Datenlecks, Sicherheitslücken und viele Buzz Words. So lässt sich überspitzt der Stand der Cybersecurity bei Smarten IoT-Geräten im Consumer Bereich beschreiben. Die europäische Norm ETSI EN 303 645 „Cyber Security for Consumer Internet of Things: Baseline Requirements” ist angetreten, um den Cybersecurity Wildwuchs im Consumer Markt einzudämmen und Transparenz für den Endkunden zu schaffen. Aber wird sich der Markt ändern, ohne eine konkrete Verpflichtung zur Umsetzung? Eine Einschätzung.
In diesem ersten Teil einer zweiteiligen Blog-Serie über die ETSI EN 303 645 wird darauf eingegangen, warum viele IoT-Geräte nicht sicher sind, wie sich dieser Umstand ändern lassen würde und warum dies Eigeninitiative vom Hersteller benötigt.
Im zweiten Teil wird der konkrete Aufbau der Norm genauer beleuchtet.
Warum viele IoT-Geräte nicht sicher sind
Viele Hersteller von IoT-Geräten haben es eilig Geräte zu verkaufen. Dadurch werden minimale Funktionalitäten in ein Produkt eingebaut, um den Entwicklungsprozess zu verkürzen und die Kosten so stark wie möglich zu senken. Dadurch wird der Faktor Sicherheit oft bewusst nicht beachtet oder durch überstürztes Handeln entstehen unbewusst Sicherheitslücken. Eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Auftrag des TÜV-Verbands unter 1005 Personen ab 16 Jahren hat ergeben, dass 39 Prozent aller Befragten keine IoT-Geräte kaufen, da Sie ein geringes Vertrauen in die Sicherheit und Sorge vor Hacks haben.
Auch die Anwender tun zu wenig, um die IT-Sicherheit in den eigenen vier Wänden zu verbessern. Nur knapp die Hälfte der Teilnehmer der Studie ändert die voreingestellten Passwörter ihrer IoT-Geräte. Die Default-Passwörter lassen sich meist mit einer einfachen Suchanfrage ermitteln und somit ist es für Angreifer ein leichtes Spiel in das Heimnetz der Kunden einzudringen. Das zeugt von einer mangelnden bis keiner Security-Awareness der Anwender. Aber auch versierte Benutzer haben ein Problem ihr Gerät abzusichern, da die Herstellertransparenz meist niedrig ist und wenig Informationen zum Thema Sicherheit geliefert werden.
Insgesamt entstehen durch die Gewinnmaximierung der Unternehmen, die mangelnden Information zur Sicherheit und die nicht vorhandenen Aufmerksamkeit der Verbraucher, kritische Sicherheitslücken in der Netzstruktur.
Folgende Beispiele zeigen einen kleinen Ausschnitt an Sicherheits- und Datenschutz Vorfällen im Zusammenhang mit IoT Geräten der letzten Jahre:
Mirai-Botnetz
Ein Teenager erschafft ein Botnetz, um mit Minecraft-Fans ein bisschen Geld zu verdienen und legt dabei einen Großteil des Internets an der US-Ostküste lahm. Das Mirai Botnetz durchsucht große Blöcke des Internets nach offenen Telnet-Ports bei IoT-Geräten und versucht dann, sich mit Standardkennwörtern anzumelden. Mithilfe von Mirai können somit DDoS-Angriffe gefahren werden, bei denen Nutzergeräte ohne das Wissen der Nutzer mitwirken.
my Friend Cayla
My Friend Cayla ist ein IoT-Gerät in Form einer „smarten Puppe“ mit der Kinder kommunizieren können. Nach einer Analyse eines Jura-Studenten wurde die Puppe von der Bundesnetzagentur als verbotene Sendeanlage eingestuft. Dadurch ist das Produkt in Deutschland verboten und Eltern müssen vorhandene Puppen vernichten. Dies ist ein gutes Beispiel dafür, wie sich Nutzer unwissend gefährlich Software in die eigenen vier Wände holen, mithilfe deren die Nutzer ausspioniert werden können.
IoT-Wurm
Forscher haben einen Wurm entwickelt, der es ermöglicht Philips Hue-Glühbirnen anzugreifen und zu steuern, sodass ganze Städte an und aus geschaltet werden können. Die Malware kann eine einzelne Glühbirne von bis zu 400 Meter Entfernung kompromittieren und breitet sich auf Glühbirnen in der Nähe aus. Der Wurm nutzt dabei fest codierte, symmetrische Verschlüsslungsschlüssel aus, um Geräte über drahtlose Zigbee-Netzwerke zu steuern.
