„Security by Design“ und „Security by Default“ IT-Sicherheit schon beim Design berücksichtigen
Anbieter zum Thema
Küchenmaschinen mit Cloud-Verbindung, Fernwartung der Waschmaschine, Heizungssteuerung per App – smarte, vernetzte Produkte und Services erobern die Haushalte. Fragen der Cybersicherheit und des Datenschutzes sind angesichts der zunehmenden Verbreitung des IoT (Internet of Things) und der wachsenden Zahl intelligenter Geräte aktueller denn je.

Weltweit wird an Vorschriften gearbeitet, die Sicherheit bei „smarten“ und vernetzten Geräten garantieren sollen. Für Hersteller von Haushaltsgeräten und ihrer Komponenten bedeuten die Priorität von Datenschutz und Cybersicherheit eine Veränderung der Herstellungsprozesse. Security und Privacy müssen bereits in der Produktentwicklung mitgedacht werden, um Komplikationen und Folgekosten zu vermeiden.
Datenschutz erfordert Privacy by Design
In der EU gibt es zwei wichtige Verordnungen für Datensicherheit und -schutz, an erster Stelle die Datenschutz-Grundverordnung DSGVO. Sie stärkt den Datenschutz und veranlasst die Hersteller, neue Produkte nach dem Prinzip „Privacy by Design“ zu gestalten. Geschäftspraktiken müssen der DSGVO entsprechen: Die personenbezogenen Daten müssen rechtmäßig (mit klarem Ziel) und transparent (mit Information und Zustimmung der Nutzer) behandelt werden.
Personenbezogene Daten sind dabei alle Arten von Informationen, mit denen eine natürliche Person identifiziert werden kann, etwa E-Mail-Adressen, Namen, Telefonnummern, IP-Adressen und weitere identifizierende Daten. Geräte im Consumer-IoT verarbeiten üblicherweise eine große Menge solcher Daten, um ihre Aufgaben zu erfüllen. Sofern die Daten nicht automatisch anonym sind, etwa durch Fehlen von identifizierenden Angaben, sind die Hersteller dafür verantwortlich, dass die Information geschützt werden.
Das Unternehmen muss auf Verlangen der Datenschutzbehörden nachweisen, dass alle erforderlichen Maßnahmen getroffen wurden. Dazu gehören unter anderem eine vollständige Aufstellung aller vom Hersteller oder seinen Geräten gesammelten und gespeicherten Daten, eine Risikobewertung und ein Nachweis der Umsetzung von Cybersecurity-Maßnahmen. Bei Produkten muss dabei „Privacy by Design“ nachgewiesen werden, beispielsweise durch den Einsatz eines Authentifizierungsverfahrens und einer Verschlüsselung. Auch die Organisation selbst muss Cybersecurity nachweisen, etwa durch eine Zertifizierung nach anerkannten Normen wie ISO/IEC 27.00x oder den Einsatz von IT-Grundschutz nach den Standards des Bundesamtes für Sicherheit in der Informationstechnik BSI.
Sicherheitszertifizierung nur mit Security by Design
Aus der DSGVO lassen sich nur wenige konkrete Maßnahmen für Cybersecurity und Informationssicherheit ableiten. Der seit Juni 2019 geltende EU Cybersecurity Act etabliert ein EU-weit geltendes Rahmenwerk für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen. Wichtigstes Ziel der Verordnung ist es, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen und eine Zersplitterung des europäischen Binnenmarktes zu vermeiden. Deshalb fordert das Gesetz ein europaweit einheitliches Zertifizierungssystem, das im Moment noch freiwillig ist. Doch die EU kann jederzeit eine gesetzliche Verpflichtung erlassen.
Die Verordnung kennt drei unterschiedliche Zertifizierungsstufen, die sich an Risikoprofilen orientieren – Vertrauenswürdigkeitsstufen genannt. Beim niedrigen Risikoprofil sieht die Verordnung eine Selbstdeklaration durch den Hersteller oder Dienstleister vor. Das mittlere Risikoprofil erfordert stattdessen eine Zertifizierung durch eine unabhängige, bei der europäischen Behörde für Cybersicherheit ENISA akkreditierte Bewertungsstellen. Das hohe Risikoprofil gilt in erster Linie für Unternehmen der kritischen Infrastrukturen, beispielsweise Versorger, IKT-Unternehmen oder Unternehmen der Versicherungs- und Finanzwirtschaft. Hier ist zudem ein Wirksamkeitstest gefordert.
