[datensicherheit.de, 30.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht nach eigenen Angaben davon aus, dass ein deutsches Sicherheitssiegel für IoT-Geräte auf der Basis der Norm ETSI EN 303 645 die Sicherheit im Internet der Dinge (IoT) und die Transparenz für die Verbraucher verbessern könnte. eco-Experten haben in diesem Zusammenhang fünf Forderungen formuliert.

Foto: eco e.V.

Markus Schaffrin: eco begrüßt den IoT-Sicherheitsstandard ETSI EN 303 645

eco warnt vor Missbrauch: Bot-Netze könnten DDoS-Angriffe oder Zugriff auf private Daten ermöglichen

Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind bereits im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichten, „bleibt die Sicherheit häufig auf der Strecke“, warnt der eco.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router seien zu schlecht geschützt und böten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. „Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen.“ Daher begrüßt der eco „den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat“. Diese Norm definiere weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.

Security-by-Design im IoT laut eco noch nicht selbstverständlich

„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, fordert Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitglieder Services“ im eco-Verband. Er führt aus: „,Security by Design‘ und ,Security by Default‘ gibt es noch in zu wenigen Consumer-IoT-Geräten, vom Smart-TV bis zur Heizungsanlage.“ Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, welche die Norm um Testfälle erweitere für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation diene als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befinde sich das Dokument zur TS 103 701 bis Ende April 2021 noch in der Kommentierungsphase und könne um Verschläge erweitert werden.

eco: IT-Sicherheitsgesetz 2.0 soll auch IoT-Sicherheit erhöhen

Auf diese Normen aufbauend solle zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür werde das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, hätten die IoT-Sicherheits-Experten des eco im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen „IoT“ und „Sicherheit“ fünf Forderungen formuliert:

1. Bestehende Siegel und Zertifizierungen einbeziehen
   Es müsse sichergestellt werden, „dass die Zertifizierungsmaßnahmen, welche sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben“. Die Anbieter müssten in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.
2. Nachvollziehbarkeit des Siegels
   Das IT-Sicherheitskennzeichen für Deutschland brauche einen hohen Praxisbezug und müsse für Hersteller und Verbraucher nachvollziehbar sein. So könne sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.
3. Unabhängige Prüfungen
   Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssten unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Dies gewährleiste Transparenz für die Verbraucher und stelle die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher: „Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.“
4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten
   Sicherheit müsse von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. „Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden.“ Der Security-by-Design-Gedanke müsse prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security-by-Design-Gestaltungsprinzipien zu erlangen, empfehle sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust.
5. Erhöhung der Nachhaltig
   Security-by-Design zahle auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheits-Updates und der Möglichkeit von „Bug Fixes“ für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall sei, müssten die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher könnten ihre Geräte viel länger und vor allem sicher nutzen.

eco möchte Umsetzung und praktische Anwendung am Markt beobachten

„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, betont Schaffrin.
Noch befänden sich die entsprechenden Dokumente in der Abstimmung und könnten eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung komme.

Weitere Informationen zum Thema:

datensicherheit.de, 20.05.2019
Sicherheit im Industrial Internet of Things

ETSI
Final draft ETSI EN 303 645 V2.1.0 (2020-04) / Cyber Security for Consumer Internet of Things: Baseline Requirements

ETSI
docbox.etsi.org / CYBER / CYBER / Open / Latest_Drafts

TeleTrusT
Security by Design / Zukunftsfähiges Konzept für Informationssicherheit und Datenschutz im Produktlebenszyklus

[datensicherheit.de, 30.09.2013] Der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat das am 25. September 2013 vom Berufsverband der Datenschutzbeauftragten Deutschlands e.V. und der Gesellschaft für Datenschutz und Datensicherheit e.V. der Öffentlichkeit vorgestellte Datenschutzsiegel für Auftragsdatenverarbeitung mit dem Ergebnis geprüft, dass das Gesamtkonzept aus Prüfstandard und Zertifizierungsablauf „Modellcharakter“ habe.
Jetzt müsse man sehen, wie es sich in der Praxis bewährt, so Ulrich Lepper. Ihn überzeuge, dass der eigens entwickelte Prüfstandard für Auftragsdatenverarbeiter öffentlich und damit allen Interessierten zugänglich sei. Bereits so wirke er in die Fläche und gewähre den Unternehmen in Nordrhein-Westfalen mehr Rechtssicherheit, erläutert Lepper.
Unternehmen, die Datenschutz als Wettbewerbsvorteil erkennen und sich um einen hohen Datenschutzstandard bemühen, möchten dies auch anerkannt sehen – ein Datenschutzsiegel ist somit ein wichtiges Signal an diese Unternehmen. Zugleich kann ein Siegel das Bürger-Vertrauen in den achtsamen Umgang mit ihren Daten fördern.

