Nicht sicher. Das Abus-Türschloss HomeTec Pro CFA3000. © Stiftung Warentest / Ralph Kaiser
Hacker können das HomeTec Pro CFA3000 knacken. IT- und Versicherungsexperten raten, das Schloss nicht mehr zu nutzen. Doch Abus weigert sich, das Gerät auszutauschen.
„Sicherheit braucht Qualität“ lautet das Firmen-Motto von Abus. Zumindest Ersteres bietet das von einer Sicherheitslücke betroffene Abus-Türschloss Home‧Tec Pro CFA3000 nicht. Fachleute warnen davor, das Schloss weiter zu verwenden: Da die Schwachstelle inzwischen allgemein bekannt sei, könne es sein, dass Hausrat-Versicherungen bei einem Einbruch nicht zahlen. Abus-Kunden würden auf dem Schaden sitzen bleiben.
Gegenüber der Stiftung Warentest hatte der Anbieter Abus zunächst Kulanz signalisiert. Doch Kunden erhielten eine Standard-Mail, in der die Firma schreibt, „dass Sie das Produkt weiterhin mit dem guten Gefühl der Sicherheit nutzen können.“ Wir raten davon ab, das Türschloss Abus HomeTec Pro CFA3000 zu kaufen. Andere smarte Türschlösser aus unserem Test bieten mehr Sicherheit.
Update [24. April 2024]: Gericht fordert Nachbesserungen von Abus
Das Landgericht Bochum hat entschieden, dass Abus bislang nicht umfassend genug auf die Sicherheitslücke hinweist und deshalb nachbessern muss. Details finden Sie in unserer Meldung zum Gerichtsurteil.
Versicherer: Bei Einbruch keine Haftung?
Auf einen Risikofaktor geht Abus in seinem Standard-Schreiben an betroffene Kunden gar nicht ein: Wenn Nutzer das Schloss weiter verwenden, obwohl die Sicherheitslücke bekannt ist, könnten Versicherer die Haftung bei Einbrüchen verweigern.
„Ein solcher Fall kann versicherungstechnisch zum Problem werden“, meint Michael Sittig, Versicherungsexperte der Stiftung Warentest. „Solange Einbruchspuren am Türschloss vorhanden sind, wird es wahrscheinlich kein Problem mit der Hausrat-Versicherung geben. Aber wenn solche physischen Spuren fehlen, weil das Schloss per Hack geknackt wurde, wird es schwierig.“ Streng genommen, so Michael Sittig, seien Nutzer sogar verpflichtet, den Versicherer auf das Problem hinzuweisen, weil die Schwachstelle zu einer Gefahrerhöhung führe.
„Anders ist die Lage, wenn Schäden durch die Sicherheitslücke entstanden sind, bevor diese bekannt wurde“, erklärt unser Rechtsexperte Christoph Herrmann mit Verweis auf ein Urteil des Bundesgerichtshofes: „In solchen Fällen ist der Hersteller des Schlosses zu Schadenersatz verpflichtet.“
IT-Spezialisten: Hack „nicht unwahrscheinlich“
Anruf beim Bundesamt für Sicherheit in der Informationstechnik (BSI): Die Behörde hatte die Schwachstelle im August vermeldet und vor dem weiteren Einsatz des Schlosses gewarnt. Abus versuchte daraufhin, Kunden per Mail zu beruhigen: Einen Angriff auf das Schloss beschrieb die Firma darin als recht unwahrscheinlich und schwierig, unter anderem da das Türschloss in der Regel „von außen nicht sichtbar“ sei.
Die IT-Spezialisten vom BSI kommen zu einer anderen Einschätzung: Sie ordnen der Sicherheitslücke die Risikostufe 3 zu – das zweithöchste Level. „Bereits hieraus lässt sich ableiten, dass wir seitens des BSI die Ausnutzung als nicht unwahrscheinlich bewerten“, teilt die Behörde auf Anfrage der Stiftung Warentest mit.
Potentielle Opfer ausspähen
Bleibt noch die Frage nach der Sichtbarkeit: Wie schwer ist es für Angreifer, die Nutzung des Funkschlosses von außen zu erkennen? „Zumindest bei Verwendung des Nummernpads ist für eine angreifende Person die Verwendung von außen klar erkennbar“, schreibt das BSI und bezieht sich dabei auf eine mit dem Schloss verbundene Funktastatur. Die können Kunden an die Tür oder Hauswand montieren, um das Schloss durch Eingabe eines Zahlencodes zu öffnen. Andere Nutzer setzen eine Funkfernbedienung ein, um das Schloss zu öffnen – das lasse sich laut BSI durch „vorheriges Ausspähen des potenziellen Opfers“ erkennen.
