Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Spotlight auf Sicherheit: Neue Initiativen zur IoT-Sicherheit

Am 25. Mai wird die Europäische Union neue Rechtsvorschriften zum Datenschutz und zum Schutz der Privatsphäre in Kraft setzen. Sowohl die Allgemeine Datenschutzverordnung (GDPR) als auch die ePrivacy-Gesetzgebung werden sich positiv auf den Datenschutz und die Datensicherheit auswirken. Zusätzlich zu dieser neuen EU-Gesetzgebung haben sowohl die britische als auch die niederländische Regierung Erklärungen veröffentlicht, die zu zusätzlichen Vorschriften für die IoT-Sicherheit führen werden. Werden diese Initiativen die Anbieter dazu zwingen, die IoT-Sicherheit für Heimanwender im Allgemeinen zu verbessern?

Wie wirkt sich die Allgemeine Datenschutzverordnung auf die IoT-Sicherheit aus?

Die Datenschutz-Grundverordnung betrifft alle Unternehmen, die personenbezogene Daten sammeln. Die Gesetzgebung wendet einen weiten Blick darauf an, was als personenbezogene Daten gilt. Auch Unternehmen mit Sitz außerhalb der EU sind betroffen, wenn sie personenbezogene Daten in der EU erheben. Vereinfacht ausgedrückt verlangt die DSGVO, dass Unternehmen ein "angemessenes" Schutzniveau für personenbezogene Daten anwenden. Unternehmen, die diese Anforderungen nicht erfüllen, müssen mit Geldbußen von bis zu vier Prozent ihres Umsatzes oder 20 Millionen Euro rechnen, je nachdem, welcher Betrag höher ist. Ziel ist es, die Zahl der Datenschutzverletzungen im Zusammenhang mit personenbezogenen Daten zu verringern und Finanzbetrug und Identitätsdiebstahl auf der Grundlage dieser gestohlenen personenbezogenen Daten zu verhindern. Diese Gesetzgebung betrifft alle Cloud- und IoT-Dienste, die personenbezogene Daten verwalten. Die meisten intelligenten Geräte zeichnen personenbezogene Daten auf (IoT-Sicherheitskameras, Smartwatches, die Aktivitäten verfolgen) oder erfordern personenbezogene Daten zur Registrierung (Smartphones verwenden E-Mail-Adressen).

Wie wirken sich die Datenschutzvorschriften für elektronische Kommunikation auf die IoT-Sicherheit aus?

Obwohl die Datenschutzvorschriften für elektronische Kommunikation in erster Linie auf die Privatsphäre abzielen (z. B. welche Nutzer- und Metadaten in der Online-Kommunikation verfolgt werden dürfen), gelten sie auch für IoT-Geräte. Diese zusätzliche Gesetzgebung verbietet auch das Abhören jeglicher elektronischer Kommunikation, es sei denn, ein Mitgliedstaat oder das EU-Recht erlaubt dies. Für den Laien bedeutet dies, dass die gesamte Kommunikation verschlüsselt werden muss, um zu verhindern, dass Außenstehende diese Daten kopieren oder ausspähen. Wie der Test unseres eigenen Smart TV gezeigt hat (siehe Blog Sicherheitslücken in der von mehr als 30 bekannten TV-Marken verwendeten Firmware) werden Metadaten und Nutzerdaten oft unverschlüsselt übertragen, während Service-Ports für die Fernsteuerung offen gehalten werden. Die kritischen Sicherheitslücken, die in der zuletzt getesteten Smart-TV-Firmware gefunden wurden, wären ein förmlicher Verstoß gegen die Datenschutzvorschriften für elektronische Kommunikation gewesen. Das Risiko von EU-Verwaltungsstrafen hätte beim Hersteller des Smart-TVs und den anderen 30 Smart-TV-Marken, die die betroffene Firmware verwenden, eine andere Reaktion ausgelöst.

Die starken IoT-Erklärungen der britischen und niederländischen Regierung

Im März veröffentlichte das britische Ministerium für Digitales, Kultur und Sport einen Bericht über die Verbesserung der Cybersicherheit des Internets der Dinge mit dem Titel "Secure by Design". Margot James, die Ministerin für Digital- und Kreativindustrien, unterstützt diesen Bericht, der fordert, dass alle mit dem Internet verbundenen Geräte (IoT) eine eindeutige Benutzer-ID und ein Passwort haben müssen. Dies ist sogar ein Schritt weiter als der US IoT Cybersecurity Improvement Act von 2017.

Der niederländische Abgeordnete Kees Verhoeven hat das Thema Cybersicherheit erfolgreich auf die Tagesordnung gesetzt und drängt den Minister für Justiz und Sicherheit Ferdinand Grapperhaus, den Worten Taten folgen zu lassen. Eines der Mittel ist es, den Minister durch formelle parlamentarische Anfragen nach seinem Standpunkt zu bestimmten Themen zu fragen. Der Abgeordnete fragte den Minister für Justiz und Sicherheit, was er von der Studie eines niederländischen Experten über die Sicherheit von IoT-Geräten halte. Der Minister antwortete, dass "die Hersteller für den Schaden, der durch unzureichende Sicherheitsmaßnahmen verursacht wird, haften würden". Dies schließt (als Beispiel) auch die Schäden ein, die durch Botnets an wichtigen Infrastrukturen verursacht werden. Dies würde bedeuten, dass eine Bankgesellschaft einen Anbieter von Smart-TVs oder Überwachungskameras verklagen könnte, wenn diese IoT-Geräte für DDoS-Angriffe verwendet werden.

Licht am Ende des IoT-(Un-)Sicherheitstunnels?

Wir von AV-Comparatives sind der Meinung, dass wirtschaftliche Anreize und Geldstrafen dazu beitragen können, die Sicherheit von IoT-Geräten zu verbessern, auch wenn es für die Hersteller schwieriger wird. Leider müssen diese neuen Vorschriften ihr Versprechen erst noch unter Beweis stellen, und vieles befindet sich noch im Aufbau. Besorgte Heimanwender, die nicht warten wollen, könnten zusätzliche Sicherheitslösungen für ihr Heimnetzwerk in Betracht ziehen, wie z. B. SENSE von F-Secure, Dojo von BullGuard, Smart Life von Avast, Box von Bitdefender oder Core von Norton.