Cybersecurity Certified (CSC)

TÜV-geprüfte IoT-Sicherheit

03.03.2021
Von 
Jürgen Hill ist Chefreporter Future Technologies. Thematisch befasst sich der studierte Diplom-Journalist und Informatiker derzeit mit aktuellen IT-Trendthemen wie KI, Quantencomputing, Digital Twins, IoT, Digitalisierung etc. Zudem verfügt er über einen langjährigen Background im Bereich Communications mit all seinen Facetten (TK, Mobile, LAN, WAN). 
Der TÜV will künftig IoT-Devices für den Consumer-Bereich auf ihre Security überprüfen. Ein Zertifikat soll die Verbraucher dann bei der Kaufentscheidung unterstützen.
Um das Vertrauen in die IoT-Sicherheit ist es nicht gut bestellt: Zwei von drei Deutschen befürchten, dass IoT-Devices im Smart Home Ziel eines Hacker-Angriffs werden.
Um das Vertrauen in die IoT-Sicherheit ist es nicht gut bestellt: Zwei von drei Deutschen befürchten, dass IoT-Devices im Smart Home Ziel eines Hacker-Angriffs werden.
Foto: Andrey Suslov - shutterstock.com

Ähnlich dem bekannten GS-Siegel (Geprüfte Sicherheit), das eine gewisse Produktsicherheit gewährleisten soll, will der TÜV demnächst mit dem Prüfzeichen CSC ein Zertifikat für IoT-Devices vergeben. CSC steht dabei für "CyberSecurity Certified". Mit dem Siegel will der TÜV bei den deutschen Bürgern für Vertrauen in Sachen smarten, vernetzten Produkten werben.

Verbrauchern fehlt Vertrauen in IoT-Devices

Dies scheint auch dringend notwendig zu sein: Laut einer aktuellen, vom TÜV in Auftrag gegebenen Forsa-Studie sehen zwei von drei Deutschen ein sehr hohes Risiko, dass Smart-Home-Produkte Ziel eines Hacker-Angriffs werden. Auch um das Vertrauen in die Hersteller der IoT-Geräte ist es laut der Forsa-Umfrage vom Januar 2021 nicht zum Besten gestellt: Fast 70 Prozent der Consumer haben große Sorge, dass die smarten IoT-Devices ihre persönlichen Daten missbrauchen. Zudem ist vier von fünf Befragten unklar, wie gut die Geräte gegen Cyberangriffe geschützt werden. Entsprechend gering ist auch das Vertrauen in die Sicherheitsmaßnahmen der Hersteller - lediglich ein Drittel verlässt sich auf die in den Geräten verbauten Sicherheitsfunktionen.

Fast 70 Prozent der Consumer haben große Sorge, dass die smarten IoT-Devices ihre persönlichen Daten missbrauchen.
Fast 70 Prozent der Consumer haben große Sorge, dass die smarten IoT-Devices ihre persönlichen Daten missbrauchen.
Foto: Gorodenkoff - shutterstock.com

Diesen Security-Gefahren wollen die TÜV-Unternehmen mit einer Prüfung und Zertifizierung vernetzter Produkte im Internet of Things begegnen. "Bei der Prüfung nehmen wie nicht nur die Geräte unter die Lupe, sondern haben auch die Prozesse im Unternehmen, Datenschutzaspekte und Services wie die Cloud-Anbindung im Blick", erklärt Dirk Stenkamp, Präsident des TÜV-Verbands (VdTÜV). die Prüfung orientiert sich laut TÜV an international anerkannten Normen und Standards. So würden unter anderem der Passwortschutz, die Verfahren für die Authentifizierung, sowie das Patch- beziehungsweise Update-Management geprüft. Ferner werde mit Penetrationstests untersucht, wie gut die einzelnen Sicherheitsmaßnahmen der Devices in der Praxis funktionieren.

Drei TÜV-Prüf-Level für IoT-Geräte

Je nach Produkt und Risikoeinschätzung sollen dazu, so heißt es beim TÜV, die drei Prüf-Level Basic, Substantial und High zur Auswahl stehen. Dabei kämen beijeder Stufe zusätzliche Prüfpunkte hinzu -etwa die Einbindung der Zulieferer. "Die IT-Sicherheit smarter Geräte fängt schon bei den Vorprodukten wie den verwendeten Chips an", erläutert Stenkamp.

Um mehr Vertrauen in IoT-Devices will der Tüv mit dem Zertifikat "CyberSecurity Certified" - kurz CSC - werben.
Um mehr Vertrauen in IoT-Devices will der Tüv mit dem Zertifikat "CyberSecurity Certified" - kurz CSC - werben.
Foto: TÜV Nord Group

Für sein CSC-Siegel wirbt der TÜV mit zwei Argumenten: Zum einen gebe es den Verbrauchern beim Kauf mehr Informationen zur Produktauswahl an die Hand, zum anderen könnten sich so Hersteller von ihren Wettbewerbern differenzieren. Darüber hinaus, so die Hoffnung beim TÜV, könne das CSC-Zeichen ein Anreiz für die Hersteller sein, mehr in die IT-Sicherheit zu investieren. Denn neben der funktionalen müsse auch die digitale Sicherheit künftig fester Bestandteil eines Produkts sein. Einen Rechtsrahmen hierfür schafft innerhalb der EU der Cybersecurity Act. Der TÜV-Verband empfiehlt, den Cybersecurity Act umfassend anzuwenden, um Sicherheitsanforderungen für Produkte, Services und Prozesse zu definieren. Die sektorspezifischen Richtlinien der einzelnen Produktgruppen sollten sich dabei konsequent auf den Cybersecurity Act beziehen und dessen Möglichkeiten nutzen.

IoT als Basis für Botnetze?

Doch ungenügend gesicherte IoT-Devices sind nicht nur eine Gefahr für den Benutzer selbst. "Die Corona-Pandemie verstärkt das Problem", warnt Stenkamp, "derzeit sind Millionen Beschäftigte im Homeoffice. Ist beispielsweise eine vernetzte Lampe mit Schadsoftware infiziert, haben Hacker einen Fuß in der Tür und können den Laptop des Nutzers und darüber das Unternehmensnetzwerk angreifen." Sowohl der Internet-Router als auch alle anderen internetfähigen IoT-Geräte in einem Haushalt können Teil eines Botnetzes werden. Über ein solches IoT-Botnetz im Smart Home könnten kriminelle Hacker dann gezielt Webseiten oder andere Internetdienste angreifen, DDoS-Attacken auf kritische Infrastrukturen fahren, massenhaft Spam-Mails verteilen, Daten stehlen oder Nutzer und Unternehmen erpressen.

Eine Bedrohungsszenario, vor dem der TÜV zurecht warnt, auch wenn hierzulande die Gefahr von Botnetzen, gebaut auf Basis von IoT-Equipment im Smart Home, noch gering sein dürfte. Bislang verwenden nämlich, so das Ergebnis der Forsa-Umfrage, fast 80 Prozent der deutschen Verbraucher überhaupt keine smarten Hausgeräte. Wird intelligente Haustechnik eingesetzt, dann handelt es sich um vernetzte Steckdosen, Lampen sowie Heizungsthermostate. Anders sieht es dagegen im Bereich Unterhaltungselektronik aus. Fast zwei Drittel der Deutschen besitzen mittlerweile einen internetfähigen Fernseher und knapp jeder Vierte nutzt eine vernetzte Spielkonsole.