Das Internet der Dinge ist unbestreitbar das Ding des 21. Jahrhunderts. Ob Sprachassistenten wie Alexa und Co., per App gesteuerte Waschmaschinen oder smarte Heizungen, die auf der Fahrt vom Büro nach Hause über das Smartphone hochgeschaltet werden.
Produkte, Technologien und Ideen gibt es schon wie Sand am Meer – Tendenz natürlich steigend.
Wie aber bei allem, das auch nur entfernt mit der drahtlosen Übertragung von Daten zu tun hat, spielt die Sicherheit eine große Rolle. Und gerade beim Thema IoT bekleckert sich ein Großteil der Hersteller nicht mit Ruhm. Eine EU-Verordnung zur „Zertifizierung der Cybersicherheit“ soll das jetzt ändern. Momentan sieht das allerdings eher nach einer Farce aus, als nach einer Lösung.
„Einmal das Internet der Dinge in sicher und zum Mitnehmen, bitte!“
Alle, die ihre Webcams mit Pflastern oder buntem Klebefilm blickdicht machen, schlagen beim Thema Internet of Things sowieso die Hände über dem Kopf zusammen. Die Argumente reichen vom „gläsernen Bürger“ bis zur „gezielten Spionage“. Grundsätzlich richtig ist allerdings, dass das Thema Sicherheit bei vielen IoT-Produkten bislang nicht immer eine Eins mit Stern verdient hat. Das mag vor allem daran liegen, dass die Hersteller diesbezüglich aktuell nur wenig Gesetzen oder Bestimmungen unterliegen. Die EU-Verordnung mit dem klangvollen Titel „Zertifizierung der Cybersicherheit“ soll das jetzt ändern. Der Entwurf wurde bereits im Europarat verabschiedet und muss nun noch durch das Europäische Parlament. Ziel ist es, dass die Verordnung bis Ende 2018 gültig wird. Kritiker und Verbraucherschützer bemängeln den Entwurf allerdings schon jetzt und warnen davor, dass er weder den aktuellen Missständen, noch den künftigen Herausforderungen gerecht wird.
Was ist das Internet of Things (IoT)? – Die Antwort bekommen Sie in unserem IT-Lexikon.
„Zertifizierung der Cybersicherheit“ – Inhalt der EU-Verordnung
Die Verordnung erfordert eine Sicherheitszertifizierung von IoT-Produkten. Sprich: alles, was irgendwie vernetzt ist bzw. sich vernetzen lässt. Vom Dampfgarer über die Waschmaschine bis hin zur Alexa, würde das erst einmal die komplette Bandbreite abdecken. Würde. Denn schon der erste Knackpunkt ist der, dass die Zertifizierung nur für die Produkte verpflichtend ist, die innerhalb „kritischer Infrastrukturen“ eingesetzt werden. Alle anderen IoT Produkte können seitens der Hersteller freiwillig zertifiziert werden. Dabei wird zwischen den Stufen „niedrig“, „mittel“ und „hoch“ gewählt. Bei einer niedrigen Stufe dürfen die Anbieter selbst die sogenannte Konformitätsbewertung durchführen. Dabei geht es im Kern darum, wie es um die Abwehrfähigkeit der Produkte in Angriffsfällen bestellt ist. Zunächst wird diesbezüglich nicht zwischen einem zufälligen oder böswilligen Datenverlust unterschieden. Bei den Stufen „mittel“ und „hoch“ werden hingegen externe Audits gefordert.
