Informationssicherheits- und Risikomanagement

Informationssicherheits- und Risikomanagement

Cybersecurity für
Smart-Home-Geräte ist Herstellersache

Immer mehr Geräte sind vernetzt, auch bei uns zu Hause. Für den Betrieb der Geräte ist menschliches Eingreifen nicht mehr nötig – sie wissen selbst, wann und wie sie agieren müssen. Sie sind dafür da, unser Leben effizienter und sicherer zu machen, doch gefährden sie eventuell auch die Sicherheit des Nutzers? Mit der zunehmenden Anzahl von Netzwerkverbindungen rückt der Cybersecurity-Aspekt immer mehr in den Fokus.

 (Bild: UL Underwriters Laboratories)

(Bild: UL Underwriters Laboratories)

Ein anschauliches Beispiel sind Heimüberwachungskameras und Video-Türsprechanlagen. Mit ein wenig technischer Erfahrung könnte sich ein Angreifer bei einigen Geräten selbst Zutritt zum Haus verschaffen. Verbraucher reagieren daher immer sensibler auf die Themen Datenschutz und Informationssicherheit. Dadurch ändert sich möglicherweise auch deren Konsumverhalten: Für mehr Sicherheit geben sie möglicherweise auch mehr aus. So rechtfertigt sich ein höherer Preis für hochwertigere, und damit sicherere Geräte. Zudem ergibt sich auch die Möglichkeit, verschiedene Produktlinien mit unterschiedlichen Sicherheitsleveln anzubieten. Dadurch können Konsumenten entscheiden, wie viel sie zusätzlich für Sicherheit ausgeben möchten. Käufer können nicht jedes Produkt, das sie kaufen möchten, auf mögliche Risiken überprüfen – das Wappnen gegen gängige Risiken ist Herstellersache. Neu ist bei smarten Geräten, dass Hersteller für die laufende Sicherheit während der gesamten Lebensdauer verantwortlich sind. So sind Software-Updates bei vernetzten Produkten ein Muss, wenn es um Cybersicherheit geht. Mögliche Cyberattacken reichen von der Öffnung elektronischer Schlösser über das Auslösen des Feueralarms bis hin zu Cyber-Spionage und DDoS-Attacken. Derzeit sind Angriffe noch selten – doch mögliche Risiken müssen bereits jetzt von Herstellern bedacht werden. Sie müssen Informationssicherheit gewährleisten, etwa durch die korrekte Anwendung von Hash-Funktionen bei der Speicherung von Passwörtern, die Auswahl geeigneter kryptografischer Algorithmen zur Herstellung von Vertraulichkeit oder den gezielten Einsatz von Firewalls und Paketfiltern.

Mögliche Angriffe können mit methodischer Risikoanalyse und -bewertung verringert werden, schreibt Patrizia Campi, Business Development Manager, Cyber Security Practice for Mobility and Smart Homes bei UL. (Bild: UL Underwriters Laboratories)

Mögliche Angriffe können mit methodischer Risikoanalyse und -bewertung verringert werden, schreibt Patrizia Campi, Business Development Manager, Cyber Security Practice for Mobility and Smart Homes bei UL. (Bild: UL Underwriters Laboratories)

Die häufigsten Gründe für die Angreifbarkeit von smarten Geräten

Nicht nur Hersteller sind gefragt, auch Nutzer sind für die Cybersicherheit von Smart-Home-Geräten verantwortlich. Aber was sind die häufigsten Gründe dafür, dass diese angreifbar sind?

  • • Während der Produktentwicklung wurden Sicherheitsmaßnahmen nicht implementiert oder ausreichend getestet.
  • • Lokale Netzwerke wie WLAN und Bluetooth werden vom Hersteller oft als vertrauenswürdig angenommen, obwohl diese – je nach Konfiguration – über vergleichsweise schwache Sicherheitseigenschaften verfügen. Aufgrund der Annahme, dass die Kommunikation über geringe Distanzen stattfindet, wird nicht ausreichend auf Authentifizierung Wert gelegt.
  • • Fehlen von Systemupdates, die bekannte Schwachstellen beheben könnten
  • • Mangelhafte Konfiguration von Geräten durch Nutzer

In sechs Schritten verbessern Hersteller die Cybersicherheit von IoT-Produkten

Wie können Hersteller also für mehr Sicherheit bei smarten Geräten sorgen? Auch hier zeigt sich: Die Mischung macht’s. Die Sicherheit von Smart-Home-Produkten hat viel mit Netzwerk-Herausforderungen zu tun. Aber auch interne Prozesse beim Hersteller müssen mitspielen, um Sicherheit zu gewährleisten.

1. Authentifizierung erfordern

Starke Authentifizierungs- und Zugriffskontrollmechanismen stellen sicher, dass nur autorisierte Benutzer Zugriff auf Netzwerke und Daten erhalten.

2. Lebenszyklusüberwachung

Tools zur Geräteüberwachung können helfen, den Zustand von Firmware und Software beim Systemstart, während des Betriebs und in schwierigen Upgrade-Phasen zu überprüfen. Automatische Updates sollten standardmäßig aktiviert sein.

3. Verschlüsselung nutzen

Unabdingbar für den Schutz von Daten ist die Verschlüsselung auf Netzwerk- und Transportebene. Verschiedene netzwerkbasierte Angriffe können so verhindert werden.

