Digitaler Verbraucherschutz: Zahlreiche Sicherheitslücken bei IoT-Geräten, Routern & Gesundheits-Apps
Unzählige Sicherheitsvorfälle im IoT-Bereich
Erst zu Beginn des Jahres offenbarte eine Studie des TÜV-Verbandes die Sicherheitsbedenken vieler Bundesbürgerinnen und -bürger gegenüber Smart-Home-Geräten. 66 Prozent der Befragten glaubten dieser zufolge, dass ein sehr hohes Risiko bestehe, dass smarte Geräte Ziel eines Hacker-Angriffs werden. Die neue Untersuchung des BSI macht deutlich: Die Skepsis innerhalb der Bevölkerung hat durchaus ihre Berechtigung. Vor allem im Bereich der IoT-Anwendungen häuften sich im Jahr 2020 die Sicherheitsvorfälle. Hier wurden mitunter Sicherheitslücken in konkreten Produkten sowie Schwachstellen in der zentralen Sicherheitsarchitektur von IoT-Geräten und Hardware im Allgemeinen entdeckt. Betroffen waren unter anderem vernetzte Türklingeln oder smartes Spielzeug.
So berichtete eine auf Sicherheitsanalysen von IoT spezialisierte Firma in der Vorweihnachtszeit von über 7.000 Schwachstellen in 6 zufällig ausgewählten Produkten, darunter auch Kinderspielzeug. Veraltete Software mit bekannten Sicherheitslücken, unsichere Fernwartungszugänge oder eine mangelhafte Verschlüsselung bedrohten dabei die Intim- und Privatsphäre von Verbraucherinnen und Verbrauchern, insbesondere Kindern.
Den Gefahren, die mit derartig unsicheren Produkten im Consumer Internet of Things (CIoT) einhergehen, begegnet der TÜV-Verband nun mit dem neuen Prüfzeichen CyberSecurity Certified (CSC). Dieses soll entsprechende CIoT-Produkte nach den Prüfleveln Basic, Substantial und High kennzeichnen, zukünftig für mehr Vertrauen bei Verbraucherinnen und Verbrauchern sorgen und eine bessere Orientierung bieten.
Mängel in der IT-Sicherheit von WLAN-Routern
Als Herzstück jedes vernetzten Haushaltes kommt dem WLAN-Router – und vor allem seiner IT-Sicherheit – eine besondere Bedeutung zu. Dennoch stellte die Stiftung Warentest im März 2020 fest, dass knapp die Hälfte aller untersuchten Router Sicherheitsmängel aufwiesen. Bestätigt wurde dies auch im „Home Router Security Report 2020“, der vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) veröffentlicht wurde. Hier fanden die Expertinnen und Experten in allen 127 geprüften Geräten Schwachstellen. Bei einigen Exemplaren sogar Hunderte. 46 Router hatten zudem seit mindestens einem Jahr keine Sicherheits-Updates mehr erhalten.
Um die Sicherheit von WLAN-Routern perspektivisch zu verbessern und zu standardisieren, veröffentlichte das BSI im vergangenen Jahr die Prüfspezifikation zur Technischen Richtlinie für Breitband-Router. Damit schuf die Behörde die formellen Voraussetzungen für die Prüfung und Zertifizierung von Routern. Das Ziel: Die komplexen Sicherheitsanforderungen für Verbraucherinnen und Verbraucher transparent und sichtbar zu machen, so dass neben weiteren auch der Aspekt der IT-Sicherheit in die Kaufentscheidung einfließen kann.
Gesundheits-Apps: Nachholbedarf in Sachen IT-Sicherheit
Insbesondere Gesundheits-Apps, die mit sensiblen Daten arbeiten, haben im Allgemeinen einen erhöhten Schutzbedarf. Die Marktbeobachtung des BSI ergab allerdings, dass trotz der eigentlich hohen Schutzbedürftigkeit der Daten an zahlreichen Stellen in Sachen IT-Sicherheit noch Nachholbedarf besteht. So stieß die Behörde unter anderem auf fehlende Prozesse für Updates und den Umgang mit Schwachstellen oder eine unzureichende Umsetzung technischer und organisatorischer Maßnahmen.
Wie können Hersteller von IoT-Geräten bzw. Routern sowie Entwickler von Gesundheits-Apps sich vor Sicherheitslücken schützen?
Für Hersteller von Smart-Home-Geräten oder CIoT-Produkten empfiehlt sich das neue Cybersicherheitsschema „CyberSecurity Certified (CSC)“, das diese dabei unterstützt, einen Mindeststandard an Sicherheitsmaßnahmen zu implementieren und objektiv nachzuweisen. Abhängig von dem gewünschten Prüfumfang und der Prüftiefe können dabei die Sicherheitslevel Basic, Substantial und High (ab 2022) erreicht werden.
Hersteller von Breitband-Routern gibt das BSI in Form der TR-03148 einen effektiven Leitfaden an die Hand, der ein Mindestmaß an IT-Sicherheitsmaßnahmen in Form zu erfüllender Kriterien festlegt. Durch eine erfolgreiche Prüfung und Zertifizierung nach BSI TR-03148 können Router-Hersteller demnach belegen, dass ihre Produkte gegen mögliche Hackerangriffe abgesichert und mit Sicherheitsmaßnahmen nach dem Stand der Technik ausgestattet sind.
Entwickler von digitalen Gesundheits-Apps sollten ihre Anwendung – vor allem wenn sie eine kassenärztliche Zulassung anstreben – durch Penetrationstests prüfen lassen. Im Rahmen dieser identifizieren qualifizierte IT-Sicherheitsexpertinnen und -experten potenzielle Sicherheitslücken, die durch den Hersteller dann behoben werden können. Zusätzlich geben Assessments zu Datenschutz und Datensicherheit Aufschluss über den aktuellen Status quo einer Anwendung.
In jedem dieser drei Fälle steigern Hersteller und Entwickler das Sicherheitsniveau ihrer Produkte, identifizieren und eliminieren Schwachstellen und profitieren durch einen objektiven Vertrauensnachweis von Wettbewerbsvorteilen. Zudem wird der Grundsatz „Security by Design“ von Anfang an – und damit bereits im Entwicklungsprozess – berücksichtigt, um spätere Sicherheitslücken zu verhindern und ein ganzheitlich sicheres Produkt zu erhalten.
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit.
Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 14.000 Mitarbeitenden und Geschäftsaktivitäten in weltweit 100 Ländern als einer der größten Technologie-Dienstleister agiert. TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP. Der Geschäftsbereich IT wird vertreten durch die TÜV Informationstechnik GmbH und die im Januar 2018 neu gegründete Beratungsgesellschaft TÜV NORD IT Secure Communications GmbH & Co. KG mit Sitz in Berlin.
TÜV Informationstechnik GmbH
Am TÜV 1
45307 Essen
Telefon: +49 (201) 8999-9
Telefax: +49 (201) 8999-888
http://www.tuvit.de
Redakteurin
Telefon: +49 (201) 8999-658
E-Mail: v.lingemann@tuvit.de