Sicher­heits­lücke bei Abus Warnung vor Funk-Türschloss

4
Sicher­heits­lücke bei Abus - Warnung vor Funk-Türschloss
Nicht sicher. Das Abus Home­Tec Pro CFA3000. © Stiftung Warentest / Ralph Kaiser

Fremde könnten das Abus Home­Tec Pro CFA3000 hacken. Die Stiftung Warentest empfiehlt, das Schloss nicht mehr zu nutzen. Betroffene können sich an Abus wenden.

Das Funk-Türschloss Abus Home­Tec Pro CFA3000 hat eine Sicher­heits­lücke, die es Unbe­fugten unter Umständen ermöglicht, das Schloss zu hacken und dadurch zu öffnen. Das meldete das Bundesamt für Sicherheit in der Informationstechnik (BSI). Da sich das Problem laut Anbieter nicht per Software-Update lösen lässt, empfiehlt die Stiftung Warentest, das Produkt abzu­montieren und nicht mehr zu verwenden. Das Türschloss war vor rund zwei Jahren Teil eines unserer Tests. Die Stiftung Warentest hat das test-Qualitäts­urteil (Gut, 2,4), sowie die Urteile zu „Sicherheit und Daten­schutz“ und „Bedienen: vor Ort“ nun zurück­gezogen.

Derzeit stehen wir im Austausch mit Abus und dem BSI – wenn uns neue Informationen erreichen, werden wir an dieser Stelle darüber informieren.

Hack nur unter bestimmten Voraus­setzungen möglich

Wie groß die tatsäch­liche Gefahr eines Hacker­angriffs ist, lässt sich derzeit nur schwer abschätzen. Abus hat noch keine Details zur Sicher­heits­lücke veröffent­licht. Fest steht aber, dass Angreifer zunächst einmal wissen müssten, dass ein Haushalt das Schloss verwendet. Es wird an der Innenseite der Tür angebracht und ist daher von außen nicht sicht­bar.

Abus selbst sieht das Risiko als relativ gering an – gegen­über der Stiftung Warentest erklärte der Anbieter: „Für eine entsprechende Attacke sind hoher tech­nischer Aufwand, kriminelle Energie, speziell zusammen­gestellte Hard­ware und fundierte Programmierkennt­nisse erforderlich. Zur Vorbereitung eines Angriffs ist zudem eine räumliche Nähe zum Produkt während des eigentlichen Öffnungs- bzw. Schließ­vorgangs eines berechtigten Nutzers erforderlich.“ Außerdem sei die Anzahl per Hack durch­geführter Einbrüche relativ gering – in den allermeisten Fällen würden Kriminelle physische Schäden anrichten, um in fremde Wohnungen einzudringen.

So lassen sich betroffene Geräte erkennen

Laut Abus handelt es sich bei der vom BSI untersuchten Variante des Home­Tec Pro CFA3000 um ein Auslaufmodell, das allerdings noch im Handel zu finden sein dürfte. Bereits seit März 2021 sei ein gleichnamiges Nach­folgemodell erhältlich, welches nicht von der Sicher­heits­lücke betroffen sei. Diese neue Produktgeneration ließe sich unter anderem daran erkennen, dass auf Gerät und Verpackung ein Bluetooth-Logo abge­druckt sei – zudem liege dem Gerät eine physische Karte mit QR-Code bei.

Hinweis: Fehlen diese Merkmale bei Ihrer Version des Home­Tec Pro CFA3000, sollten Sie sicher­heits­halber davon ausgehen, dass Ihr Gerät von der Schwach­stelle betroffen ist.

Kunden müssen sich aktiv bei Abus melden

Bei Redak­tions­schluss war auf der Produktseite von Abus noch kein Hinweis auf die Sicher­heits­lücke zu finden. Gegen­über der Stiftung Warentest teilte Abus mit, Besitze­rinnen und Besitzer des Home­Tec Pro CFA3000 könnten die Firma per E-Mail (kunden­service@abus.de) kontaktieren.

Welche Lösungen das Unternehmen anbietet, ist allerdings unklar: Fragen der Stiftung Warentest, ob Betroffene ein Ersatz­produkt oder eine Rück­erstattung des Kauf­preises erhalten können, ob es einen Rück­ruf geben wird und was Nutzende mit ihrem Schloss tun sollten, beant­wortete Abus nicht konkret. Wie es zu dem Problem kommen konnte, blieb ebenfalls offen. Das Gleiche gilt für die Frage, ob neben dem Home­Tec Pro CFA3000 noch weitere Abus-Funk-Tür­schlösser von Sicher­heits­lücken betroffen sind.

Sollte Abus zu diesen Fragen noch Informationen liefern, werden wir den vorliegenden Artikel selbst­verständlich aktualisieren.