Das Internet der Dinge und seine Sicherheitssituation
Kritiker schlagen Alarm und argumentieren, dass die Regelung genau die Aspekte ignoriere, die für die aktuelle, unhaltbare Sicherheitssituation verantwortlich sein. Denn Herstellern werde kein Anreiz geboten, mehr Geld/Zeit/Technologie in die Sicherheit zu investieren. Es wäre unvermeidbar, den ökonomischen Produktlebenszyklus weiterhin über eine nachhaltige Sicherheit zu stellen. Einmalige Verkaufserlöse mit einer maximalen Gewinnspanne wären nach wie vor das einzige, wirkliche Ziel. Die Kritik scheint nicht ganz unberechtigt, denn auch der klare Menschenverstand sagt dem Nicht-Branchenexperten: die Bereitstellung regelmäßiger Sicherheitsupdates über den gesamten Produktlebenszyklus verringert die Marge oder kann zu Wettbewerbsnachteilen führen. Eine weitere Konsequenz könnten ebenso steigende Verkaufspreise sein, wodurch die IoT-Produkte noch einmal teurer werden, als ihre nicht-vernetzten Brüder und Schwestern.
Die Verantwortlichen für den aktuellen Entwurf der EU-Verordnung, gehen hingegen scheinbar von einem völlig anderen Szenario aus. Über ein freiwilliges Zertifikat könnten sich die Hersteller einen Vorteil verschaffen. Schließlich würden Verbraucher dadurch erkennen, dass man sich seiner Verantwortung bezüglich der Sicherheit bewusst sei. Die Frage jedoch, ob Verbraucher beim Erwerb eines vernetzten Kühlschrank eher auf den Preis und die Funktionen oder auf ein bis dato unbekanntes Siegel achten, lässt sich natürlich nicht so einfach beantworten.
Die Verbraucher und die Sicherheit
Nach wie vor ist die „Geiz ist geil“-Mentalität ein wirtschaftliches Phänomen, das ungebrochen aktuell ist. Günstigere Produkte werden vor teureren Produkten gewählt – Kunden von Rolex, Louis Vuitton und Co. einmal ausgeklammert. Zudem ist allein der Begriff „Sicherheit“ recht abstrakt und frei interpretierbar – zumindest für den Großteil der Verbraucher. Denn diese tun sich sehr schwer damit, sicherheitsrelevante Aspekte eines Produkts richtig einzuschätzen. Ein gutes Beispiel dafür ist, dass sogar „Spielzeug für das Schlafzimmer“ mit einer Video-Funktion und App-Schnittstelle auf dem Markt ist und reißenden Absatz findet. Wie bereits beschrieben, gibt es nach wie vor die Fraktion „Webcam-Abkleber“. Diese trauen dem ganzen IoT-Thema aber sowieso keine drei Meter über den Weg und werden mit sehr hoher Wahrscheinlichkeit sowieso kein „freiwillig zertifiziertes“ Produkt kaufen. Die anderen hingegen, die sich gern von Alexa ihre Einkaufsliste vorlesen lassen und die Waschmaschine zwei Stunden vor Feierabend via App starten, kaufen so oder so.
Bleibt die Frage nach der Verantwortung. Ist der Gesetzgeber dazu verpflichtet, Verbraucher vor sich selbst und ihrer eigenen Unwissenheit zu schützen? Falls ja, wie soll das funktionieren, wenn die Rede von einer „freiwilligen Zertifizierung“ durch die Hersteller ist?
Cyber-Sicherheit und Verbraucherschutz als Verbindlichkeit
Kritiker der kommenden EU-Verordnung fordern, dass der Verbraucherschutz und die Cyber-Sicherheit (auch Cybersicherheit) Richtung Hersteller verbindlich werden – und nicht freiwillig bleiben. Das Internet der Dinge berge einfach zu viele Risiken. Zwar gibt es schon heute einige Initiativen großer Unternehmen und Hersteller, die sich strengeren Richtlinien unterwerfen, aber die sind eher die Ausnahme als die Regel. Die Realität sieht nämlich eher so aus, dass tagtäglich neue IoT-Produkte auf den Markt kommen, die sicherheitstechnisch nahezu undurchschaubar für den Laien sind. Und wenn das mit der Freiwilligkeit nicht wirklich funktioniert, ist Verbindlichkeit angebracht. Genau die fehlt der EU-Verordnung aber.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung