Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichen, bleibt die Sicherheit häufig auf der Strecke.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router sind zu schlecht geschützt und bieten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen. Daher begrüßt der eco – Verband der Internetwirtschaft e. V. den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat. Die Norm definiert weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.
Security by Design im IoT noch nicht selbstverständlich
„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, sagt Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter Mitglieder Services im eco Verband. „Security by Design und Security by Default gibt es noch in zu wenigen Consumer IoT-Geräten, vom Smart-TV bis zur Heizungsanlage“, sagt Schaffrin. Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, die die Norm um Testfälle erweitert für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation dient als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befindet sich das Dokument zur TS 103 701 bis Ende April noch in der Kommentierungsphase und kann um Verschläge erweitert werden.
IT-Sicherheitsgesetz 2.0 soll IoT-Sicherheit erhöhen
Auf diese Normen aufbauend soll zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür wird das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, haben die IoT Sicherheits-Experten im eco Verband im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen IoT und Sicherheit fünf Forderungen formuliert:
1. Bestehende Siegel und Zertifizierungen einbeziehen
Es muss sichergestellt werden, dass die Zertifizierungsmaßnahmen, die sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben. Die Anbieter müssen in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.
2. Nachvollziehbarkeit des Siegels
Das IT-Sicherheitskennzeichen für Deutschland braucht einen hohen Praxisbezug und muss für Hersteller und Verbraucher nachvollziehbar sein. So kann sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.
3. Unabhängige Prüfungen
Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssen unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Das gewährleistet Transparenz für die Verbraucher und stellt die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher. Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.
4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten
Sicherheit muss von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden. Der Security by Design-Gedanke muss prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security by Design-Gestaltungsprinzipien zu erlangen, empfiehlt sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust.
5. Erhöhung der Nachhaltig
Security by Design zahlt auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheitsupdates und der Möglichkeit von Bug Fixes für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall ist, müssen die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher können ihre Geräte viel länger und vor allem sicher nutzen.
„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, sagt Schaffrin. Noch befinden sich die entsprechenden Dokumente in der Abstimmung und können unter folgendem Link eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung kommt.
www.eco.de