Das BSI hat Kenntnisse über eine Schwachstelle in dem Produktset Funk-Türschlossantrieb HomeTec Pro CFA3000 und Wireless remote control CFF3000 (Funkfernbedienung für das Produkt CFA3000) erlangt. Das Unternehmen bestätigte die Schwachstelle gegenüber dem BSI und teilte zusätzlich mit, dass die Lücke bei dieser Produktgeneration nicht behoben werden kann, da keine Updatemöglichkeiten für den Kunden bestehen. Nach Angaben des Unternehmens handelt es sich bei dem untersuchten Produkt um ein Auslaufmodell, welches durch eine Nachfolgegeneration ersetzt wurde.

Nach Angaben des Herstellers gegenüber dem BSI sind als Identifikationsmöglichkeiten des Nachfolgemodells unter anderem die Produktbezeichnung CFA3100, ein Bluetooth-Logo auf dem Produkt oder eine physische QR-Code Karte, welche dem Produkt bei liegt.

Überprüfen Sie, ob das entsprechende Produkt CFA3000 verbaut/-wendet wird. Wenden Sie sich bei dem Verdacht der Betroffenheit zur weiteren Abklärung bitte direkt an den Hersteller.

Sollten Sie das betreffende Produkt verbaut haben, sollte eine persönliche Risikoabschätzung durchgeführt werden, welche ggf. zu einem Austausch des Produkts führen kann.

Die Beantwortung dieser Frage entzieht sich unserer gesetzlichen Zuständigkeit und würde eine unzulässige Rechtsberatung darstellen.

Das BSI spricht keine Empfehlung von Anbietern oder Produkten aus. Hilfreiche Informationen zu alternativen Produkten finden Sie in einschlägigen IT-Fachmedien.

Die vorliegende Schwachstelle wurden dem BSI durch einen Sicherheitsforschenden im Rahmen eines Coordinated Vulnerability Disclosure (CVD)-Prozesses mitgeteilt. Darüber hinausgehende Untersuchungen anderer Produkte wurden durch das BSI nicht angestoßen.

Zum Hintergrund: Das BSI koordiniert die vertrauliche Meldung einer Schwachstelle an den Hersteller. Zudem wird sichergestellt, dass die Schwachstellen durch das Unternehmen nicht nach dem Prinzip "Security by Obscurity" behandelt werden; es also nicht dazu kommt, dass keine oder nur unzureichende Informationen über mitunter gravierende Schwachstellen veröffentlicht werden. Reagiert der Hersteller nicht, nicht rechtzeitig oder nicht angemessen, leitet das BSI bei Vorliegen der gesetzlichen Voraussetzungen die Erstellung und Veröffentlichung einer BSI-Warnung gem. § 7 BSIG ein. Dies kann auch noch im laufenden CVD-Prozess geschehen, falls unüberbrückbare Differenzen zwischen dem Hersteller und dem BSI auftreten, die in der Regel darauf beruhen, dass das BSI die Maßnahme des Herstellers als nicht ausreichend bewertet.