Mit einer mittlerweile nahezu unüberschaubaren Zahl vernetzter Geräte und Services ist das Internet der Dinge in der Entwicklung von IT-Märkten ein absoluter Boom-Sektor. Doch im Wettrennen um lukrative Marktanteile entwickelt die IoT-Industrie weiter massenhaft internetangebundene Produkte ohne ausreichendes Sicherheitskonzept und lässt häufig selbst absolute Mindeststandards der IT-Sicherheit außer Acht. Das muss sich ändern. Ein neuer Mindeststandard für IoT-Sicherheit soll dabei helfen.
AV-TEST bürgt seit über 7 Jahren für IoT-Sicherheit
Das AV-TEST Siegel für sichere IoT- und Smart Home Produkte war bereits vor 7 Jahren eines der ersten IoT-Prüfsiegel weltweit und genießt seither branchenweit die Akzeptanz von Herstellern als auch das Vertrauen von Nutzern. Dementsprechend beteiligte sich AV-TEST von Beginn an bei der aktiven Entwicklung von IoT-Sicherheitsstandards, forscht, prüft und zertifiziert zukunftsweisende Produkte verantwortungsbewusster Hersteller und berät seit langem Unternehmen und staatliche Institutionen zur Sicherheit von IoT-Produkten. Dazu gehört unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI). Das BSI lässt sich von AV-TEST regelmäßig im Expertenrat IT-Sicherheit über aktuelle Forschungsergebnisse im Bereich Malware sowie auch zur IoT-Sicherheit beraten.
Spät, aber ein Anfang: EN 303 645
Mit dem Europäischen Standard EN 303 645 gibt es nun zumindest eine offizielle Minimalanforderung für die Sicherheit vernetzter Geräte im Smart Home und Empfehlung für die sichere Entwicklung von IoT-Geräten. Der Standard baut auf der vorherigen Richtlinie TS 103 645 auf und auch der vom BSI mitentwickelte deutsche Sicherheitsstandard DIN SPEC 27072 ist in die Erstellung des neuen europäischen Standards eingeflossen.
Grundsätzlich bieten IoT-Geräte und Dienstleistungen eine Vielzahl an Angriffsvektoren: Die Hauptangriffsziele Krimineller sind die Endgeräte selbst, angebundene Apps sowie die Mobilgeräte, auf denen die Applikationen zur Steuerung von IoT-Geräten meist laufen. Dennoch erobern weiter IoT-Geräte mit mangelhafter IT-Sicherheit den Markt. Entsprechend wird eine adäquate Absicherung von IoT-Geräten zunehmend wichtiger.
AV-TEST fordert die im Standard EN 303 645 beschriebene Entwicklung schon seit Jahren und wurde nicht müde, das BSI im Expertenrat Lagebild IT-Sicherheit entsprechend zu beraten. AV-TEST begrüßt die aktuelle Maßnahme daher. Sie entspricht einem nötigen Mindeststandard für IoT-Sicherheit, die alle von AV-TEST zertifizierten Geräten längst erfüllen und dies in ausgiebigen Tests regelmäßig unter Beweis stellen.
Das AV-TEST Versprechen an IoT-Nutzer
Sicherheitstests vernetzter Geräte erfordern eine komplexe Betrachtungsweise. Dabei gilt es, das Gesamtbild der Datensicherheit von Smart Home- und IoT-Geräten sowie angeschlossener Onlinedienste widerzuspiegeln. Um die Status-Label „Geprüftes Smart Home Produkt“ oder „Geprüftes IoT Produkt“ zu erhalten, müssen Geräte und Dienste den von AV-TEST gesetzten Mindeststandard in den folgenden Kategorien erfüllen:
- Kommunikation
- Datenschutz
- Applikationssicherheit
Smart Home-Produkte, die das AV-TEST Zertifikat tragen, gewährleisten ihren Kunden somit vollumfänglich überprüfte Sicherheit nach neuestem Stand der Technik. Die Sicherheitsanalyse umfasst sowohl Daten, die bei der Nutzung von Smart-Home-Produkten und angeschlossenen Diensten entstehen sowie deren sichere Übertragung und Speicherung. Aufgedeckte potentielle Schwachstellen und Ansätze für Angreifer werden darüber hinaus unter realistischen Einsatzbedingungen überprüft. Dabei müssen sich im Test alle Komponenten einer angebotenen IoT-Lösung bewähren, vom Gerät über die App, bis hin zu angebundenen Cloud-Diensten. Selbstverständlich überprüft AV-TEST auch die sichere Kommunikation zwischen all diesen Komponenten. Nur wenn diese Bedingungen bei einem IoT-Produkt komplett erfüllt sind, vergeben wir das AV-TEST Siegel.
Daran wird sich auch in Zukunft nichts ändern.
Mit besten Grüßen,
Maik Morgenstern, CTO AV-TEST