IoT-Sicherheit

„Noch herrscht ein Mismatch im persönlichen Mindset“


Fortsetzung des Artikels von Teil 3

Viele Empfehlungen, keine Verpflichtung

Eine andere Norm, die laut Endres Vorbildcharakter habe, weil sie sehr breit aufgestellt ist und regelmäßig aktualisiert wird, sei die der IoT Security Foundation (IoTSF): „Die fängt schon bei Business-Prozessen an und geht tief in die Technik. Zum Beispiel: Wie werden die Backdoors ausgeschaltet? Wie werden die Krypto-Informationen in die Geräte oder die Over-the-Air-Updates eingespeist?“ Nur leider fehle es laut Endres auch hier wieder am „regulatorischen Biss“ dahinter. Und das ist der Haken: „Es sind keine Regulatorien. Es sind eher Empfehlungen.“ Zwar gebe es im Falle der IoTSF eine Art Selbsterklärung auf Herstellerseite, IoT Security Self Certification genannt – von offizieller Stelle wird sie jedoch nicht gefordert. Was aber fehlt, das ist der Zwang für die Anbieter. Und solange nicht die (finanzielle) Notwendigkeit vorherrscht, werde sich daran nichts ändern. Das sehe man laut Endres auch gut am Beispiel der EU-DSGVO, die eine verpflichtende Form der Regulatorik darstellt. Kommt es hier zu einem Vorfall, der im Übrigen gemeldet werden muss, zieht das hohe Strafen nach sich. „Und davor haben die Unternehmen wieder Angst. Auch müssen die Unternehmen belegen, dass sie sich angestrengt haben. Das ist im Grunde eine gute Entwicklung“, so Endres. Eine andere Form der Regulatorik sieht Edlich in einer „Marktpenetration“, also einem Zusammenschluss von Gremien, Unternehmen und so weiter, die zusammen Branchenstandards setzen. Plakative Beispiele sind der Hersteller Apple, der mit seiner enormen Marktmacht ein eigenes Ökosystem geschaffen hat, und der Industriestandard WiFi, der bereits synonym für WLAN verwendet wird. Was in Sachen IoT-Sicherheit aber explizit fehle, sei ein einflussreicher Vorreiter, der sich klar für die Einhaltung solcher Normen ausspreche. Edlich: „Wenn man als sehr großer Multiplikator, Amazon oder Ebay zum Beispiel, hingehen und sagen würde ‚Ich verkaufe nur noch Devices, die einem entsprechenden Standard genügen‘, dann wäre schon vielen geholfen. Oder aber, wenn etwas Vergleichbares eine Versicherung täte, die sagt ‚Wenn ihr Funksteckdosen habt und ihr wollt eine Hausratversicherung, dann muss auch sichergestellt werden, dass die Funksteckdosen alle einem entsprechenden Security-Standard entsprechen‘“, bekräftigt Edlich. „Das ist sogar fast symbolträchtiger, als wenn die ETSI-Norm gesetzlich vorgeschrieben würde. Denn das ist der Vertriebskanal schlechthin“, fügt Endres hinzu. Eine solche Entwicklung wäre allerdings der Idealfall. „Hier spricht man auch von einer Quasi-Regulatorik“, erklärt Edlich. Denn dann habe man dafür gesorgt, dass sich Devices ohne eine solche Zertifizierung sehr schwer bis gar nicht mehr verkaufen, obwohl es der Gesetzgeber nicht vorgegeben hat.

Cybersecurity certified TÜV
Der TÜV will die Cybersicherheit vernetzter Kühlschränke, smarter TV-Geräte oder die von Staubsaugerrobotern zertifizieren und hat daher im Frühjahr 2021 das CSC-Siegel, kurz für „Cybersecurity Certified“, vorgestellt. Gegenstand der Prüfung ist zum einen das IoT-Produkt selbst, das sowohl im Hinblick auf IT-Security-Aspekte als auch auf seine funktionale Sicherheit überprüft wird. Darüber hinaus werden die dahinterstehenden Unternehmensprozesse, Datenschutzaspekte und weitere Services, wie die Anbindung an eine Cloud, auf Grundlage international anerkannter Standards betrachtet. Je nach Prüflevel stehen zusätzlich Penetrationstests an.
© TÜV Nord Group

Eine interessante Entwicklung vor diesem Hintergrund ist die Bekanntgabe der TÜV-Unternehmen, dass sie eine Zertifizierung für die IoT-Sicherheit von Smart-Home-Produkten auf den Weg bringen wollen: Stichwort „Cybersecurity Certified“ (CSC). Geprüft würden nicht nur Geräte, sondern auch Prozesse im Unternehmen, Datenschutzaspekte und Services wie die Cloud-Anbindung. Mit flächendeckender Verwendung des CSC-Prüfzeichens will der TÜV das Eis für Smart-Home-Geräte auf breiter Front brechen. Um zertifiziert zu werden, müsse technisches Gerät unter anderem Test-Hackangriffe überstehen. Auch Zulieferer würden unter die Lupe genommen. Wann es erste Geräte mit dem Siegel zu kaufen gibt, steht noch nicht fest. Verteuern würden sie sich nur in überschaubarem Maß, wenn das Zeichen in großen Stückzahlen Verbreitung findet, so der TÜV.

Die beiden Experten begrüßen das Vorhaben: „An der Stelle ist, glaube ich, der entscheidende Punkt, dass es eine Institution wie der TÜV macht“, sagt Jörn Edlich gegenüber Smarthouse Pro. „Seien wir ehrlich: Das könnten auch andere. Aber das Vertrauen haben nun einmal die TÜV-Gesellschaften, irgendwo einen Stempel drauf zu setzen und in der Regel dafür zu stehen, dass das auch Hand und Fuß hat, was sie machen. Das hat Potenzial, auch in die Köpfe der Nutzer zu gehen.“ Und das sei der springende Punkt: Denn vor die Wahl gestellt, günstig oder sicher, würden sich viele Verbraucher einfach noch für Ersteres entscheiden. „Meine These ist, dass wir uns langsam dahin bewegen. Aber wir sind da glaube ich noch nicht ganz. Der TÜV-Vorstoß sei jedoch ein erster guter Schritt in die richtige Richtung. Auch Endres sieht in dieser Entwicklung Potenzial: „Ich finde das super. Je mehr es solcher Initiativen gibt, umso eher kann am Ende des Tages ein Gewinner herauskommen. Aber wenn es keine Inititiativen gibt, hat man überhaupt keine Gewinner.“

Anm.d.Red.: Das Gespräch fand statt, bevor die DEKRA ihre IoT-Tests angekündigt hat.


  1. „Noch herrscht ein Mismatch im persönlichen Mindset“
  2. Problemstellen
  3. Über reine Produktsicherheit hinausgedacht
  4. Viele Empfehlungen, keine Verpflichtung

Das könnte Sie auch interessieren

Verwandte Artikel

Smarthouse Pro, TÜV NORD CERT GmbH & Co. KG, TÜV SÜD AG