Informationssicherheits- und Risikomanagement
Cybersecurity für
Smart-Home-Geräte ist Herstellersache
Immer mehr Geräte sind vernetzt, auch bei uns zu Hause. Für den Betrieb der Geräte ist menschliches Eingreifen nicht mehr nötig – sie wissen selbst, wann und wie sie agieren müssen. Sie sind dafür da, unser Leben effizienter und sicherer zu machen, doch gefährden sie eventuell auch die Sicherheit des Nutzers? Mit der zunehmenden Anzahl von Netzwerkverbindungen rückt der Cybersecurity-Aspekt immer mehr in den Fokus.
(Bild: UL Underwriters Laboratories)
Ein anschauliches Beispiel sind Heimüberwachungskameras und Video-Türsprechanlagen. Mit ein wenig technischer Erfahrung könnte sich ein Angreifer bei einigen Geräten selbst Zutritt zum Haus verschaffen. Verbraucher reagieren daher immer sensibler auf die Themen Datenschutz und Informationssicherheit. Dadurch ändert sich möglicherweise auch deren Konsumverhalten: Für mehr Sicherheit geben sie möglicherweise auch mehr aus. So rechtfertigt sich ein höherer Preis für hochwertigere, und damit sicherere Geräte. Zudem ergibt sich auch die Möglichkeit, verschiedene Produktlinien mit unterschiedlichen Sicherheitsleveln anzubieten. Dadurch können Konsumenten entscheiden, wie viel sie zusätzlich für Sicherheit ausgeben möchten. Käufer können nicht jedes Produkt, das sie kaufen möchten, auf mögliche Risiken überprüfen – das Wappnen gegen gängige Risiken ist Herstellersache. Neu ist bei smarten Geräten, dass Hersteller für die laufende Sicherheit während der gesamten Lebensdauer verantwortlich sind. So sind Software-Updates bei vernetzten Produkten ein Muss, wenn es um Cybersicherheit geht. Mögliche Cyberattacken reichen von der Öffnung elektronischer Schlösser über das Auslösen des Feueralarms bis hin zu Cyber-Spionage und DDoS-Attacken. Derzeit sind Angriffe noch selten – doch mögliche Risiken müssen bereits jetzt von Herstellern bedacht werden. Sie müssen Informationssicherheit gewährleisten, etwa durch die korrekte Anwendung von Hash-Funktionen bei der Speicherung von Passwörtern, die Auswahl geeigneter kryptografischer Algorithmen zur Herstellung von Vertraulichkeit oder den gezielten Einsatz von Firewalls und Paketfiltern.
Mögliche Angriffe können mit methodischer Risikoanalyse und -bewertung verringert werden, schreibt Patrizia Campi, Business Development Manager, Cyber Security Practice for Mobility and Smart Homes bei UL. (Bild: UL Underwriters Laboratories)
Die häufigsten Gründe für die Angreifbarkeit von smarten Geräten
Nicht nur Hersteller sind gefragt, auch Nutzer sind für die Cybersicherheit von Smart-Home-Geräten verantwortlich. Aber was sind die häufigsten Gründe dafür, dass diese angreifbar sind?
- • Während der Produktentwicklung wurden Sicherheitsmaßnahmen nicht implementiert oder ausreichend getestet.
- • Lokale Netzwerke wie WLAN und Bluetooth werden vom Hersteller oft als vertrauenswürdig angenommen, obwohl diese – je nach Konfiguration – über vergleichsweise schwache Sicherheitseigenschaften verfügen. Aufgrund der Annahme, dass die Kommunikation über geringe Distanzen stattfindet, wird nicht ausreichend auf Authentifizierung Wert gelegt.
- • Fehlen von Systemupdates, die bekannte Schwachstellen beheben könnten
- • Mangelhafte Konfiguration von Geräten durch Nutzer
In sechs Schritten verbessern Hersteller die Cybersicherheit von IoT-Produkten
Wie können Hersteller also für mehr Sicherheit bei smarten Geräten sorgen? Auch hier zeigt sich: Die Mischung macht’s. Die Sicherheit von Smart-Home-Produkten hat viel mit Netzwerk-Herausforderungen zu tun. Aber auch interne Prozesse beim Hersteller müssen mitspielen, um Sicherheit zu gewährleisten.
1. Authentifizierung erfordern
Starke Authentifizierungs- und Zugriffskontrollmechanismen stellen sicher, dass nur autorisierte Benutzer Zugriff auf Netzwerke und Daten erhalten.
2. Lebenszyklusüberwachung
Tools zur Geräteüberwachung können helfen, den Zustand von Firmware und Software beim Systemstart, während des Betriebs und in schwierigen Upgrade-Phasen zu überprüfen. Automatische Updates sollten standardmäßig aktiviert sein.
3. Verschlüsselung nutzen
Unabdingbar für den Schutz von Daten ist die Verschlüsselung auf Netzwerk- und Transportebene. Verschiedene netzwerkbasierte Angriffe können so verhindert werden.
4. Sichere APIs
API-Sicherheit ist unerlässlich für den sicheren Datenaustausch zwischen Geräten innerhalb eines LANs, aber auch über Netzwerkgrenzen hinweg zu Backend-Systemen.
5. Bedrohungen erkennen
Analysetechniken zur Überwachung von Netzwerkverkehr können helfen, Anomalien und Schwachstellen frühzeitig zu erkennen.
6. Prozesse stärken
Technologie ist ein Eckpfeiler der IoT-Sicherheit – trotzdem müssen auch interne Prozesse die Sicherheit unterstützen. Sicherheitsrichtlinien und Schulungsverfahren sollten klar definiert, regelmäßig aktualisiert und konsequent umgesetzt werden.
Dynamische Zertifizierung für smarte Produkte
Diese Schritte können helfen, IoT-Produkte sicherer zu machen. Sie sind Teil eines Informationssicherheits- und Risikomanagements, über das jeder Hersteller smarter Geräte verfügen sollte. Zertifizierungsorganisationen trainieren Mitarbeiter solcher Unternehmen regelmäßig in internen Schulungen darin, wie sie Sicherheitsanforderungen gerecht werden und die Cybersicherheit von Produkten testen können. Mit einem funktionierenden Sicherheits- und Risikomanagement steht auch der Zertifizierung nichts mehr im Weg. Nachweisen müssen Händler derzeit wenig, der Zertifizierungsrahmen für Cybersicherheit ist freiwillig. Klare Prüfkriterien zu schaffen, die auch die Sicherheit digitalisierter Produkte garantieren, ist aufgrund der dynamischen Situation gar nicht so einfach. Denn auch die Zertifizierung wird dynamisch, indem regelmäßig Neu-Zertifizierungen durchgeführt werden.
Empfehlungen der Redaktion
Das könnte Sie auch interessieren
Die Digitalisierung bietet mit virtuellen Medien und Simulationen ganz neue Möglichkeiten für die Planung von Sicherheitstechnik. So lassen sich über einen digitalen Gebäudezwilling bereits vor Baubeginn die erforderlichen technischen und baulichen Voraussetzungen definieren und erproben. Die Folge sind nicht nur zuverlässig hohe Sicherheitsstandards, sondern auch erhebliche Kosten- und Zeiteinsparungen. Die Potenziale einer softwarebasierten Planung zeigen sich zum Beispiel bei der Konzeption von Alarmierung und Evakuierung im Brand- und Gefahrenfall.‣ weiterlesen
Die Diskussion rund um das Thema Datenschutz macht auch vor den smarten vier Wänden nicht halt. Denn alles, was man selbst digital bedienen kann, könnten theoretisch auch unbefugte Dritte ansteuern. Hier setzt KNX Secure an und bietet einen wirksamen Schutz nach Bankenstandard im vernetzten Gebäude.‣ weiterlesen
Auf dem Markt für private Sicherheitstechnik gibt es einen kleinen Hype um Überwachungskameras mit WLAN-Funktion. Denn mit WLAN verbinden viele erst einmal Komfort. Ist Videoüberwachung jetzt noch einfacher, noch unkomplizierter zu realisieren? Ist Videoüberwachung per WLAN das neue Nonplusultra? Fakt ist: Videoüberwachung für Privathaushalte wird immer günstiger und ist längst nicht mehr den großen Villen vorbehalten. Aber die Euphorie sollte man durchaus kritisch betrachten, denn: WLAN macht vieles einfacher - Videoüberwachung aber nur in seltenen Fällen.‣ weiterlesen
Wenn der Bereich vor einer Gebäudeseite überwacht werden soll, gibt es verschiedene Möglichkeiten. Wer Details wünscht, platziert kostenintensiv mehrere Kameras, um die einzelnen Bereiche gezielt zu überwachen. Aber je mehr Kameras, umso schwerer wird es, bei einem Ereignis schnell zu reagieren und die einzelnen Kamerabilder dem Standort der Kamera zuzuordnen. Wenn also eine gute Übersicht vorrangig ist, eignet sich eine Kamera mit einem Weitwinkel-Objektiv. Die meisten herkömmlichen Kameras haben jedoch Objektive, deren Blickwinkel nicht weit über 100° hinaus gehen.‣ weiterlesen
Mit dem Neubau eines Abfertigungsterminals stieg die Reederei Norden-Frisia auf eine elektronische Zutrittsorganisation um. Schlüsselbücher gehören nun der Vergangenheit an. Jetzt steuert das elektronische Schließsystem BlueSmart, wer zugangsberechtigt ist.‣ weiterlesen
CES Omega Flex Elektronik-Zylinder und -Beschläge können einfach und ohne administrativen Aufwand oder Verkabelungen der Türen in Einbruch-Meldeanlagen (EMA) oder in Drittsysteme integriert werden. Mithilfe einer Universal-Funksteuerung werden die Zylinder oder Beschläge über 868MHz Funksingale gesteuert.‣ weiterlesen
Webinar ‚DataSecure-Kommunikation mit Luxorliving Funkmodulen‘
Sicherheit trotz Funkübertragung – durch eine Verschlüsselung nach KNX-DataSecure-Standard kann wirkungsvoll verhindert werden, dass gesendete Daten ausgelesen werden. Zu diesem Thema veranstaltet Theben am 25. November ein Webinar.
LiFi in Verkehrsflugzeugen
Latécoère, ein Zulieferer für internationale Flugzeugbauer, hat die industrielle Umsetzung seiner LiFi-Technologie bekannt gegeben. Grundlage ist eine Absichtserklärung, die mit Signify über die Trulifi-Technologie unterzeichnet wurde, sowie eine weitere Absichtserklärung über Datenkommunikationselektronik und -software mit Huneed Technologies.
E-Handwerke: Herbst-Konjunkturumfrage
Rund 1.400 Innungsfachbetriebe haben sich an der traditionellen Herbst-Konjunkturumfrage des ZVEH beteiligt und damit ein Bild von der momentanen Stimmungslage in den E-Handwerken geliefert.
Twin-Verteiler für Unterputz und Hohlwand
F-tronic erweitert sein Kleinverteiler-Sortiment um eine weitere Verteilervariante: Mit der neuen Twin-Verteilerserie für die Unterputz- und Hohlwandinstallation bietet der Hersteller die Lösung für eine platzsparende Verteilung.
Neue Geschäftsführung beim ZVEI
Dr. Wolfgang Weber (Bild), Vice President Unternehmenskommunikation und Regierungsbeziehungen für die Region Europa, Naher Osten und Afrika bei BASF, wechselt als Vorsitzender der Geschäftsführung zum ZVEI.
