Secu­re by Design

Hin­ter­grund

Cyber­at­ta­cken und offen­bar wer­den­de Sicher­heits­lü­cken in Gerä­ten mit Inter­net­ver­bin­dung stel­len ein wach­sen­des Risi­ko für Nut­zer dar. Dar­aus resul­tiert ein gro­ßes Hin­der­nis für einen fort­schrei­ten­den Ein­satz des Inter­nets der Din­ge (IoT). Wäh­rend die EU sich bis­her nur zu Absichts­er­klä­run­gen hin­rei­ßen ließ, lie­fert das „Depart­ment for Digi­tal, Cul­tu­re, Media & Sport“ aus Groß­bri­tan­ni­en einen kon­kre­ten Kon­zept­vor­schlag. Die­ser sieht vor allem Her­stel­ler und IoT-Dienstleister in der Verantwortung.

Kon­kre­ter Inhalt

Der Vor­schlag des Depart­ments besteht aus drei­zehn Leit­li­ni­en, die sich zum Teil an bereits bestehen­den Best Prac­ti­ce Maß­nah­men ori­en­tie­ren. Die Leit­li­ni­en sind in der Rei­hen­fol­ge ihrer Bedeu­tung auf­ge­lis­tet (eine voll­stän­di­ge Auf­lis­tung fin­den Sie hier). Im Bereich der Pro­dukt­haf­tung wirkt sich das Kon­zept ver­stärkt auf die Kon­struk­ti­ons­pflicht der Her­stel­ler aus. Aber auch Instruktions- und Pro­dukt­be­ob­ach­tungs­pflicht sind wesent­lich betroffen.

An obers­ter Stel­le haben Her­stel­ler dafür zu sor­gen, dass bei allen IoT-Produkten ein­zig­ar­ti­ge Pass­wör­ter ver­wen­det wer­den und dass die­se nicht auf einen uni­ver­sel­len Stan­dard­wert zurück­ge­setzt wer­den kön­nen. Dar­über hin­aus sol­len Her­stel­ler sicher­stel­len, dass ihre Pro­duk­te recht­zei­tig und auf siche­re Wei­se Soft­ware­up­dates erhal­ten ohne dass dabei die Funk­ti­ons­fä­hig­keit des Pro­dukts beein­träch­tigt wird. Zusätz­lich müs­sen Her­stel­ler im Rah­men einer „end-of-life poli­cy“ ange­ben, über wel­chen Zeit­raum das Pro­dukt Soft­ware­up­dates erhal­ten soll. Nicht zuletzt obliegt den Her­stel­lern die Gewähr­leis­tung einer ver­schlüs­sel­ten Über­tra­gung sicher­heits­re­le­van­ter Daten via Internet. 

Schließ­lich wirkt sich das Kon­zept auch auf die Instruk­ti­ons­pflicht der Her­stel­ler aus. Dem Nut­zer soll z.B. die Not­wen­dig­keit einer jeden Aktua­li­sie­rung deut­lich gemacht und eine benut­zer­freund­li­che Umset­zung ermög­licht wer­den. Außer­dem soll der Nut­zer kla­re Anwei­sun­gen erhal­ten, wie er per­so­nen­be­zo­ge­ne Daten auf dem Pro­dukt löschen kann. Vor dem Hin­ter­grund, dass Gebrauchs­an­wei­sun­gen in jeder Hin­sicht auch von dem am gerings­ten infor­mier­ten Nut­zer ver­stan­den wer­den müs­sen, besteht ein erheb­li­cher Erklärungsaufwand.

Als zweit­wich­tigs­ten Punkt sieht das Kon­zept vor, dass Her­stel­ler zur Offen­le­gung von Schwach­stel­len einen öffent­li­chen Ansprech­part­ner bereit­stel­len. Her­stel­ler müs­sen ihr Pro­dukt nicht nur hin­sicht­lich Sicher­heits­lü­cken und not­wen­di­ger Updates beob­ach­ten, son­dern auch für einen Kom­mu­ni­ka­ti­ons­pro­zess bereit­ste­hen. So ent­ste­hen außer­dem Mit­tei­lungs­pflich­ten hin­sicht­lich ent­deck­ter Risi­ken oder aus­ge­setz­ter Attacken.

Fazit

Das Kon­zept gibt Auf­schluss über die Risi­ko­ver­tei­lung zukünf­ti­ger Geset­ze im Bereich der Cyber­se­cu­ri­ty. Das Depart­ment wird die frei­wil­li­ge Umset­zung und deren Wirk­sam­keit im lau­fen­den Jahr beob­ach­ten. Bewei­sen sich die Leit­li­ni­en als effek­tiv, kann das Kon­zept euro­pa­weit als Vor­bild die­nen. Her­stel­ler sind im Inter­es­se ihrer Wett­be­werbs­fä­hig­keit und im Inter­es­se eines redu­zier­ten Haf­tungs­ri­si­kos gut bera­ten, früh­zei­tig ent­spre­chen­de Sicher­heits­stan­dards zu implementieren.