MEINUNGSBAROMETER.INFO

DIGITALISIERUNG

AKTUELLE FACHDEBATTEN

Für Entscheider aus Medien, Politik, Wirtschaft & Gesellschaft


schliessen

Bitte hier einloggen:

Login

Passwort vergessen?
 
16.12.2017
Kopieren und anderweitige Vervielfältigungen sind nicht erlaubt.

KÜNFTIG GILT: KEINE VERNETZUNG OHNE SECURITY-MAßNAHMEN

Was Hersteller und Gesetzgeber für die IT-Sicherheit tun müssen

Lukas Linke, Cybersicherheits-Experte im ZVEI

Lukas Linke, Cybersicherheits-Experte im ZVEI [Quelle: ZVEI/Frederik Boettcher]


Für Lukas Linke, Cybersicherheits-Experte im ZVEI, ist klar, "dass wir mehr „Security-by-Design“ bei diesen Geräten brauchen – Hard- und Software müssen also bereits bei der Entwicklung möglichst unempfindlich gegen Angriffe konzipiert werden." In Sachen Sicherheit setzt er nicht erst beim fertigen Produkt, sondern schon beim Produktionsprozess an.


Das BSI klagt in seinem aktuellen Sicherheitsbericht, dass IT-Sicherheit bei IoT-Geräten keine oder nur eine untergeordnete Rolle spielt. Was muss die Politik gegen die Gefahr aus den vernetzten Alltagsgeräten tun?
Es stimmt, dass wir mehr „Security-by-Design“ bei diesen Geräten brauchen – Hard- und Software müssen also bereits bei der Entwicklung möglichst unempfindlich gegen Angriffe konzipiert werden. Weiterhin müssen sie so gestaltet werden, dass sie je nach Anwendungsfall Updates, ein Rollen- und Rechtemanagement, sichere Kommunikation und ggf. eine Ereignisprotokollierung zulassen. Die Industrie hat dafür bereits Standards geschaffen. Grundlegend für IoT-Security ist allerdings, dass wir vor allem die Organisations- und Prozessreife für Cybersicherheit berücksichtigen: Gute und vertrauenswürdige Produkte können nur aus einem sicheren Entwicklungs- und Produktionsprozess heraus kommen. Hier müssen Politik und Wirtschaft über Standardisierung und Regulierung hinaus zusammenarbeiten.

Unsichere IoT-Geräte schaden nicht nur dem Eigentürmer selbst, da sie laut BSI häufig für Attacken genutzt werden. Wer sollte in diesem Fall perspektivisch haften?
Hersteller müssen sich um Security-by-Design und Security-by-Default, d.h. die Standardeinstellungen entsprechen den höchsten Sicherheitsstandards, kümmern. Die Kunden und Anwender sind für den zweckgemäßen, sicheren Betrieb der IoT-Geräte verantwortlich. Diesen Zusammenhang und gegenseitige Wechselbeziehung wird auch das Internet der Dinge nicht auflösen. Das heißt, eine einseitige und allein verantwortliche Haftungszuschreibung kann es nicht geben. Wichtiger wird jedoch, dass Hersteller die Qualität, Sicherheit und Vertrauenswürdigkeit ihrer eigenen Drittprodukte, die sie selbst vor allem im Softwarebereich einsetzen, intensiv abfragen. Jeder Zulieferer und Hersteller sollte künftig in der Lage sein, klare Angaben zu seinen Security-Maßnahmen im Produkt und Prozess geben zu können.

Ebenfalls bedenklich sind aus Sicht des BSI Mobilgeräte, deren Betriebssystem oder deren Apps nicht auf aktuellem Stand sind. Sehen Sie hier Regelungsbedarf für Anbieter solcher Software?
Zunächst brauchen wir mehr Transparenz. Anbieter sollten klar angeben, ob und wenn ja wie lange die Software auf dem Gerät mit Security-Updates versorgt wird. Zweitens müssen wir auch die Hardware berücksichtigen. Noch zu viele IoT-Geräte sind allein von der Hardware nicht fähig, Updates (längerfristig) aufzunehmen. Hier müssen Lösungen gefunden werden, wie angesichts der z.T. extrem kurzen Produktzyklen von wenigen Monaten stets der Stand der Technik abgebildet werden kann. Das ist jedoch eine Aufgabe für Unternehmensprozesse und die Standardisierung – und nicht für die Regulierung. Drittens sollte es das gemeinsame Ziel von Politik und Industrie sein, eine Art Basis-Cybersicherheit für alle vernetzbaren IoT-Geräte zu definieren. Künftig gilt: Keine Vernetzung ohne Security-Maßnahmen. Aufgabe der Politik ist es hierbei, faire Rahmenbedingungen für alle Beteiligten, wie bspw. Hersteller und Importeure, zu gewährleisten.