Internet der Dinge: eco fordert höhere Sicherheits-Standards

eco plädiert für europäisches IoT-Prüfverfahren und ein darauf aufbauendes deutsches Sicherheitssiegel

[datensicherheit.de, 30.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht nach eigenen Angaben davon aus, dass ein deutsches Sicherheitssiegel für IoT-Geräte auf der Basis der Norm ETSI EN 303 645 die Sicherheit im Internet der Dinge (IoT) und die Transparenz für die Verbraucher verbessern könnte. eco-Experten haben in diesem Zusammenhang fünf Forderungen formuliert.

Foto: eco e.V.

Markus Schaffrin: eco begrüßt den IoT-Sicherheitsstandard ETSI EN 303 645

eco warnt vor Missbrauch: Bot-Netze könnten DDoS-Angriffe oder Zugriff auf private Daten ermöglichen

Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind bereits im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichten, „bleibt die Sicherheit häufig auf der Strecke“, warnt der eco.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router seien zu schlecht geschützt und böten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. „Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen.“ Daher begrüßt der eco „den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat“. Diese Norm definiere weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.

Security-by-Design im IoT laut eco noch nicht selbstverständlich

„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, fordert Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitglieder Services“ im eco-Verband. Er führt aus: „,Security by Design‘ und ,Security by Default‘ gibt es noch in zu wenigen Consumer-IoT-Geräten, vom Smart-TV bis zur Heizungsanlage.“ Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, welche die Norm um Testfälle erweitere für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation diene als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befinde sich das Dokument zur TS 103 701 bis Ende April 2021 noch in der Kommentierungsphase und könne um Verschläge erweitert werden.

eco: IT-Sicherheitsgesetz 2.0 soll auch IoT-Sicherheit erhöhen

Auf diese Normen aufbauend solle zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür werde das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, hätten die IoT-Sicherheits-Experten des eco im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen „IoT“ und „Sicherheit“ fünf Forderungen formuliert:

1. Bestehende Siegel und Zertifizierungen einbeziehen
   Es müsse sichergestellt werden, „dass die Zertifizierungsmaßnahmen, welche sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben“. Die Anbieter müssten in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.
2. Nachvollziehbarkeit des Siegels
   Das IT-Sicherheitskennzeichen für Deutschland brauche einen hohen Praxisbezug und müsse für Hersteller und Verbraucher nachvollziehbar sein. So könne sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.
3. Unabhängige Prüfungen
   Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssten unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Dies gewährleiste Transparenz für die Verbraucher und stelle die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher: „Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.“
4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten
   Sicherheit müsse von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. „Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden.“ Der Security-by-Design-Gedanke müsse prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security-by-Design-Gestaltungsprinzipien zu erlangen, empfehle sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust.
5. Erhöhung der Nachhaltig
   Security-by-Design zahle auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheits-Updates und der Möglichkeit von „Bug Fixes“ für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall sei, müssten die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher könnten ihre Geräte viel länger und vor allem sicher nutzen.

eco möchte Umsetzung und praktische Anwendung am Markt beobachten

„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, betont Schaffrin.
Noch befänden sich die entsprechenden Dokumente in der Abstimmung und könnten eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung komme.

Weitere Informationen zum Thema:

datensicherheit.de, 20.05.2019
Sicherheit im Industrial Internet of Things

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04) / Cyber Security for Consumer Internet of Things: Baseline Requirements

ETSI
docbox.etsi.org / CYBER / CYBER / Open / Latest_Drafts

TeleTrusT
Security by Design / Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus