Sicherheitslücken bei Smart Home & IoT: Hersteller arbeiten "inakzeptabel"

"Fast 4 von 5 untersuchten Firmen schaffen es weiterhin nicht, auch nur grundlegende Maßnahmen umzusetzen, um Sicherheitslücken melden zu können." Das sei "inakzeptabel" und "sollte Regulierungsbehörden, Endverbrauchern und Firmenkunden Sorgen bereiten". Das ist die Einschätzung der Industrievereinigung IoT Security Foundation (IoTSF), die seit 2018 zum dritten Mal mehrere Hundert Firmen untersucht hat, die IoT- und Smart-Home-Geräte verkaufen, aber etwa auch WLAN-Router und Computer.

Die IoTSF hat dabei nicht die Sicherheit der IoT-Geräte untersucht, sondern die Konzepte und Policies der jeweiligen Hersteller, um Sicherheitslücken überhaupt nachvollziehbar melden zu können, etwa durch Sicherheitsforscher. Dazu gehört auch, dass Firmen diese Sicherheitslücken nachprüfen, veröffentlichen (Disclosure) und letztendlich schließen.

Hintergrund der IoTSF-Untersuchung aus dem November 2021 (PDF-Datei) ist unter anderem, dass manche Länder wie die USA und auch die EU (ETSI TS 103 701) bald schärfere Regeln für den Umgang mit IoT-Sicherheitslücken durchsetzen wollen. Firmen, die diese Regeln nicht einhalten, können dann irgendwann ihre Produkte auf diesen Märkten nicht mehr verkaufen.

Deutliche Unterschiede

Die IoTSF-Studie stellt deutliche Unterschiede je nach Produktkategorie fest. So haben alle der untersuchten Firmen, die Smart-TV-Geräte verkaufen, öffentlich nachvollziehbare Policies zur Meldung von Sicherheitslücken umgesetzt, aber etwa nur 12,5 Prozent der Hersteller vernetzter Audiogeräte, 4,9 Prozent der Hersteller smarter Lampen und 19,6 Prozent der Hersteller von "Security"-Produkten wie elektronischen Türschlössern und Alarmanlagen.

Immer wieder kommen Untersuchungen zu dem Schluss, dass es um die Sicherheit vernetzter Geräte schlecht bestellt ist. Das betrifft auch vernetzte Business-Geräte und Medizinelektronik.

(ciw)