, bei denen diese Sicherheitslücke nicht besteht.
Denn sollte eine andere Lücke auftreten, weiß man ja, wie wenig Abus hierfür einsteht.
Bitter!
Das Argument von ABUS, dass sich ein Einbrecher in unmittelbarer Nähe befinden muss, ist so einleuchtend wie idiotisch: Das ist in 100% der Fälle gegeben, denn kein normaler Einbrecher knackt eine Wohnungstür und geht dann nicht hinein. Und die Existenz eines unsichtbaren Abus-Schlosses auf der Innenseite lässt sich gleich auf 2 Arten feststellen: Die meisten Geräte senden in regelmäßigen Abständen selbst eine Kennung aus, damit z.B. das Handy die Verbindung aufnehmen kann. Diese Kennung verrät in den ersten 3 Bytes der MAC den Hersteller. Oder ein Angreifer geht einfach die Straße entlang und prüft z.B. mit einem Hacking-Tool wie dem Flipper Zero alle 2 Sekunden, ob ein Schloss auf den Angriff reagiert. Damit ist auch dieses Argument von ABUS entkräftet. 100% Fail, 0% Sicherheit!
Wenn ein Hersteller von Sicherheitsgeräten sich so verhält, dann sollte man der Sicherheit nicht trauen. Abus warnt seine Kunden auch nicht selbst oder schreibt etwas auf die Webseite.
ABUS zählt alle Kenntnisse auf, die ein potentieller Einbrecher angeblich braucht. Das ist blanker Unsinn. Wie bei den Diebstählen von Autos mit Startknopf ist auch hier nur ein einziger Krimineller mit entsprechenden Fachkenntnissen nötig, der einen entsprechenden Kit baut und verkauft, mit dem andere Kriminelle ohne diese Kenntnisse den Einbruch ausführen können. Der Darknet-Verkäufer hat dabei noch den Vorteil, dass er nicht persönlich am Tatort sein muss und damit das Risiko, gefasst zu werden, viel geringer ist.
Nach meiner Anfrage beim Kundenservice habe ich nur u.A. folgendes geantwortet bekommen: "Aus diesen Gründen kommen wir zu der Einschätzung, dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können. Der Austausch des HomeTec Pro Türschlossantrieb CFA3000 wird von ABUS nicht unterstützt."
Also tun die einfach nichts und ich hoffe ich kann das Schloß noch bei Amazon zurückgeben, da zum Glück der Gewährleistungszeitraum noch nicht abgelaufen ist
Hier die Antwort von ABUS:
Eine illegale Manipulation des Funk-Antriebs CFA3000 in der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erwähnten Art würde in der Praxis eine Reihe von verschiedenen und aufeinander aufbauenden Handlungen erfordern:
Ein möglicher Angreifer muss wissen, dass das Produkt auf der (von außen nicht sichtbaren) Türinnenseite von Haus oder Wohnung installiert ist.
Ein möglicher Angreifer muss sich, um ein entsprechendes Signal abfangen zu können, in unmittelbarer Nähe zum Produkt, zur Haustür und zum Bedienenden während des Öffnungs- bzw. Schließvorgangs befinden.
Ein möglicher Angreifer benötigt umfangreiches und tiefgehendes elektrotechnisches Know-How sowie Equipment und Programmiererfahrung für einen erfolgversprechenden Angriff.
(...)Einbruchmethoden, wie Aufhebeln deutlich schneller und unkomplizizierter(...)
Aus diesen Gründen kommen wir zu der Einschätzung, dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können.