Obwohl die Verordnung bereits mehr als ein halbes Jahr gilt, gibt es noch keine akkreditierten Zertifizierungssysteme für diese Cybersicherheit. Der EU-Gesetzgeber hat sich selbst bis 2023 Zeit gelassen, eine offizielle Liste mit solchen Systemen zu veröffentlichen. Es ist also im Moment noch nicht klar, ob es auch spezifische Zertifizierungen für Geräte im Consumer IoT geben wird, die auch Haushaltsgeräte umfasst.
Freiwillige Zertifizierung stärkt Kundenvertrauen
Doch bereits jetzt ist absehbar, dass die meisten Gerätehersteller mit hoher Wahrscheinlichkeit nicht zu einer Zertifizierung verpflichtet sind, da viele Produkte zum niedrigen Risikoprofil gehören. Dies bedeutet eine Selbstdeklaration nach dem Prinzip des CE-Kennzeichens. Trotzdem wird eine freiwillige Zertifizierung möglich sein. Diese Option können Unternehmen als Element der Marktdifferenzierung nutzen. Sie bestätigen ihren Geräten damit ein hohes Sicherheitsniveau und stärken damit das Vertrauen der Verbraucher.
Neben dem Zertifizierungsrahmen schreibt der Rechtsakt „Security by Design“ und „Security by Default“ als Prinzipien für sicherheitsrelevante Produkte vor. Einige wichtige Grundregeln für „Security by Design“ haben sich aus der langjährigen Erfahrung von UL beim Testen von vernetzten Produkten aller Art herausgebildet. So ist es unter anderem sinnvoll, pro Gerät eindeutige Passwörter für die Inbetriebnahme zu vergeben, die individuell in der Firmware gespeichert werden und auf einem Aufkleber am Gerät oder im Handbuch dem Nutzer mitgeteilt werden.
Da Nutzer von Konsumentengeräten häufig nur wenig Erfahrung mit Vernetzungstechnologie besitzen, sollte das Gerät die Anwender zur Eingabe eines neuen Passwortes auffordern und auch eine Passwortwiederherstellung integrieren – damit werden die häufigsten Probleme bereits im Ansatz ausgeschlossen. Zudem muss jedes Gerät eine Möglichkeit zu einer Systemaktualisierung besitzen, um neu aufgetauchte Sicherheitslücken sofort zu schließen. Auf Seiten des Herstellers ist ein Schwachstellenmanagement notwendig, damit die Sicherheitsaktualisierungen die Anwender auch tatsächlich erreichen.
Sichere Produkte durch Security-Normen
Datenverbindungen sollten eine Transportverschlüsselung einsetzen und die Daten selbst sollten zusätzlich verschlüsselt auf den Geräten gespeichert werden. Dies betrifft insbesondere personenbezogene Daten, aber auch Passwörter. Mit diesen Maßnahmen hört Cybersecurity aber noch nicht auf, der Hersteller muss auch die Unternehmen seiner Lieferkette auf Sicherheitsstandards verpflichten. Andernfalls werden eigene Sicherheitsvorkehrungen zu leicht durch Nachlässigkeiten bei einem Hersteller von Komponenten ausgehebelt.
Um tatsächlich sichere Produkte zu schaffen, müssen alle Gerätefunktionen im Vorfeld darauf abgeklopft werden, welche Aspekte von Cybersecurity infrage kommen. Dabei sollte aber kein Hersteller das Rad neu erfinden, das Know-How liegt bereits in den entsprechenden IoT-Sicherheitsnormen vor. Bei UL können die Hersteller oder Dienstleister zwischen verschiedenen Standards wählen – UL 2900 ist einer davon. Sie bieten die optimale Lösung bezüglich Effizienz und Anforderungen, die sich nach Verkaufsgebiet, gesetzlichen Anforderungen oder denen von anderen Gliedern der Lieferkette unterscheiden.
Über die Autorin: Patrizia Campi ist Business Development Manager mit Schwerpunkt Cybersicherheit für das Internet der Dinge bei UL.
(ID:46556262)