IT-Sicherheit: Kommt das Gütesiegel für internetfähige Produkte?

Router_Guetesiegel_fuer_IT_SicherheitZählen Sie einmal, wie viele internetfähige Geräte Sie Zuhause nutzen. Da dürfte einiges zusammenkommen: Router, Laptop, Smartphone, Tablet, Fernseher, vielleicht sogar IP-Kamera, Alarmanlage, Thermostat, Spielkonsole, Internet-Radio und so weiter. Und zukünftig dürften es auch noch mehr werden, denn immer mehr Hersteller und Dienstleister entdecken die Vorteile einer Internetanbindung für ihre Geräte.

Wo Licht ist, ist jedoch auch Schatten. Denn mit der rasanten Zunahme internetfähiger Geräte steigt auch die Gefahr für Cyber-Angriffe exponentiell an. Erschwerend kommt hinzu, dass vor allem – aber nicht nur – private Endanwender oftmals nicht wissen, wie es um die Sicherheit ihrer Geräte bestellt ist.

Mit einem Gütesiegel für IT-Sicherheit will die Bundesregierung nun mehr Transparenz schaffen. Dabei hat sie ein großes Ziel vor Augen: das IT-Sicherheitsniveau in der Breite zu verbessern und die Folgen von Cyber-Angriffen zu minimieren.

Gute Idee, die ausgebaut werden muss

Grundsätzlich ist die Idee, ein solches Gütesiegel für internetfähige Consumer-Produkte zu etablieren, kein schlechter Ansatz. Gleich drei Bundesministerien (BMWi, BMI und BMJV) haben sich zusammengetan und arbeiten derzeit die Details zu zwei Pilotprojekten aus: Breitbandrouter und Produkte aus dem Smart-Home-Sektor. Die Entscheidung, gerade diese beiden Produktgruppen als Piloten zu wählen, verwundert nicht. Mit den Breitbandroutern wird die zentrale Instanz jedes Heimnetzwerks unter die Lupe genommen. Die Tatsache, dass Router die Schnittstelle zwischen dem eigenen Netz zuhause und dem Internet bilden, macht die Geräte immer wieder zu beliebten Zielen für breit angelegte Massenangriffe.

Wer jedoch glaubt, ein sicherer Router wäre das Allheilmittel, denkt zu kurz. Folgerichtig hat sich die Politik die Gruppe der Smart-Home-Produkte für das zweite Pilotprojekt ausgesucht. Gerade in diesem Feld drängt eine Vielzahl an Herstellern mit neuen Produkten offensiv auf den Markt. Häufig wird die IT-Sicherheit dabei vernachlässigt, vielfach fehlen selbst einfachste Sicherheitsfunktionen.

Aber: Ein IT-Sicherheits-Gütesiegel, das bei Routern und Smart-Home-Lösungen Schluss macht, wäre nur ein Tropfen auf den heißen Stein. Weitere große Angriffsflächen wie Smartphone, Laptops und Co. dürfen nicht außen vor bleiben.

Viele offene Fragen

Auch ist noch in weiten Teilen unklar, wie genau das Gütesiegel überhaupt aussehen soll. Wie soll zum Beispiel die Vergabe geregelt werden? Wird die Einhaltung von den Herstellern in Eigenregie geprüft und das Kennzeichen selbständig aufgebracht? Springt eine nichtstaatliche Instanz, wie zum Beispiel der TÜV, als Regulierer ein? Oder prüft und vergibt der Staat, beispielsweise über das BSI, das Gütesiegel selber?

Ebenfalls muss sichergestellt werden, dass das Gütesiegel keine falschen Hoffnungen auf hundertprozentige Sicherheit schürt. Diese kann und wird es nie geben. Ob mit oder ohne Siegel. Vielmehr geht es darum, die Einhaltung von Mindeststandards zu signalisieren.

Darüber hinaus muss klar sein, wie die Vergabe oder das rechtmäßige Aufbringen des Gütesiegels kontrolliert und wie eine widerrechtliche Nutzung sanktioniert werden kann.

Sicher ist jedoch, dass ein – sinnvoll aufgebautes und ausreichend bekannt gemachtes – Siegel das Potential hätte, Kaufentscheidungen positiv zu beeinflussen und zu helfen, den Vertrieb für Anbieter, die die Sicherheit ihrer Produkte bewusst vernachlässigen, zumindest deutlich zu erschweren.

Wirtschaft braucht anderen Ansatz

Einer der kritischsten Aspekte beim geplanten Gütesiegel ist jedoch der ausschließliche Blick auf den Konsumenten. Gerade auch die Wirtschaft – und hier insbesondere die kleinen und mittelständischen Unternehmen – braucht dringend eine Orientierungshilfe bei der Auswahl sicherer IT-Lösungen. Für sie ist ein Consumer-orientiertes Gütesiegel unbrauchbar. Denn: Das Gütesiegel soll dem Verbraucher verdeutlichen, dass er ein Produkt kauft, das die für ihn relevanten Mindeststandards für IT-Sicherheit erfüllt. Dabei geht es vor allem um einfache Sicherheitsmechanismen und -funktionen, die sich zum Beispiel per Knopfdruck aktivieren lassen. In Unternehmensanwendungen sind diese Themen durchweg komplexer und oftmals nicht einheitlich zu beantworten. Daher passt ein Gütesiegel für Consumer-Produkte in der Regel nicht auf Unternehmensanwendungen.

Abhilfe schaffen könnte hier eine neuartige „Low-Assurance-Zertifizierung“, wie sie seit einiger Zeit vom BSI angedacht ist. Sie könnte die Lücke zwischen dem neuen Gütesiegel für Privatkundenprodukte und der für weite Teile der Wirtschaft zu restriktiven „Common Criteria-Zertifizierung“ schließen. Wann – beziehungsweise ob – sie kommt, ist indes noch unklar.

Sicherheits-CE-Kennzeichnung

Auch sollte klar sein, dass ein Gütesiegel nur eine Übergangslösung sein kann. Der weitaus sinnvollere Weg wäre, den Marktzugang für unsichere Produkte zu verschließen. Denkbar wäre zum Beispiel eine Art Sicherheits-CE-Kennzeichnung. Diese wäre für alle Hersteller verpflichtend und würde im gesamten europäischen Wirtschaftsraum dafür sorgen, dass internetfähige Produkte ein Mindestmaß an IT-Sicherheit erfüllen. Gleichzeitig entstünde so ein konkreter Handlungsdruck bei allen Herstellern, und hochgradig unsichere Produkte könnten effektiv aus dem Markt gehalten werden. Ich hoffe, unsere zukünftige Bundesregierung nimmt sich in der kommenden Legislaturperiode auch dieses sehr wichtigen Themas an und treibt es auf europäischer Ebene voran.

Getagged mit: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Wenn Sie einen Kommentar hinterlassen, speichert das System automatisch folgende Daten:

  • Ihren Namen oder Ihr Pseudonym (Pflichtangabe / wird veröffentlicht)
  • Ihre E-Mail-Adresse (Pflichtangabe / wird nicht veröffentlicht)
  • Ihre IP (Die IP wird nach 60 Tagen automatisch gelöscht)
  • Datum und Uhrzeit des abgegebenen Kommentars
  • Eine Website (freiwillige Angabe)
  • Ihren Kommentartext und dort enthaltene personenbezogene Daten
  • Ich erkläre mich auch damit einverstanden, dass alle eingegebenen Daten und meine IP-Adresse nur zum Zweck der Spamvermeidung durch das Programm Akismet in den USA überprüft und gespeichert werden. Weitere Informationen zu Akismet und Widerrufsmöglichkeiten

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.