Security-Richtlinien für IoT
„My Smart Home is my Castle“
Fortsetzung des Artikels von Teil 3
keine klare Verbindlichkeit für Hersteller
Allerdings besteht nicht immer eine klare Verbindlichkeit für Hersteller, die zugleich unterschiedliche Auffassungen von Informationssicherheit vertreten. Für Kevin Behnisch, Leiter der Abteilung Smarte Technologien und Industrie beim VDE Prüf- und Zertifizierungsinstitut, entsteht dadurch ein in Kauf genommenes Risiko: „Dadurch, dass keine klaren Schranken aufgezeichnet werden, wird es immer auch Hersteller geben, die keinen Wert auf die Informationssicherheit legen und damit bewusst hohe Risiken für die Verbraucher und Anwender in Kauf nehmen.“ Daneben bestehen Anforderungen, die kaum realistisch erfüllbar erscheinen. Gesetzlich setzt beispielsweise der europäische Cyber Security Act (CSA) einen Rahmen. Dessen Bewertungsverfahren sind zwar in der Anwendung freiwillig, bedeuten für Hersteller jedoch gerade im Bereich der Informationssicherheit einen erheblichen Aufwand. Aus Sicht von Behnisch könnte eine horizontale Richtlinie unter dem NLF (New Legislative Framework) eine Alternative bieten. Ergänzt um harmonisierte Normen und Standards wäre es möglich, einheitliche Anforderungen beim Inverkehrbringen von Smart-Home-Produkten zu erfüllen. Der Vorteil bestünde darin, dass Innovationen und Neuentwicklungen in einer solchen Richtlinie schneller aufgenommen und an Anforderungen angepasst werden könnten. Inwieweit gesetzliche Anforderungen diesen mitwachsenden, veränderten Rahmenbedingungen der Installationsumgebung Rechnung tragen können, bleibt derzeit noch fraglich. Vielmehr müsste wohl zum derzeitigen Stand der Dinge ein erhöhtes Bewusstsein für eine fortwährende Pflege, samt Patches, Überwachung und Anpassung, zur Weiterentwicklung alle Komponenten im Netzwerk bestehen. Idealerweise wird der jeweilige Anwendungsfall der Geräte einbezogen und zugleich selbstständig die dafür benötigten Anforderungen aus den relevanten Normen erarbeitet, um Vorgaben für die Smart-Home-
Devices zu definieren.
Gemäß dem VDE sollten sich Hersteller so früh wie möglich mit den aktuellen Standards und Normen vertraut machen und grundsätzliche Anforderungen an die Informationssicherheit umsetzen. „Das hilft einerseits, die Anwender und Kunden zu schützen und andererseits sind die Hersteller bereits vorbereitet, wenn die Anforderungen gesetzlich verpflichtend werden sollten“, so Behnisch. Einen guten Einstieg bieten hierfür die Basisanforderungen der ETSI EN 303 645, aber auch der Normenreihe IEC 62443. In der langjährigen Praxis habe sich zudem eine Kombination aus gesetzten Normen und Standards von staatlichen Stellen oder interessierten Kreisen (zum Beispiel KMU oder Verbraucherschutz) in Verbindung mit deren Zertifizierung und Prüfung durch unabhängige Prüfinstitute (zum Beispiel DAkkS)
bewährt, welche im Bereich der Informationssicherheit weiter fortgeführt werden sollte, so Behnisch. Ein generischer Rahmen solle jedoch vorab zwingend vom Gesetzgeber gesetzt werden, betont Link. „So könne auf der normativen Ebene die Realisierung von Normen und Richtlinien erfolgen, die von Herstellern, Planern, Installateuren und Anwendern genutzt werden können.“
- „My Smart Home is my Castle“
- Der Druck ist zu noch gering
- Informationssicherheit und Schutz der Privatsphäre
- keine klare Verbindlichkeit für Hersteller
Lesen Sie mehr zum Thema