4

Mehr zum Thema

  • Sicher­heits­lücke Abus lässt Betroffene im Stich

    - Hacker können das Home­Tec Pro CFA3000 knacken. IT- und Versicherungs­experten raten, das Schloss nicht mehr zu nutzen. Doch Abus weigert sich, das Gerät auszutauschen.

  • Online-Ausweis­funk­tion So nutzen Sie den digitalen Ausweis

    - Dank der Online-Ausweis­funk­tion lassen sich von Kfz-Zulassung bis Bafög-Antrag bereits einige Dinge online erledigen. Das funk­tioniert auch mit dem Smartphone.

  • Fahr­radschloss-Test Fahr­radschlösser – aber sicher!

    - Sind Bügelschlösser besser als Kettenschlösser? Fest steht: Sichere Schlösser sind nicht leicht zu finden. Das zeigt der Fahr­radschloss-Test der Stiftung Warentest.

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

tom.stein am 18.09.2022 um 19:09 Uhr
ABUS ist damit gestorben

Das Argument von ABUS, dass sich ein Einbrecher in unmittelbarer Nähe befinden muss, ist so einleuchtend wie idiotisch: Das ist in 100% der Fälle gegeben, denn kein normaler Einbrecher knackt eine Wohnungstür und geht dann nicht hinein. Und die Existenz eines unsichtbaren Abus-Schlosses auf der Innenseite lässt sich gleich auf 2 Arten feststellen: Die meisten Geräte senden in regelmäßigen Abständen selbst eine Kennung aus, damit z.B. das Handy die Verbindung aufnehmen kann. Diese Kennung verrät in den ersten 3 Bytes der MAC den Hersteller. Oder ein Angreifer geht einfach die Straße entlang und prüft z.B. mit einem Hacking-Tool wie dem Flipper Zero alle 2 Sekunden, ob ein Schloss auf den Angriff reagiert. Damit ist auch dieses Argument von ABUS entkräftet. 100% Fail, 0% Sicherheit!
Wenn ein Hersteller von Sicherheitsgeräten sich so verhält, dann sollte man der Sicherheit nicht trauen. Abus warnt seine Kunden auch nicht selbst oder schreibt etwas auf die Webseite.

uboche am 17.09.2022 um 16:22 Uhr
ABUS verharmlost die Problematik

ABUS zählt alle Kenntnisse auf, die ein potentieller Einbrecher angeblich braucht. Das ist blanker Unsinn. Wie bei den Diebstählen von Autos mit Startknopf ist auch hier nur ein einziger Krimineller mit entsprechenden Fachkenntnissen nötig, der einen entsprechenden Kit baut und verkauft, mit dem andere Kriminelle ohne diese Kenntnisse den Einbruch ausführen können. Der Darknet-Verkäufer hat dabei noch den Vorteil, dass er nicht persönlich am Tatort sein muss und damit das Risiko, gefasst zu werden, viel geringer ist.

Marc999 am 26.08.2022 um 08:06 Uhr
Abus tut nichts

Nach meiner Anfrage beim Kundenservice habe ich nur u.A. folgendes geantwortet bekommen: "Aus diesen Gründen kommen wir zu der Einschätzung, dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können. Der Austausch des HomeTec Pro Türschlossantrieb CFA3000 wird von ABUS nicht unterstützt."
Also tun die einfach nichts und ich hoffe ich kann das Schloß noch bei Amazon zurückgeben, da zum Glück der Gewährleistungszeitraum noch nicht abgelaufen ist

Fipps86 am 23.08.2022 um 11:38 Uhr
ABUS verharmlost die Problematik.

Hier die Antwort von ABUS:
Eine illegale Manipulation des Funk-Antriebs CFA3000 in der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erwähnten Art würde in der Praxis eine Reihe von verschiedenen und aufeinander aufbauenden Handlungen erfordern:
Ein möglicher Angreifer muss wissen, dass das Produkt auf der (von außen nicht sichtbaren) Türinnenseite von Haus oder Wohnung installiert ist.
Ein möglicher Angreifer muss sich, um ein entsprechendes Signal abfangen zu können, in unmittelbarer Nähe zum Produkt, zur Haustür und zum Bedienenden während des Öffnungs- bzw. Schließvorgangs befinden.
Ein möglicher Angreifer benötigt umfangreiches und tiefgehendes elektrotechnisches Know-How sowie Equipment und Programmiererfahrung für einen erfolgversprechenden Angriff.
(...)Einbruchmethoden, wie Aufhebeln deutlich schneller und unkomplizizierter(...)
Aus diesen Gründen kommen wir zu der Einschätzung, dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können.