So nützlich vernetzte Geräte wie Video-Türklingeln und intelligente Lampen auch sind, ist es ratsam, bei der Nutzung vernetzter Technologien in Ihrem Zuhause Vorsicht walten zu lassen, insbesondere nach Jahren der Lektüre über Hacks von Überwachungskameras, Angriffen von Kühlschrank-Botnetzen und intelligenten Herden, die sich selbst einschalten. Bisher gab es jedoch keine einfache Möglichkeit, die Sicherheitsfähigkeiten eines Produkts zu beurteilen. Ein neues Programm der Connectivity Standards Alliance (CSA), der Gruppe hinter dem Matter-Smart-Home-Standard, will dieses Problem lösen.
Die diese Woche angekündigte CSA IoT Device Security Specification ist ein grundlegender Cybersicherheitsstandard und ein Zertifizierungsprogramm, das darauf abzielt, eine einzigartige, weltweit anerkannte Sicherheitszertifizierung für Consumer-IoT-Geräte bereitzustellen.
Gerätehersteller, die sich an die Spezifikationen halten und den Zertifizierungsprozess befolgen, können das neue CSA Product Security Verified (PSV)-Zeichen tragen. Wenn die Überwachungskamera oder intelligente Glühbirne, die Sie kaufen, mit einer Marke versehen ist, können Sie sicher sein, dass sie die Anforderungen zum Schutz vor böswilligen Hacking-Versuchen und anderen Eingriffen erfüllt, die Ihre Privatsphäre beeinträchtigen könnten.
„Es ist ein großer Fortschritt, über eine globale IoT-Sicherheitszertifizierung für Verbraucher zu verfügen. „Es ist so viel besser, als keines zu haben“, Steve Hanna, Infineon
„Untersuchungen zeigen immer wieder, dass Verbraucher Sicherheit als einen wichtigen Faktor beim Gerätekauf betrachten, aber sie wissen nicht, worauf sie aus Sicherheitsaspekten achten müssen, um eine fundierte Kaufentscheidung zu treffen“, sagt Eugene Liderman, Direktor für mobile Sicherheitsstrategie bei Google. Die Kante. „Programme wie dieses werden den Verbrauchern eine einfache, leicht identifizierbare Messgröße bieten, nach der sie suchen können. »
Liderman ist Teil der CSA-Arbeitsgruppe, die die 1.0-Spezifikation des Programms definiert hat wurde von mehr als 200 CSA-Mitgliedsunternehmen entwickelt. Dazu gehören (zusammen mit Google) Amazon, Comcast, Signify (Philips Hue) und mehrere Chiphersteller wie Arm, Infineon und NXP.
Laut Tobin Richardson, CEO von CSA, könnten Produkte der Marke PSV bereits in dieser Weihnachtseinkaufssaison auf den Markt kommen.
Eine Cybersicherheitsmarke, die sie alle beherrscht
Die Ankündigung der CSA vom 18. März folgt auf die Ankündigung von letzter Woche, dass die FCC die Umsetzung ihres neuen Cybersicherheitskennzeichnungsprogramms für Verbraucher-IoT-Geräte in den Vereinigten Staaten genehmigt hat. Beide Programme sind freiwillig und das CSA-Siegel konkurriert nicht mit dem amerikanischen Cyber Trust Mark. Stattdessen geht es sogar noch weiter und übernimmt alle US-Anforderungen und fügt Cybersicherheitsgrundlagen aus ähnlichen Programmen in Singapur und Europa hinzu. Das Endergebnis ist ein einziges Spezifikations- und Zertifizierungsprogramm, das in mehreren Ländern eingesetzt werden kann (siehe Seitenleiste).
Laut Richardson besteht das Ziel darin, dass das CSA-PSV-Zeichen von Regierungen anerkannt wird, sodass Hersteller einen einzigen Zertifizierungsprozess durchlaufen können, um in allen wichtigen Märkten zu verkaufen. Dies könnte die Kosten und die Komplexität für die Hersteller verringern und den Verbrauchern möglicherweise mehr Auswahl bieten.
Die Marke PSV wurde von der Cyber Security Agency Singapurs anerkannt und die CSA gibt an, dass sie mit ähnlichen Programmen in den Vereinigten Staaten, der Europäischen Union und dem Vereinigten Königreich auf eine gegenseitige Anerkennung hinarbeitet. „Das ist sehr wahrscheinlich und bei manchen auch.“ [countries], das ist eine Gewissheit“, sagt Richardson. „Es geht hauptsächlich darum, ein paar Unterlagen zu erledigen.“
Um das PSV-Zeichen zu erhalten, müssen Geräte der IoT Device Security Specification 1.0 entsprechen und ein Zertifizierungsprogramm durchlaufen, das die Beantwortung eines Fragebogens und die Vorlage von Nachweisen gegenüber einem zugelassenen Prüflabor umfasst. Zu den Höhepunkten der Anforderungen gehören:
- Eindeutige Identität für jedes IoT-Gerät
- Kein fest codiertes Standardkennwort
- Sichere Speicherung sensibler Daten auf dem Gerät
- Sichere Kommunikation sicherheitsrelevanter Informationen
- Sichere Software-Updates während des gesamten Supportzeitraums
- Sicherer Entwicklungsprozess, einschließlich Schwachstellenmanagement
- Dokumentation der öffentlichen Sicherheit, einschließlich Supportzeitraum
Laut CSA gilt das freiwillige Programm für die meisten vernetzten Smart-Home-Geräte, darunter Glühbirnen, Schalter, Thermostate und Sicherheitskameras, und kann rückwirkend auf auf dem Markt erhältliche Produkte angewendet werden. Zusätzlich zur PSV-Marke ermöglicht „eine aufgedruckte URL, ein Hyperlink oder ein QR-Code auf der Marke den Verbrauchern den Zugriff auf weitere Informationen über die Sicherheitsfunktionen des Geräts“, heißt es in der Pressemitteilung des CSA.