4. Sichere APIs

API-Sicherheit ist unerlässlich für den sicheren Datenaustausch zwischen Geräten innerhalb eines LANs, aber auch über Netzwerkgrenzen hinweg zu Backend-Systemen.

5. Bedrohungen erkennen

Analysetechniken zur Überwachung von Netzwerkverkehr können helfen, Anomalien und Schwachstellen frühzeitig zu erkennen.

6. Prozesse stärken

Technologie ist ein Eckpfeiler der IoT-Sicherheit – trotzdem müssen auch interne Prozesse die Sicherheit unterstützen. Sicherheitsrichtlinien und Schulungsverfahren sollten klar definiert, regelmäßig aktualisiert und konsequent umgesetzt werden.

Dynamische Zertifizierung für smarte Produkte

Diese Schritte können helfen, IoT-Produkte sicherer zu machen. Sie sind Teil eines Informationssicherheits- und Risikomanagements, über das jeder Hersteller smarter Geräte verfügen sollte. Zertifizierungsorganisationen trainieren Mitarbeiter solcher Unternehmen regelmäßig in internen Schulungen darin, wie sie Sicherheitsanforderungen gerecht werden und die Cybersicherheit von Produkten testen können. Mit einem funktionierenden Sicherheits- und Risikomanagement steht auch der Zertifizierung nichts mehr im Weg. Nachweisen müssen Händler derzeit wenig, der Zertifizierungsrahmen für Cybersicherheit ist freiwillig. Klare Prüfkriterien zu schaffen, die auch die Sicherheit digitalisierter Produkte garantieren, ist aufgrund der dynamischen Situation gar nicht so einfach. Denn auch die Zertifizierung wird dynamisch, indem regelmäßig Neu-Zertifizierungen durchgeführt werden.

UL Underwriters Laboratories

Das könnte Sie auch Interessieren

Bild: ©PaeGAG/stock.adobe.com / Ziemer GmbH Elektrotechnik & Softwareentwicklung
Bild: ©PaeGAG/stock.adobe.com / Ziemer GmbH Elektrotechnik & Softwareentwicklung
Zeiterfassung und 
Anwesenheitskontrolle

Zeiterfassung und Anwesenheitskontrolle

Das Bundesarbeitsgericht (BAG) hat mit Beschluss vom 13. September 2022 (Az. 1 ABR 22/21) festgestellt, dass in Deutschland die gesamte Arbeitszeit der Arbeitnehmerinnen und Arbeitnehmer aufzuzeichnen ist. Arbeitgeber sind nach § 3 Abs. 2 Nr. 1 des Arbeitsschutzgesetzes (ArbSchG) – in unionskonformer Auslegung – verpflichtet, ein System einzuführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Moderne Technologien unterstützen Unternehmen bei der Umsetzung.

Bild: ©hallojulie/istockphoto.com
Bild: ©hallojulie/istockphoto.com
Gebäude für eine nachhaltige Zukunft gestalten

Gebäude für eine nachhaltige Zukunft gestalten

Das Internet der Dinge (IoT) verändert die Art und Weise, wie wir leben und arbeiten, in rasantem Tempo und schafft Möglichkeiten für Unternehmen, effizienter und nachhaltiger zu werden. Das gilt insbesondere für Gebäude, in denen IoT-Technologie eingesetzt

wird, um diese und deren Nutzung zu digitalisieren und zu optimieren, was zu Kosteneinsparungen und einer reduzierten Umweltbelastung führt. In diesem Artikel untersuchen wir, welche Rolle das IoT bei der Nachhaltigkeit von Gebäuden spielt, und wie drahtlose und batterielose Funksensoren Gebäude intelligenter, energieeffizienter und flexibler machen.

Bild: Signify GmbH / Jörg Hempel
Bild: Signify GmbH / Jörg Hempel
Intelligent beleuchten statt abschalten

Intelligent beleuchten statt abschalten

Europa muss Energie sparen. Was für das Heizen oder die Mobilität gilt, trifft auch auf die öffentliche Beleuchtung zu. Welche Leuchten sind notwendig und welche könnten gegebenenfalls abgeschaltet werden? Es sind Fragen wie diese, die die Kommunen des Landes beschäftigen. Wirft man einen Blick auf das Potenzial moderner Beleuchtungslösungen, wird klar, dass im schlichten Abschalten längst nicht der einzige Weg zu mehr Energieeffizienz liegt. Signify zeigt mit seinen Lösungen, was mit smart vernetzter LED-Beleuchtung möglich ist und wie diese den Alltag schon heute gestaltet.

Bild: Phoenix Contact Deutschland GmbH
Bild: Phoenix Contact Deutschland GmbH
USB-Power innerhalb der Verteilung

USB-Power innerhalb der Verteilung

Smart Meter Gateways, Raspberry Pis oder mobile Endgeräte lassen sich nun einfach verbinden und sicher per USB versorgen – mit einer neuen Generation der Step-Power-Stromversorgungen von Phoenix Contact. Der Vorteil: Die Netzteile sparen Platz im Schaltschrank durch den Einsatz der gerade einmal eine Teilungseinheit (1 TE = 18mm) breiten USB-Lader. Die klassische Kombination aus Steckdose und Steckernetzteil ist damit Geschichte.