Das Consumer Internet of Things mit all seinen vernetzten Kameras, smarten Haushaltsgeräten und Smart Home-Anwendungen wächst auch in 2023 nach wie vor unaufhaltsam weiter. Dabei liegt die sicherheitstechnische Entwicklung in diesem Bereich, leider immer noch weit hinter der zahlenmäßigen Entwicklung zurück. Berichte über kritische Sicherheitslücken mehren sich und auch beim Endkunden nehmen die Bedenken bezüglich Sicherheit, Datenschutz und Privatsphäre immer weiter zu.

Mit dem ETSI Standard EN 303 645 wird auf europäischer Ebene seit einigen Jahren versucht, die Sicherheit im Consumer IoT zu erhöhen und Herstellern Vorgaben zur Verfügung zu stellen, mithilfe derer eine Entwicklung und/oder Verbesserung eines sicheren IoT-Produktes möglich werden soll. Wir als AV-TEST Institut begrüßten bereits 2020 den damals eingeführten Standard und betonen auch weiterhin die Wichtigkeit eines einheitlichen (und bestenfalls sogar zwingenden) Sicherheitsstandards für das Internet of Things, der zumindest eine Basissicherheit festschreibt. Unsere hauseigene Zertifizierung in diesem Bereich orientiert sich dabei seit jeher an den selben Prinzipien wie EN 303 645 und erweitert diesen sogar stellenweise.

Seit kurzer Zeit bietet das BSI nun für Hersteller smarter Verbrauchergeräte die Möglichkeit an, auf freiwilliger Basis das sogenannte IT-Sicherheitskennzeichen (IT-SiK) für Produkte aus diesem Bereich zu erwerben. Obwohl wir diesen Schritt natürlich im Interesse aller sehr begrüßen, möchten wir dies zum Anlass nehmen, um die Prozesse und Verfahren zur Erteilung des IT-SiK genauer unter die Lupe zu nehmen und die Unterschiede unserer Zertifizierung aufzuzeigen.

Was ist das IT-Sicherheitskennzeichen?

Das IT-Sicherheitskennzeichen fungiert als freiwillige Auszeichnung für IT-Produkte, wodurch Hersteller die Chance erhalten, die Sicherheitseigenschaften ihrer Produkte hervorzuheben und durch ein entsprechendes Siegel kennzeichnen zu lassen. Hersteller verpflichten sich dabei, dass ihre Produkte bestimmte Sicherheitsanforderungen erfüllen, die in EN 303 645 formuliert sind. Die Erteilung des IT-Sicherheitskennzeichens basiert dabei auf einer Herstellererklärung zur Produktkonformität mit diesem Standard. Das BSI überprüft diese Erklärung in Bezug auf ihre Vollständigkeit und Plausibilität, wobei jedoch keine technische Inhaltsprüfung durchgeführt wird. In einem späteren Prozess, der Marktaufsicht, kann dann zusätzlich anlasslos oder anlassbezogen geprüft werden, ob die in der Herstellererklärung bestätigten Produktmerkmale und Anforderungen des zugrunde liegenden Standards während der Laufzeit erfüllt werden bzw. bleiben. Da es sich um ein Verbraucherlabel handelt, ist das IT-Sicherheitskennzeichen außerdem mit einer dynamischen Informationsquelle auf der BSI-Website verknüpft. Diese bietet Verbrauchern Transparenz bezüglich der Sicherheitsmerkmale des Produkts, kann auf bestehende Sicherheitsprobleme oder Updates hinweisen und Handlungsempfehlungen bereitstellen.

 

Welche Schwächen hat es aus unserer Sicht?

Die grundsätzliche Idee des IT-SiK ist natürlich in jedem Fall als richtig und wichtig einzustufen. Die Vorteile, die eine Kennzeichnung von sicheren Produkten für Hersteller und vor allem Verbraucher mit sich bringt, lassen sich schlicht nicht absprechen – diese haben ja auch uns dazu veranlasst, unseren eigenen Zertifizierungsprozess mit Kennzeichnung  bereits 2015 ins Leben zu rufen. Trotzdem sehen wir einige Hürden, welche die Kennzeichnung weniger mächtig macht, als sie eigentlich sein könnte.

Zum einen ist das vor allem der enorme Aufwand, der auf den Hersteller für die erfolgreiche Kennzeichnung eines Produktes zukommt. Hier muss sich der gewillte Hersteller darüber im Klaren sein, dass im Prinzip alle Arbeit dafür von ihm selbst auszuführen ist: Vor der Antragstellung müssen zwei umfangreiche Dokumente ausgefüllt werden – das Implementation Conforment Statement (ICS) und das Implementation eXtra Information for Testing (IXIT). Im ICS werden alle in EN 303 645 als relevant identifizierten Sicherheitsmerkmale durchgegangen und für das Produkt in Frage gekennzeichnet, ob diese Sicherheitsmerkmale auf dieses anwendbar sind und von ihm umgesetzt werden. Sollte ein Sicherheitsmerkmal nicht auf das Produkt anwendbar sein, so muss dies begründet werden. Im IXIT muss dann für jedes relevante Sicherheitsmerkmal erläutert werden, wie und in welcher Form es implementiert wird. Hier können wir uns gut vorstellen, dass dieser Aufwand für einige Hersteller abschreckend wirken kann, denn nicht das Ausfüllen der Formulare selbst ist hier die Hürde, aber die Informationsbeschaffung und Aufbereitung hierfür können je nach Produkt mitunter massiv sein. Außerdem wird ein tiefes technisches Verständnis vorausgesetzt. Allein die Einarbeitung in EN 303 645 ist alles andere als trivial.

