Gesetzliche Regelungen für das smarte Heim
Bislang ist das Internet der Dinge noch der wilde Westen. Britische Behörden fordern nun ein Mindestmaß an Sicherheit.
Damit Nutzer im Smart Home keine Kopfschmerzen bekommen.
(Bild: TheVisualsYouNeed/Shutterstock.com)
Die Vernetzung scheint im Jahr 2020 keine Grenzen zu kennen. Jedes Gerät, das nicht bei Drei auf den Bäumen ist, wird mit WLAN oder Bluetooth ausgestattet. Produkte, von denen man sich das bis vor wenigen Jahren nicht einmal vorstellen konnte, verfügen mittlerweile über eine Internet-Anbindung – sei es der Fernseher, die Kaffeemaschine, die Mikrowelle, die Waschmaschine, der Lichtschalter, das Eingangsschloss oder die Klotür im Kaffeehaus.
Vernetzung ohne Sicherheit
Dabei ist es um integrierte Sicherheitsmaßnahmen in diesen Internet-of-Things-Gerätschaften (IoT) erstaunlich schlecht bestellt. Insbesondere billigere Hardware aus Fernost verfügt häufiger über altertümliche Software, die unsicher implementiert ist oder zumindest niemals mit Fehlerbehebungen aktualisiert wird. Eine Regulierung von IoT-Produkten findet bislang – mit Ausnahme dessen, was unter die Datenschutzgesetzgebung fällt – nicht statt. Es fehlt an Mindeststandards, was auch einer der Gründe ist, dass es immer wieder zu höchst problematischen Sicherheitslücken oder Hacks kommt. Die Hersteller kochen ihr eigenes Süppchen – und selbst Großkonzerne wie Amazon sind vor Angriffen nicht gefeit.
Die britische Regierung in Form des Ministeriums für Digitales, Kultur, Medien und Sport (Department for Digital, Culture, Media and Sport, DCMS) plant nun, mit einigen einfachen Regelungen für mehr Ordnung im wilden IoT-Westen zu sorgen. Sie wurden zusammen mit dem National Cyber Security Centre aufgestellt und könnten, wenn das Parlament so entscheidet, kurzfristig in Gesetzesform gegossen werden.
Drei einfache Regeln
Die "Regulatory Proposals Regarding Consumer Internet of Things (IoT) Security" umfassen nur drei einfache Grundregeln, bei denen man sich die Frage stellt, warum sie nicht schon längst europaweit gelten. Bestimmung 1 betrifft die schlichte Tatsache, dass es immer noch IoT-Geräte gibt, bei denen die Zugangspasswörter von den Herstellern vorgegeben werden, ohne dass die Kunden sie verändern können – oder es zumindest möglich ist, sie auf eine universelle Fabrikeinstellung (z.B. Username "Admin", Passwort "Admin") zurückzusetzen, deren Inhalt längst im Internet herumschwirrt. "Alle für Endkunden gedachte Passwörter mit dem Internet verbundener Geräte müssen einzigartig sein", so das DCMS.
Regel 2 klingt ebenso simpel, ist aber leider ebenfalls keineswegs Standard. Die britische Regierung verlangt, dass die Hersteller eine öffentlich zugängliche Stelle einrichten, an die sich alle Nutzer und Sicherheitsforscher wenden können, wenn sie eine Lücke in einem IoT-Produkt entdecken – "damit auf sie in angemessener Zeit reagiert werden kann". IT-Security-Experten kennen und hassen das Problem: Hersteller haben entweder keinen öffentlich einsehbaren Sicherheitsbeauftragten oder brauchen Monate, bis sie auf entsprechende Anfragen antworten (geschweige denn Probleme beheben).
Lesen Sie mehr zum Thema "IoT":
Vorgabe 3 hat wiederum mit der langfristigen Nutzbarkeit von IoT-Geräten zu tun. Das DCMS fordert, dass Hersteller ihren Kunden Angaben dazu machen müssen, wie lange sie für ein von ihnen verkauftes Gerät Sicherheitsupdates anbieten wollen. Diese Information muss bereits beim Verkauf erfolgen, sei es nun im Ladengeschäft oder bei einem E-Commerce-Anbieter.
Selbstverpflichtung oder Gesetz
Aktuell ist noch unklar, wie schnell die drei höchst sinnvollen neuen regulatorischen Regelungen für IoT-Hersteller in Großbritannien umgesetzt werden.
Die Regierung spricht davon, es "so schnell wie möglich" zu tun, will allerdings zunächst prüfen, ob auch freiwillige Selbstverpflichtungen möglich sind. Die Regeln sollen außerdem weiter überprüft und ausgebaut werden – auch in Zusammenarbeit mit "internationalen Partnern".
(bsc)
