IoT-Produkte sind alltägliche Gegenstände mit Internetanschluss. Die Rede ist vom Internet der Dinge, auf Englisch: Internet of things (IoT). Sei es beispielsweise der Wlan-Toaster, das sprechende Plüschtier mit Internetanschluss oder auch Sexspielzeuge, die sich aus der Ferne steuern lassen. Die Bandbreite ist groß und wächst mit der Entwicklung ganzer Smart Homes noch weiter. Dabei wird diesen Dingen nicht immer die nötige Beachtung geschenkt. Denn was Internetzugang hat, kann auch gehackt werden.
Cyber Resilience Act für sicherere IoT-Produkte
Um den Missbrauch von IoT-Produkten einzuschränken, hat die Europäische Kommission im September 2022 den Cyber Resilience Act (CRA) verabschiedet, auf deutsch: EU-Gesetz zur Cyberresilienz. Hersteller werden dabei verpflichtet, Cyber-Sicherheit in allen Schritten zu beachten, die ein Produkt durchläuft, korrekt in der Planungsphase, der Entwurfsphase, der Entwicklung, wie auch der Produktion und bei der Lieferung. Zudem müssen Wartungen angeboten werden, etwa Updates, die die fortwährende Sicherheit gewährleisten sollen. Sie müssen mindestens innerhalb der ersten fünf Jahre zur Verfügung stehen.
Für erkannte Schwachstellen der Geräte besteht eine Meldepflicht sowie die Verpflichtung, potenzielle Sicherheitsmängel während der angenommenen Produktlebensdauer zu beseitigen. Diese beträgt maximal fünf Jahre.
Außerdem müssen Hersteller IoT-Produkte mit einer verständlichen Anleitung liefern, die über den sicheren Gebrauch informieren.
10 Passwort-Mythen aufgedeckt: So sorgen Sie für echte Sicherheit
Welche Regeln gelten für sichere Passwörter?
Effizienz des CRA fraglich
Die EU Kommission unterscheidet innerhalb des CRA zwischen IoT-Produkten der Kategorien “Standard”, “erste, kritische Klasse” sowie “Hochrisikoklasse”. Unter die Standard-Kategorie fallen dann unter anderem Bildbearbeitungsprogramme, digitale Lautsprecher wie auch Kinderspielzeuge. Alle diese Produkte kommen mit sehr persönlichen und sensiblen Daten in Berührung, allerdings besteht in dieser Kategorie keine Verpflichtung zu einer externen Prüfung. Die Unternehmen unterziehen sich dabei lediglich einer Selbstprüfung auf Konformität zum CRA.
In der ersten, kritischen Klasse befinden sich unter anderem Firewalls und Passwortmanager. Hier gilt für Unternehmen: Entweder müssen sie selbst einen Standardprüfungsprozess aufsetzen – sprich wieder Eigenverantwortung der Unternehmen – oder sie müssen sich von einem Drittunternehmen – keinem staatlichen Akteur – überprüfen lassen.
Auch in der dritten Kategorie, der Hochrisikoklasse gibt es keine offizielle Prüfstelle, Industrie-Firewalls, Betriebssysteme und CPUs beispielsweise müssen Drittanbieter testen. Dabei sind diese Produkte besonders relevant für die allgemeine und wirtschaftliche Sicherheit. Hacker können hier entsprechend großen Schaden anrichten.