Cybersecurity

Mehr Sicherheit und Transparenz beim Internet of Things 

Mit dem rasanten Zuwachs der internetfähigen Geräte im Haushalt stellt sich auch die Frage nach deren Sicherheit. Wie gefährlich ist der schleichende Zuwachs an IoT? Schaffen moderne Haushalte damit ein Einfallstor für Hacker? Was können Verbraucher und Verbraucherinnen dagegen tun? Ein neues TÜV-Zertifikat soll Orientierung geben.

Das Internet der Dinge (IoT) ist schon lange kein abstraktes Schlagwort mehr, sondern wird mehr und mehr Wirklichkeit in unserem Alltag. Viele wissen gar nicht, an welchen Geräten sich inzwischen Internet-Schnittstellen befinden und was an IoT-Ausstattung im eigenen Haus schlummert. Meist fängt es schon vor der Tür beim Auto an, das – wenn es neueren Baujahres ist – inzwischen standardmäßig Gespräche mithört (für die Spracherkennung) und eine WLAN-Verbindung zum Hersteller hält, um zum Beispiel im Falle eines Unfalls Daten zum Fahrverhalten zu übermitteln. Im Haus geht es dann entsprechend weiter: Heizung, Thermomix, Fernseh-Gerät und eine moderne Türschließanlage sind fast standardmäßig online verbunden. Dazu kommen die Geräte, die man sich bewusst zur Datensammlung anschafft: Spracherkennungstechnologien wie Alexa oder Siri, Smart Watch und Webcam beispielsweise.

Mit dem rasanten Zuwachs der internetfähigen Geräte im Haushalt stellt sich auch die Frage nach deren Sicherheit. Wie gefährlich ist der schleichende Zuwachs an IoT? Schaffen moderne Haushalte damit ein Einfallstor für Hacker? Was können Verbraucher und Verbraucherinnen dagegen tun?

TÜV-Zertifikat soll Orientierung geben

Diese und ähnliche Fragen haben auch den TÜV-Verband beschäftigt. Als Zertifizierungs- und Prüfinstanz ist es den Technischen Überwachungsvereinen ein Anliegen, auf die aktuellen Digitalisierungstrends zu reagieren und entsprechende Zertifizierungen anzubieten. Marc Fliehe, Director of Digitalisation and Cyber-Security, erläutert, was hinter dem neuen Prüfzeichen für IoT-Produkte steckt, welches die TÜV-Unternehmen auf den Weg gebracht haben, und welches Ziel damit verfolgt wird: „Jedes Gerät mit einer Schnittstelle ins Internet ist natürlich ein potenzielles Einfallstor für Hacker, Viren und Ähnliches. Während bis vor ungefähr zehn Jahren vor allem die eigenen Daten in Gefahr waren, können die Folgen bei Hackerangriffen auf Haushaltsgeräte weitreichender sein. Wenn beispielsweise die Türschließanlage geöffnet wird, haben Einbrecher Zugang. Wenn die Stromversorgung unterbrochen wird, fällt der Kühlschrank aus. Es ist von großer Bedeutung, wie sicher diese Geräte sind.“

Die TÜV-Unternehmen seien Vertrauensdienstleister, die Verbraucherinnen und Verbrauchern Orientierung geben können. Fliehe erklärt weiter: „Es war uns wichtig, im Bereich IoT – und künftig auch im Bereich KI – vertreten zu sein und mit unseren Zertifikaten zur Transparenz in diesem neuen Markt beizutragen.“

Vier Jahre von der Idee bis zur Umsetzung

„Die Idee, ein Prüfsiegel für das IoT zu entwickeln, kam ungefähr zur Zeit meines beruflichen Einstiegs beim TÜV-Verband im Jahre 2017/18“, erinnert sich Marc Fliehe. „Das Thema Software- beziehungsweise IT-Zertifizierung hat bei uns eine längere Geschichte. Schon seit vielen Jahren zertifizieren wir Software und IT teilweise oder vollständig. Die einzelnen TÜV-Häuser haben sich gleichzeitig über das Thema Internet of Things Gedanken gemacht – auch aufgrund der steigenden Nachfrage vonseiten der Kunden. Inzwischen ist die Zertifizierung am Markt.“ Aktuell bieten nicht nur die TÜV-Unternehmen ein entsprechendes Produkt an, es gibt auch eine Reihe Wettbewerber mit ähnlichen Prüfangeboten. Mit dem sogenannten Cybersecurity Act wurde 2019 auch auf Europäischer Ebene ein entsprechender gesetzliche Rahmen für digitale Zertifizierungen geschaffen.

Geprüft wird vor allem Sicherheit

„Wir möchten auch für internet-konnektierte Geräte Sicherheitsaussagen treffen. Der Fokus liegt auf Cybersecurity. Ziel ist es, Schwachstellen und Risiken zu minimieren und so einerseits die Anwenderinnen und Anwender zu schützen, andererseits aber auch die Hersteller vor Reputationsschäden zu bewahren.“ Auf die Frage, wie das Interesse aufseiten der Hersteller an einer Zertifizierung sei, meint der Experte: „Die Unternehmen, die IoT-Geräte anbieten, sind sehr unterschiedlich aufgestellt. Es gibt einige, die sehr stark an unseren Prüfungen interessiert sind und denen die Qualität und Sicherheit ihrer Produkte ein wichtiges Anliegen ist. Andere Unternehmen werfen günstige Produkte auf den Markt und kalkulieren nicht viel Budget für das Thema Sicherheit mit ein. Leider ist es hier wie so oft: Die Unternehmen, die auf uns zukommen, sind sowieso schon gut unterwegs. Und die, die es nötig hätten, versuchen es gar nicht erst.“

Smart Home und Wearable im Fokus

Das Prüfverfahren „Informationssicherheit für IoT-Geräte“ umfasst derzeit vor allem die Produkte für Endverbraucher für das Smart Home und Wearables. „Damit ist zwar nicht der gesamte Kosmos des Internet of Things umfasst, aber die wesentlichen Geräte im Privathaushalt wie Unterhaltungselektronik oder Haushaltsgeräte sind vertreten“, so Marc Fliehe. Fahrzeuge oder Medizinprodukte sind nicht Gegenstand dieser Zertifizierung.