Wie das IoT sicherer gemacht werden kann
Um das IoT sicher zu gestalten, müssen, genau wie sonst auch in der IT, einige Vorkehrungen getroffen werden. Hier liefert die EU-Norm ETSI EN 303 645 “Cyber Security for Consumer Internet of Things: Baseline Requirements” die nötigen Voraussetzungen, um IoT-Geräte ausreichend abzusichern. Ziel des Dokuments ist es, allen an der Entwicklung und Herstellung von IoT-Geräten für Verbraucher beteiligten Parteien eine Anleitung zur Sicherung ihrer Produkte an die Hand zu geben. Das Dokument soll nicht alle Sicherheitsprobleme im Zusammenhang mit dem IoT für Verbraucher lösen. Es konzentriert sich auch nicht auf den Schutz vor Angriffen, die langwierig/anspruchsvoll sind oder einen dauerhaften, physischen Zugriff auf das Gerät erfordern. Vielmehr liegt der Schwerpunkt auf den technischen Kontrollen und organisatorischen Richtlinien, die für die Behebung der wichtigsten und am weitesten verbreiteten Sicherheitsmängel am wichtigsten sind. Insgesamt wird ein Basissicherheitsniveau betrachtet, das gegen elementare Angriffe auf grundlegende Konstruktionsschwächen schützen soll.
Mit einer gewissen Expertise und der Norm ist es somit gut möglich, IoT-Geräte sicher zu produzieren und Kunden vor Angriffen zu schützen.
Wieso sollte ich als Hersteller die ETSI EN 303 645 dann umsetzen?
Die Norm ist bisher nur eine Empfehlung, aber keine Verpflichtung. Dadurch können Produktionsstätten von IoT-Geräten diese Norm ignorieren. Das kann zwar zu einem unsicheren Produkt führen, aber der Hersteller hat nicht zwingend die Konsequenzen zu tragen. Trotzdem ist festzuhalten, dass ein unsicheres Produkt ein schlechteres Produkt ist. Hier leiden die Nutzer, da diese sich eine Schwachstelle in ihr Heimnetz holen, aber auch die Unternehmen, da deren Ruf beschädigt wird und das zur Folge haben kann, dass diese Produkte nicht mehr gekauft werden. Neben der schlechten Publicity kann es auch zu Regressforderungen kommen. Wenn die IoT-Geräte zurück zum Hersteller kommunizieren, kann dies auch zu Datenlecks bei den Herstellern führen. Im Gegensatz dazu führt eine bessere Produktqualität zu einem USP (Unique Selling Point) und verschafft damit einen Wettbewerbsvorteil gegenüber Billigwaren.
Insgesamt ist den Herstellern nahezulegen, eine Eigeninitiative zu entwickeln und die Norm ETSI EN 303 645 bereits jetzt umzusetzen. Auf Basis des neuen Standards erarbeitet das BSI mit weiteren Partnern bei der europäischen Standardisierungsorganisation ETSI derzeit bereits eine Prüfspezifikation zu der ETSI EN 303 645. Beispielsweise wird die Norm benötigt, um das IT-Sicherheitskennzeichen des BSIs für Smarte Fernseher, Smarte Kameras, Smartes Spielzeug und Smarte Reinigungs- und Gartenroboter zu erwerben.
Weiterhin hat die EU-Kommission im September 2022 das Cyberresilienzgesetz mit Sicherheitsanforderungen für alle Produkte mit digitalen Elementen vorgestellt. Mithilfe der ETSI EN 303 645 lassen sich jetzt bereits entscheidende Schritte abwickeln, um nach der Erscheinung des Gesetzes bereits sichere Produkte in den Markt zu bringen. Wenn Unternehmen sich bereits jetzt mit der Norm beschäftigen, könnte das beim Erscheinen weiterer Prüfspezifikationen einen entscheidenden Marktvorteil bringen.
comlet ist Ihr Partner für die Norm ETSI EN 303 645
Rund um das Thema IoT unterstützen wir Sie gerne. Der Security sollte eine hohe Priorität bei Entwicklung und Betrieb von IoT-Geräten eingeräumt werden, um Integrität und Vertraulichkeit der Software und Daten zu schützen. Regulatorische Maßnahmen werden Sicherheitsbasisanforderungen zunehmend verpflichtend machen, sodass es sich lohnt Security direkt in der Design-Phase mit zu berücksichtigen. Damit bei der Umsetzung und Integration ins eigene Portfolio keine Fehler passieren, ist es ratsam, das Entwicklerteam mit fachlicher Expertise von Security-Experten zu unterstützen, beispielsweise mit