Weitere Informationen zum Thema:

LDI NRW
„Datenschutzsiegel in Nordrhein-Westfalen“ / Modellvorhaben

[datensicherheit.de, 18.11.2009] Die Hyksos, eine fremde Dynastie aus Syrien, brachten vom nordöstlichen Nildelta aus im 17. Jahrhundert v. Chr. ganz Ägypten in ihre Abhängigkeit. Die Hauptstadt dieser Fremddynastie wurde von Manfred Bietak, Ägyptologe an der Universität Wien, bereits 1966 entdeckt. 2005 fanden Bietak und sein Team schließlich einen ausgedehnten Palastbezirk der Hyksos-Zeit. Bei ihrer gerade beendeten Herbstgrabung stießen sie nun auf ein Siegel aus der altbabylonischen Zeit:

© Österreichisches Ägyptisches Institut (ÖÄI) Kairo

Das Siegel aus der Zeit des Königs Hammurapi

Bisher sei nicht viel über Herkunft, Kultur- und Ereignisgeschichte der Hyksos in Ägypten bekannt. Sie hätten zwischen 1640 und 1530 v. Chr. von ihrer Hauptstadt Auaris im östlichen Nildelta aus Ägypten regiert, bis die Pharaonen der 17./18. Dynastie die Hyksos besiegt und die Hauptstadt eroberten hätten.
Univ.-Prof. Dr. Dr. hc. Manfred Bietak vom Institut für Ägyptologie der Universität Wien arbeitet gemeinsam mit Dr. Irene Forstner-Müller, der neu ernannten Leiterin des Österreichischen Archäologischen Instituts in Kairo, und einem großen Team seit 2005 an der Freilegung dieses vorderasiatischen Palastes des „Hyksos Chian“ auf einem Ruinenhügel namens „Tell el-Dab’a“ im Nordosten Ägyptens.
Bereits im Frühjahr 2009 fanden die Wissenschafter in der Füllung des Palastbrunnens der mittleren bis späten Hyksoszeit das Fragment einer babylonischen Keilschrifttafel aus den letzten Dezennien des Altbabylonischen Reiches (1600-1550 v. Chr.). Es habe sich dabei um das bisher älteste Keilschriftdokument in Ägypten gehandelt und belege die unerwartet weit reichenden diplomatischen Beziehungen der Dynastie der Hyksos, so Bietak und Forstner-Müller.
Bei Grabungen im Oktober und November 2009 kam nun ein weiteres interessantes Keilschriftdokument 500 Meter westlich des Palastes aus einer wesentlich späteren Grube in umgelagerter Situation zum Vorschein – es handelt sich um ein Siegel, das in die altbabylonische Zeit datiert und einen hohen babylonischen Beamten, vermutlich aus der Zeit des Königs Hammurapi, nennt.
Die beiden Keilschriftdokumente sind eine unerwartete Quelle, die beweise, dass die Briefdiplomatie und der Geschenkaustausch zwischen den Höfen von Ägypten und Altbabylonien bereits 150 Jahre früher als bisher belegt datiere.

Weitere Informationen zum Thema:

universität wien, 17.11.2009
Sensationelle Ausgrabung: Altbabylonisches Siegel in Ägypten gefunden

datensicherheit.de, 29.10.2009
Sensationeller Fund erbringt Nachweis von Kontakten zwischen Avaris und Babylonien / Österreichisches Archäologisches Institut will Funde auch Einheimischen zugänglich machen

[datensicherheit.de, 10.09.2009] foodwatch – die essenretter hat in seiner Rubrik „ABGESPEIST – Denn Etiketten lügen wie gedruckt“ die Brause „beo Heimat Apfel-Birne“ aus dem Hause Carlsberg ins Visier genommen, denn die Werbung „Bio Erfrischung“ aus „rein natürlichen Zutaten“ für alle, denen ein „verantwortungsbewusster Umgang mit unseren Ressourcen am Herzen liegt“ sei irreführend:
Statt Bio-Äpfeln und Birnen stecke neben den Zusatzstoffen Zitronensäure (E330) und Ascorbinsäure (E300) nicht näher definiertes „natürliches Aroma“ in der Flasche, so foodwatch – „bio“ seien an der Brause damit gerade mal 5,5% Zucker und Gerstenmalz, denn für die Hauptzutat Wasser gebe es keinen „Bio“-Standard. Trotz Bio-Siegel stamme das, was dem Getränk seinen charakteristischen Geschmack gebe, also weder aus der namensgebenden Frucht noch aus biologischem Anbau, stellt foodwatch fest.
Die EU-Bio-Verordnung erlaube die Verwendung „natürlicher Aromen“; diese müssten nicht einmal aus biologischem Anbau stammen und hätten mit echten Früchten ohnehin meist nichts zu tun. Die Ausgangsstoffe müssten lediglich pflanzlichen oder tierischen Ursprungs sein, dabei könne es sich aber zum Beispiel auch um Holzabfälle aus der Papierproduktion handeln. Mithilfe von Mikroorganismen wie Hefepilzen oder Bakterien würden diese Rohstoffe dann in Substanzen umgewandelt, die nach Apfel, Erdbeeren oder auch Vanille schmeckten.

Weitere Informationen zum Thema:

foodwatch, 09.09.2009
Kompakt-Info: Beo Heimat von Carlsberg