IoT-Sicherheit

„Noch herrscht ein Mismatch im persönlichen Mindset“


Fortsetzung des Artikels von Teil 2

Über reine Produktsicherheit hinausgedacht

Jörn Edlich, mm1
Jörn Edlich, Principal bei mm1: „Das ist ein wichtiger Mindset-Shift: Man fängt an, das Produkt nicht nur als das originär Physische anzusehen, das man in der Hand hält, sondern auch die dazugehörigen Frontend- und Backendsysteme. Es geht über die reine funktionale Sicherheit oder Produktsicherheit hinaus.“
© Picture People

Auf der anderen Seite ist es auch nicht leicht, dieses Missverhältnis – sowohl auf Hersteller- als auch Konsumentenseite – aufzulösen. Endres dazu: „Wie erkennt man denn als Käufer, ob dieses Produkt sicher ist oder nicht? Wenn man Glück hat, hat man vielleicht eine Review gelesen oder es gibt einen öffentlich zugänglichen Test. Aber im Grunde gibt es keinen Index; keine Ampel auf der Packung mit den Abstufungen A bis F, die einem suggeriert, was wie sicher ist.“

Dabei gibt es bereits einige Standards und Normen am Markt, die sich als passende Orientierungshilfe eignen würden. Endres beispielsweise ist ein großer Befürworter des Mitte vergangenen Jahres eingeführten europäischen Standards EN 303 645. Die ETSI-Norm legt 13 Bestimmungen für die Sicherheit von mit dem Internet verbundenen Verbrauchergeräten und den dazugehörigen Diensten fest. Zu den IoT-Produkten im Anwendungsbereich gehören vernetztes Kinderspielzeug und Babyphones, vernetzte sicherheitsrelevante Produkte wie Rauchmelder und Türschlösser, Smart-Kameras, Fernseher und Lautsprecher, tragbare Gesundheitstracker, vernetzte Heimautomatisierungs- und Alarmsysteme, vernetzte Hausgeräte (zum Beispiel Waschmaschinen und Kühlschränke) sowie Smart-Home-Assistenten. Die EN enthält außerdem fünf spezifische Datenschutzbestimmungen für das Verbraucher-IoT und baut auf dem vorherigen Standard TS 103 645 auf. Auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 ist in die Erstellung des neuen europäischen Standards eingeflossen. Mehrere Anbieter und Hersteller, wie Traficom oder Legrand, haben sich dazu committet. Normen dieser Art gibt es mittlerweile viele. „Das große Problem bei den meisten ist, dass dahinter kein regulatorischer Rückhalt ist“, gibt Endres zu bedenken. Er hofft daher, dass die ETSI-Norm in den nächsten zwölf bis 24 Monaten von den europäischen Staaten abgesegnet und damit zum Gesetz erklärt wird. Ein großer Pluspunkt der Norm sei zudem, dass sie relativ breit und vor allem zukunftssicher angelegt ist. „Oft ist es nämlich so: Was man heute per Gesetzesempfehlung vorgibt, ist morgen vielleicht schon nicht mehr gültig, weil sich die Technik derart schnell weiterentwickelt“, so Endres. Und auch Edlich hält das Thema Zukunftssicherheit beziehungsweise Sicherheit über den Produktlebenszyklus in dem Kontext für einen wichtigen Aspekt. „Wenn ich das richtig in Erinnerung habe, wird das auch im Rechtsakt zur Cybersicherheit mit Verweis auf die Sicherheit über den Lebenszyklus des Produkts aufgegriffen.“ Wie lange es also Aktualisierungen oder Sicherheits-Updates gibt – ähnlich wie es bei einem Betriebssystem ja auch der Fall ist. „Ich finde, das ist ein ganz wichtiger Schritt. Denn es vermittelt auch implizit, dass das Produkt, das ich kaufe, nicht nur aus dem besteht, was ich gerade in der Hand halte – Beispiel Babyphone oder smarte Steckdose – sondern, dass ja noch etwas anderes dazu gehört. Und das ist glaube ich ein ganz wichtiger Mindset-Shift: Man fängt an, das Produkt nicht nur als das originär Physische anzusehen, das man in der Hand hält, sondern auch die dazugehörigen Frontend- und Backendsysteme.“ Das sei die ganzheitliche Sicherheit, die im Umgang mit IoT-Geräten gefordert ist: eine, die über die reine funktionale Sicherheit oder Produktsicherheit hinausgehe. 

Insecure by Design
Ein Problem internetfähiger Hausgeräte ist, dass viele von Grund auf unsicher konzipiert sind. Die Ängste von Verbrauchern vor möglichen Angriffen seien daher alles andere als irrational, so TÜV-Chef Dirk Stenkamp: „Ist eine vernetzte Lampe mit Schadsoftware infiziert, haben Hacker einen Fuß in der Tür und können den Laptop angreifen.“ Im Zeitalter von Homeoffice bedeutet das oft auch den Zugriff auf Unternehmensnetze. Die Ursache dafür liegt mitunter im fehlenden Know-how und Verständnis der Prozesse auf Entwickler- und auch Herstellerseite – und zum Teil auch den damit verbundenen Kosten. Doch das würde sich laut Pablo Endres langsam zum Positiven ändern. Immer öfter würde „Security by Design“ bei der Entwicklung IoT-fähiger Geräte mitgedacht: also von Grund auf sicher designte Software. Dabei wird die Sicherheit einer Software oder App von Anfang an einbezogen und ist nicht nur als zusätzliches Feature angedacht, das am Ende einem Produkt hinzugefügt wird. Die Software ist danach ausgerichtet, dass sie sicher ist und unter anderem vor Cyberangriffen, Datenmanipulation und Datendiebstahl schützt. Spätere Sicherheitslücken und Schwachstellen sollen so minimiert werden, was wiederum zu geringeren Kosten beiträgt. Denn je früher Sicherheitslücken in einer Software erkannt werden, desto leichter und kostengünstiger ist es, sie zu beheben. Im Idealfall und ganzheitlich betrachtet sollte das Sicherheitsthema von Anfang an eine gleichberechtigte Rolle in der Softwareentwicklung einnehmen, neben anderen zentralen Anforderungen wie der Funktionalität oder der Usability.

 


  1. „Noch herrscht ein Mismatch im persönlichen Mindset“
  2. Problemstellen
  3. Über reine Produktsicherheit hinausgedacht
  4. Viele Empfehlungen, keine Verpflichtung

Das könnte Sie auch interessieren

Verwandte Artikel

Smarthouse Pro, TÜV NORD CERT GmbH & Co. KG, TÜV SÜD AG