Drei Prüflevel werden angeboten

Je nach Bedarf von Kundenseite wird der Umfang der Zertifizierung unterschiedlich weit gefasst. Neben einem „Basis“-Level existieren „Substantial“ und „High“. In allen drei Stufen greifen unterschiedliche Prüfansätze, die sich teilweise auf die Produkte selbst, teilweise auf den Herstellungsprozess beziehen. Der studierte Geisteswissenschaftler und Security-Experte Fliehe erläutert dazu: „Wir prüfen die Sicherheit der Geräte auf allen Ebenen. Ein wichtiger Bereich ist die Produktion: Gibt es Sicherheitschecks? Sind Prozesse zur Sicherung der Qualität und der Sicherheit vorhanden? Werden Zulieferer oder verwendete Softwarebausteine auf ihre Sicherheit geprüft? Das sind Fragen, die wir bei unserer Zertifizierung in den Blick nehmen. Aber natürlich prüfen wir auch das Gerät selbst: Gibt es Software-Aktualisierungen? Was sagt die Bedienungsanleitung und welche Schnittstellen werden verwendet? Auch dies sind Fragestellungen, die wir in unserer Prüfung beleuchten.“

Selbst eine Basis-Prüfung könne daher ein paar Tage Zeit in Anspruch nehmen. Je nachdem, wie gut die bestehenden Prozesse und Dokumentationen sind, ergibt sich dann die individuelle Prüfzeit. „Zertifizierungen gehen immer mit Prüfungen einher und benötigen eine gewisse Zeit. Das liegt in der Natur der Sache. Allerdings gilt eine einmal durchlaufene Zertifizierung für drei Jahre und eine Neuzertifizierung nach Ablauf der Frist ist mit deutlich weniger Aufwand verbunden“, konkretisiert Marc Fliehe.

Vergabe von Prüfsiegeln noch nicht verpflichtend

Obwohl die Relevanz beim Thema Sicherheit von IoT-Produkten unbestritten ist, herrscht derzeit mit Blick auf die Zertifizierungen noch das Prinzip Freiwilligkeit. Es gibt keine Pflicht für Unternehmen, sich hinsichtlich der IT-Sicherheit in diesem Markt zertifizieren zu lassen und – so die Meinung von Marc Fliehe – für die Kundinnen und Kunden sei das Thema derzeit noch nicht relevant genug: „Solange Billigprodukte den Markt beherrschen und sorglos gekauft werden, ist für das Thema Sicherheit kein Geld da. Hier sind auch die Anwenderinnen und Anwender nicht ohne Einfluss: Jede kritische Nachfrage, jede Forderung nach Zertifizierungen übt Druck auf die Hersteller auf und hilft, die Dinge sicherer zu machen.“

Seit dem Jahr 2000 beschäftigt sich Marc Fliehe mit dem Thema IT-Sicherheit. Aus der Sicht des ehemaligen Bitkom-Mitarbeiters gehören IoT und KI zu den außerordentlich sicherheitsrelevanten Themen, die entsprechend Aufmerksamkeit erhalten sollten: „Für Hacker sind beispielsweise ältere IoT-Geräte, die ungenutzt im Haus stehen, ein leichtes Ziel. Und da alle Geräte miteinander vernetzt sind, besteht theoretisch die Möglichkeit, über diese eine systematische Cyberattacke auf die kritische Infrastruktur zu führen. Es ist daher von großer Bedeutung, welche Sicherheitsstandards den Markt künftig prägen werden.“

Nicht alle Unternehmen sind sich ihrer Verantwortung bewusst

In seiner Arbeit macht der Referent immer wieder die Erfahrung, dass nicht jedes Unternehmen sich dieser Verantwortung in Sachen Datensicherheit bewusst ist. „Wie gesagt: Einige Hersteller machen sich sehr wenige Gedanken, andere sehr viele. Allerdings müssen auch die Kaufenden eine Sensibilität für das Thema IT-Sicherheit entwickeln. Beispielsweise stellt sich beim Thema Kinderspielzeug die Frage, ob man riskieren möchte, dass im Kinderzimmer Fremde leicht Zugriff auf Kamera oder Mikrophone erhalten könnten. Oder bei Haushaltsgeräten wie dem Backofen. Möchte man da, dass das Gerät extern erreichbar und bedienbar ist?“

Nach IoT kommt KI

Fliehe geht davon aus, dass sich diese Themen künftig stark entwickeln werden und auch das Bewusstsein und Wissen rund um die IT-Sicherheit darum bei Herstellern, Verbraucher und Verbraucherinnen und der Politik wächst. „Aber die Digitalisierung nimmt weiterhin rasant Fahrt auf. Unser aktuell wichtiges Thema ist der Einsatz von KI. Auch hier muss es Möglichkeiten zur Zertifizierung geben. Das wird unsere nächste Aufgabe sein.“ 

Text: Sabine Haas