Das Programm konzentriert sich insbesondere auf die Gerätesicherheit – um sicherzustellen, dass das physische Gerät selbst nicht zugänglich ist – und nicht auf den Datenschutz. „Aber es besteht ein starker Zusammenhang darin, dass es ohne Sicherheit keine Privatsphäre geben kann“, sagt Richardson. Obwohl sich die Sicherheit auf den Datenschutz auswirkt, stellt dieses Programm nicht viele Anforderungen an die Art und Weise, wie ein Hersteller die von einem Gerät erfassten Daten verwendet. Die CSA verfügt über eine eigene Datenschutz-Arbeitsgruppe, die sich mit diesem Wurmvirus befasst.
Bessere Sicherheit, aber immer noch nicht perfekt
Die aktuelle Version des Programms ist kein Allheilmittel zur Lösung von Sicherheitsproblemen bei IoT-Geräten. Steve Hanna von Infineon Technologies, seit 25 Jahren Cybersicherheitsforscher und Vorsitzender der CSA-Arbeitsgruppe für das Programm, sagte: Die Kante Es gibt noch andere Dinge, die er gerne integriert sehen würde. „Aber wir müssen kriechen, gehen und dann rennen“, sagte er. „Es ist ein großer Fortschritt, über eine globale IoT-Sicherheitszertifizierung für Verbraucher zu verfügen. Es ist so viel besser, als keines zu haben.
Liderman von Google weist außerdem darauf hin, dass die Einhaltung von Mindestsicherheitsstandards keine Garantie dafür ist, dass ein Gerät frei von Schwachstellen ist. „Wir glauben, dass die Branche die Messlatte im Laufe der Zeit höher legen muss, insbesondere bei sensiblen Produktkategorien“, sagt er.
CSA plant, die Spezifikation auf dem neuesten Stand zu halten und verlangt von Unternehmen, sich mindestens alle drei Jahre neu zu zertifizieren. Darüber hinaus ist laut Richardson ein Prozess zur Reaktion auf Vorfälle erforderlich. Wenn also ein Unternehmen ein Sicherheitsproblem hat, wie die jüngsten Probleme von Wyze, muss es diese beheben, bevor es erneut zertifiziert werden kann.
Eine API könnte es einer Smart-Home-Plattformanwendung ermöglichen, Sie über den Sicherheitsstatus eines Geräts zu informieren, bevor es Ihrem Netzwerk beitreten kann.
Um Bedenken hinsichtlich eines Missbrauchs des Etiketts auszuräumen, sagt Hanna, dass die CSA auf ihrer Website eine Datenbank aller zertifizierten Produkte haben wird, damit Sie die Behauptungen eines Unternehmens mit Querverweisen vergleichen können. Es heißt auch, dass es Pläne gibt, die Informationen in einer API verfügbar zu machen, die es Ihrer Smart-Home-Plattformanwendung ermöglichen könnte, Sie über den Sicherheitsstatus eines Geräts zu informieren, bevor es sich Ihrem Netzwerk anschließen kann.
Hanna warnt davor, zu hohe Erwartungen zu setzen. „Einige Unternehmen möchten ihre bereits geleistete Arbeit gerne anerkennen, aber wir sollten nicht erwarten, dass jedes Produkt so ist“, sagt er. Einige könnten feststellen, dass sie Probleme haben, die sie daran hindern, sich zertifizieren zu lassen, sagt er. „Wenn diese Maßnahmen von den Regierungen gefordert werden, kommt hier der Gummi ins Spiel.“
Ein freiwilliges Programm mag wie ein Finger im Damm erscheinen, löst aber zwei grundlegende Probleme. Für Hersteller vereinfacht dies die Einhaltung von Vorschriften in mehreren Ländern in einem Schritt, während es für Verbraucher Einblicke in die Art der Sicherheitspraktiken ermöglicht, die ein Unternehmen einhält.
„Ohne ein Label oder eine Marke kann es für Verbraucher schwierig sein, eine Kaufentscheidung auf der Grundlage der Sicherheit zu treffen“, sagt Hollie Hennessy, IoT-Cybersicherheitsexpertin beim Technologieanalyseunternehmen Omdia. Obwohl die Tatsache, dass das Programm freiwillig ist, ein Hindernis für die Einführung darstellen könnte, deuten die Untersuchungen seines Unternehmens laut Hennessy darauf hin, dass Menschen eher ein Gerät mit Datenschutz- und Sicherheitskennzeichnung kaufen.
Letztendlich ist Hennessy davon überzeugt, dass eine Kombination aus solchen Standards und Zertifizierungen sowie Vorschriften und Gesetzen notwendig ist, um den Bedenken der Verbraucher hinsichtlich der Privatsphäre und Sicherheit angeschlossener Geräte Rechnung zu tragen. Aber diese Entscheidung ist ein großer Schritt in die richtige Richtung.