Ist das Internet der sicheren Dinge einen Schritt näher gerückt?
Ab 2024 müssen intelligente Geräte Mindestanforderungen an die Sicherheit erfüllen. Wenn sie diese nicht erfüllen, dürfen sie nicht mehr auf dem europäischen Markt verkauft werden. Dies geht aus einer aktuellen Entscheidung der Europäischen Kommission hervor. Carolien Nijhuis, Exekutiv-Vizepräsident Internet of Things bei KPN, begrüßt diesen Schritt. "Die Nutzer haben ein Recht darauf, sichere IoT-Produkte zu erwarten."
Außerdem muss intelligente Unterhaltungselektronik ab 2024 auf Sicherheitslücken geprüft werden und darf nicht mehr mit einem schwachen Standardpasswort ausgeliefert werden. Die Aktualisierung der Software sollte so einfach wie möglich sein. Dies gilt auch für die Verwaltung, den Schutz und die Löschung persönlicher Daten. Und der Anbieter muss über eine verantwortungsvolle Offenlegungspolitik verfügen, damit eine Sicherheitslücke in der Software verantwortungsvoll gemeldet werden kann. Diese Mindestsicherheitsanforderungen sind auch in der Norm ETSI EN 303 645 niedergelegt.
"Das ist die Gesetzgebung, die alle gefordert haben und auf die alle gewartet haben", sagt Nijhuis. Nach Ansicht des EVP Internet of Things ist die Cybersicherheit von IoT-Geräten für die meisten Nutzer noch immer unergründlich. "Sie müssen einfach darauf vertrauen, dass der intelligente Thermostat, die interaktive Türklingel oder die angeschlossene Kaffeemaschine sicher ist. Es gibt kein Qualitätssiegel, an dem sichere Geräte erkannt werden können. Mit der neuen Gesetzgebung wird sich das ändern. Geräte, die die Mindestsicherheitsanforderungen nicht erfüllen, kommen für die CE-Kennzeichnung nicht infrage."
Sicherheit nicht eingebaut
Laut Nijhuis ist die neue Gesetzgebung die richtige Antwort auf die Popularität des Internets der Dinge. Die Popularität des IoT steigt in rasantem Tempo. Es gibt bereits 35 Milliarden Geräte, die mit dem Internet verbunden sind. Es wird erwartet, dass diese Zahl bis zum Jahr 2030 auf 125 Milliarden ansteigen wird. "Wir leben und arbeiten in einer Wolke von IoT-Geräten, die mit den besten Absichten Daten über unser Leben sammeln und verarbeiten. Sie machen das Leben einfacher, unterhaltsamer oder nachhaltiger."
Dieses spektakuläre Wachstum hat jedoch auch eine erhebliche Kehrseite. Bei der Entwicklung von IoT-Geräten wird oft vergessen, die Sicherheit von Anfang an einzubauen. "IoT-Geräte können hochsensible persönliche Daten sammeln und Einblicke in Aspekte wie die Herzfrequenz oder den aktuellen Standort einer Person geben", sagt Erno Doorenspleet, CTO von KPN Security, "aber ohne Schutzmaßnahmen steht die Privatsphäre auf dem Spiel und es kann zu schwerwiegenden Cyber-Vorfällen kommen."
Es besteht also die Gefahr, dass Cyberkriminelle Gespräche belauschen oder über Babyphone, Kinderspielzeug oder Smart-TVs ins Schlafzimmer spähen. Eine ungesicherte intelligente Türklingel kann Hackern Zugriff auf das Heimnetzwerk und die dort befindlichen Daten geben. Mit einer Kopie dieser Daten können sie Identitätsbetrug begehen. Und ungesicherte IoT-Unterhaltungselektronik kann in ein Botnetz wie Dark Nexus integriert werden, das kriminellen Organisationen die Durchführung von DDoS-Angriffen ermöglicht.
"Es gibt kein Qualitätszeichen, an dem sichere Geräte erkannt werden können. Die neue Gesetzgebung wird das ändern."
Carolien Nijhuis, EVP Internet der Dinge bei KPN
Kiwa und KPN helfen
Die neue Gesetzgebung ist daher eine gute Nachricht für die Nutzer des IoT, aber laut Doorenspleet bedeutet dies nicht, dass es einfach ist, die Gesetzgebung einzuhalten. "Als KPN helfen wir den Herstellern durch Zertifizierung und Beratung, durch die gemeinsame Entwicklung eines Produkts und durch die Anwendung der Sicherheit während der Entwicklung und nicht danach. In unserem hochmodernen Labor können wir auch die Sicherheit eines funktionierenden Prototyps gründlich testen, um festzustellen, ob das Produkt der Norm ETSI EN 303 645 entspricht."
Im Bereich der Zertifizierung von IoT-Unterhaltungselektronik hat KPN Security eine Kooperationsvereinbarung mit Kiwa geschlossen, die auf Prüfung, Inspektion und Zertifizierung spezialisiert ist. Im Rahmen dieser Vereinbarung akzeptiert Kiwa die Testergebnisse des Prüflabors von KPN Security für die Ausstellung eines Produktzertifikats. Mit diesem Zertifikat kann der Hersteller sicher sein, dass das Produkt in Europa verkauft werden darf. Für den Verbraucher ist das Zertifikat der Beweis, dass das Produkt sicher in der Anwendung ist.
Die Gesellschaft so sicher wie möglich machen
Nijhuis zufolge sind Kiwa und KPN sinnvolle Partner. "Der Slogan von Kiwa lautet 'Wir schaffen Vertrauen auf der ganzen Welt'. Dies fügt sich nahtlos mit den Werten von KPN zusammen. Hersteller von IoT-Unterhaltungselektronik können sich auf das Wissen und die Erfahrung verlassen, die KPN IoT auf dem Geschäftsmarkt gesammelt hat. Wir arbeiten nun gemeinsam an der Lösung des gesellschaftlichen Problems, das durch unsichere IoT-Produkte entsteht."
"Sicherheit liegt in der DNA von KPN", so Doorenspleet abschließend. "Die Verbraucher müssen darauf vertrauen können, dass unsere Dienste und Produkte sicher sind. Deshalb investieren wir viel Zeit und Geld in die Cybersicherheit. Die daraus gewonnenen Erkenntnisse fließen auch in unsere KPN-Sicherheitspolitik (KSP) ein, die wir als Mindeststandard für jede Neuentwicklung verwenden. Sie enthält unsere 'Sicherheitsregeln'. Wir stellen die KSP zur kostenlosen Nutzung zur Verfügung. Das ist unser Beitrag zum Übergang zu einer möglichst sicheren digitalen Gesellschaft."
Möchten Sie mehr über den One-Stop-Shop von Kiwa und KPN Security für die unabhängige Bewertung, Prüfung und Zertifizierung von IoT-Unterhaltungselektronik erfahren? Besuchen Sie die Website von Kiwa.