Kunden: Viele ärgern sich über Abus
Nach unserem Bericht über die Sicherheitslücke haben sich zahlreiche Leser an uns gewandt. Sie zeigten sich empört darüber, wie der Anbieter mit dem Fall umgeht: „Abus verharmlost die Problematik“, schreibt ein Nutzer – „Abus tut nichts“, ein anderer. Ein Dritter konstatiert: „100% Fail, 0% Sicherheit! Wenn ein Hersteller von Sicherheitsgeräten sich so verhält, dann sollte man der Sicherheit nicht trauen.“
Emotionaler Schaden
Wir sprachen mit einem Betroffenen aus Niedersachsen. Er arbeitet als IT-Qualitätsmanager und besitzt den Fensteröffner Abus HomeTec Pro FCA3000. Vermutlich hat der die gleiche Schwachstelle: Abus schreibt auf seiner Website, dass der Fensteröffner dieselbe Technik nutzt wie das Türschloss und verweist auf die Warnung des BSI. „Bei mir hat die Reaktion von Abus Erschrecken ausgelöst“, erzählt der Betroffene. „Bei einem Einbruch sind ja nicht nur meine Wertsachen gefährdet, sondern auch persönliche Gegenstände. Der emotionale Schaden, wenn das eigene Zuhause aufgebrochen wird, ist noch viel größer als der materielle.“
Abus: Der Hersteller bleibt bei seiner Haltung
Aufgrund der zahlreichen Zuschriften von enttäuschten Abus-Kunden haben wir uns erneut an den Anbieter gewendet. Wir wollten unter anderem wissen, ob Abus Betroffene proaktiv über die Sicherheitslücke informiert hat. Und ob die Firma Maßnahmen ergriffen hat, damit noch im Handel erhältliche Schlösser nicht mehr verkauft werden. Schriftlich geht Abus nicht direkt auf diese Fragen ein – stattdessen teilt uns das Unternehmen mit, dass „sich an der Beurteilung seit unserem letzten Kontakt nichts geändert hat“.
Nur ein Hinweis auf die BSI-Warnung
Abus bleibt also dabei, dass ein Hack der Geräte unwahrscheinlich, weil sehr aufwendig und kompliziert sei. Ein Rückruf oder systematischer Austausch scheinen demnach weiterhin nicht geplant zu sein. Auf den deutschen Produktseiten des Türschlosses und des Fensteröffners hat Abus einen Hinweis auf die BSI-Warnung eingebaut: Dort heißt es, bei Fragen könne man sich sich per E-Mail an kundenservice-cfa3000@abus.de oder Kontaktformular an den Kundenservice wenden.
Händler: Manche zeigen Kulanz
Wenn der Hersteller nicht hilft, bleibt Betroffenen noch der Weg über den Händler, bei dem sie das Gerät erworben haben. Tatsächlich sind hier die Erfolgschancen derzeit wohl größer als beim Hersteller: Während Abus das unsichere Schloss einfach für sicher erklärt, helfen manche Händler und finden gemeinsam mit den Betroffenen freiwillig kundenfreundliche Lösungen. Unser Tipp lautet daher: Fragen Sie bei Ihrem Händler nach.
-
Tests und Tipps der Stiftung Warentest für Ihre Sicherheit
- Viele Menschen rüsten ihr Heim auf – mit Tür- und Fenstersicherungen, Alarmanlagen, Überwachungskameras. Die Tipps der Stiftung Warentest zum Einbruchschutz.
-
Starker Schutz für lau
- Antiviren-Apps wehren Schadsoftware und Phishing ab. Unser Test von Sicherheits-Apps für Android zeigt: Viele Programme schützen gut. Ganz vorn liegt eine Gratis-App.
-
Guten Schutz gibt es gratis
- Virenscanner wehren Schadsoftware und Phishing ab. Von 28 Antivirenprogrammen für Windows und MacOS schützen 8 im Test sehr gut. Einige davon sind sogar kostenlos.
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Kommentarliste
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
Mal abgesehen von den teils hervorragenden Fahrradschlössern stellt Abus leider sehr viele drittklassige bis mittelmäßige Produkte her. Dazu gehört fast das gesamte Schließzylinder-Sortiment (insbesondere die Wendeschlüsselsysteme lassen sich oft mit Schlagschlüsseln in Sekunden öffnen), die dünnen Fahrradschlösser (Einladung zum Fahrraddiebstahl bzw. "Geschenkbänder für Fahrraddiebe". Wie ernst kann ich einen Hersteller nehmen, der Sicherheitsprodukte verkauft, die "3" auf einer Skala von bis zu "10" ausweisen? Ist es o.k., auch im Sicherheitsbereich unsichere, schlechte und drittklassige Produkte anzubieten, nur weil man unbedingt die Umsätze mitnehmen will, die sonst andere Anbieter einstecken würden? Ist ein Produkt wie ein Billig-Fahrradschloss, das Sicherheit suggeriert und einen traurigen diebstahlgeschädigten Anwender zurücklässt, der es aus Mangel an Wissen nicht besser wusste, eigentlich ein antisoziales Produkt, und ein Hersteller, der es herstellt, antisozial? Ich denke: ja