Da das BSI für die Kennzeichnung selbst explizit keine technische Prüfung durchführt, sondern lediglich auf Vollständigkeit und Plausibilität prüft, muss das eigentliche nun folgende Assessment von einer formell als Test Laboratory (TL) bezeichneten Stelle durchgeführt werden. An diesem Punkt sollen dann die echten technischen Tests nach definierten Test cases durchgeführt werden, um eine abschließende Bewertung zuzulassen. Hierfür gibt es für den Hersteller prinzipiell drei Optionen: Er kann die Prüfung im Self-Assessment durchführen (1st Party), durch eine entsprechende User Organization (2nd Party) oder durch einen unabhängigen Dritten (3rd Party).

Es ist sicher kein Geheimnis, dass wir grundsätzlich kein großer Fan von Self-Assessment sind. In der Praxis sehen wir täglich Produkte, die sich selbst gern als sicher erklären, also auch irgendeine Art Self-Assessment bezüglich Sicherheit durchlaufen haben müssen, und trotzdem oft weit von „sicher“ entfernt sind. Natürlich wird für das IT-SiK ein sehr genauer Rahmen vorgegeben, in dem das Assessment durchzuführen ist und sicher wird der eine oder andere Hersteller hier auf Sicherheitsmerkmale hingewiesen, die er vorher vielleicht niemals bedacht hat. Insofern ist das Self-Assessment sicher besser als gar kein Assessment. Die beste Option ist hier aber zweifelsfrei der unabhängige Dritte. Nur so kann gewährleistet sein, dass die Bewertung wirklich objektiv durchgeführt wurde. Aus unserer Sicht hätte die Involvierung eines unabhängigen Testlabors obligatorisch sein müssen, die anderen beiden Optionen weichen das Konzept des IT-Sicherheitskennzeichens nur auf. Außerdem könnte durch die Beteiligung eines unabhängigen, kompetenten Testlabors der Aufwand für den Hersteller von Anfang an auch geringer gehalten werden.

Was sind die Unterschiede zur AV-TEST IoT Zertifizierung?

Im Prinzip unterscheidet sich das IT-SiK, neben einigen kleineren Punkten (siehe folgende Tabelle), vor allem in den zwei im vorherigen Abschnitt beschriebenen Punkten von der AV-TEST Zertifizierung: Dem Aufwand für den Hersteller und der technischen Prüfung und Betreuung. Da die AV-TEST Zertifizierung als Black-Box-Test konzipiert ist, muss der Hersteller im Grunde lediglich alle zu testende Hard- und Software liefern und ist damit in den meisten Fällen aufwandstechnisch bereits aus dem Schneider. Alle dann fälligen Tests und Dokumentationen werden vollständig von uns als testendem Labor durchgeführt. Auch muss vom Hersteller nicht selbst bestimmt werden, welche Sicherheitsmerkmale für seine Lösung relevant sind – dies wird im Test, von Produkt zu Produkt, von uns angepasst und bestimmt. Es sind außerdem keine Formulare, Fragenbogen und Selbsttests vonnöten, um erfolgreich zertifiziert zu werden. Die einzige Voraussetzung ist ein sicheres Produkt, das die Tests bestehen kann.

Allerdings ist es dementsprechend auch nicht möglich für einen Hersteller, der die Sicherheit seines Produktes belegen kann, unsere Tests durch ein Self-Assessment oder eine Selbstauskunft zu überspringen oder abzukürzen – eine technische Prüfung aller relevanten Sicherheitsbereiche durch uns ist immer und in jedem Fall notwendig.

Unsere Einschätzung

Wie bereits geschrieben, sind wir grundsätzlich natürlich für alles, was die Sicherheit im Internet of Things für alle verbessert. Dieses Potential hätte das IT-SiK in jedem Fall haben können. In bestimmten, ebenfalls bereits beschriebenen, Punkten hätte die Umsetzung dafür aber unkomplizierter und gleichzeitig konsequenter gestaltet werden müssen. Aus unserer Sicht ist vor allem das Zugeständnis „Self-Assessment“ die größte Schwachstelle – Im Endeffekt muss sich der Kunde hier final doch nur wieder auf das Wort des Herstellers verlassen. Zumindest zeigt das IT-SiK aber, dass der Hersteller sich mit dem Thema Sicherheit auseinandergesetzt und einen recht beachtlichen Dokumentationsaufwand betrieben hat, um es zu erhalten. Eine zwingende Durchführung des technischen Assessments durch einen unabhängigen Dritten halten wir für eine derartige Kennzeichnung aber nichtsdestotrotz für absolut essenziell.

AV-TEST wird in Zukunft weiterhin auf unser bewährtes Zertifizierungskonzept setzen, das mittlerweile so viele zertifizierte und zufriedene Hersteller schätzen und welches maßgeblich an der Verbesserung so vieler IoT-Produkte Anteil hat. Im stetigen Bestreben die Sicherheit des Internet of Things mit allen Mitteln zu verbessern, werden wir unsere Expertise in diesem Bereich, aber gern auch in der Rolle des unabhängigen Testlabors, für gewillte Hersteller auf dem Pfad zur Erlangung des IT-Sicherheitskennzeichens zur Verfügung stellen. Ob in Form einer Beratung zum EN 303 645, der Begleitung auf dem Weg zur Antragstellung oder als unabhängiges Testlabor zur Durchführung des technischen Assessments – wir sind gewillt jedem zu helfen, der an der Verbesserung der Sicherheit seiner Produkte interessiert ist und unterstützen dabei auf dem Weg, der hierfür gewählt wurde.