Smarte Geräte machen das Leben an vielen Stellen leichter. Auch bei der Sicherheit. Mit intelligenten Kameras kann man die eigenen vier Wände auch auf längeren Reisen absichern. Und wer smarte Schlösser in seiner Tür nutzt, muss keinen Schlüssel suchen. Allerdings sehen viele Hersteller in den intelligenten Helfern zuerst ein gutes Geschäft. Das Angebot ist entsprechend groß. Und gerade der recht aufwendige und damit teure Schutz vor Bedrohung dürfte bei so manchem Anbieter zu kurz kommen.
Damit die Rechte der Verbraucher hierbei nicht unter die Räder kommen, hat die Europäische Union (EU) am 10. Dezember 2024 das Gesetz über Cyberresilienz auf den Weg gebracht. Bis zum 11. Dezember 2027 muss dieses von den Mitgliedsstaaten in nationales Recht überführt werden.
In Deutschland sorgt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierfür und setzt als Beleg für die Beachtung der EU-Sicherheitsanforderungen auf das sogenannte IT-Sicherheitskennzeichen. Dieses stand bisher für die Auszeichnung von Routern, E-Mail-Diensten, mobilen Endgeräten und Lösungen für Videokonferenzen zur Verfügung. Verpflichtend für die Hersteller ist sie jedoch nicht.
Zertifizierung verlangt grundlegende Sicherheit
Nun wurde die Zertifizierung um smarte Sicherheitstechnik erweitert. Dabei greift das Bundesamt auf die Spezifikation VdS 6063 der VdS Schadenverhütung GmbH zurück. Diese entwickelte den Leitfaden ursprünglich zur Beurteilung der Cybersicherheit für Komponenten der Brandschutz- und Sicherungstechnik.
Im Wesentlichen besteht dieser Standard aus sechs einzelnen Segmenten, die vom jeweiligen Hersteller erfüllt werden müssen. Das beginnt mit einem Gebot zur Transparenz, das nicht nur eine Liste der verwendeten Komponenten und Sensoren beinhalten soll. Auch der Umgang mit bekannt gewordenen Sicherheitslücken muss dargelegt werden.
Mit Blick auf die Sicherheit muss der jeweilige Hersteller einen Zugriffsschutz einrichten, der zu starken Passwörter zwingt und deren Verschlüsselung gewährleistet. Letztere wird auch für die Kommunikationsprozesse gefordert. Darüber hinaus werden Sicherheitsupdates sowie eine Routine verlangt, die den Stand der Software auf dem jeweiligen Gerät überprüft und anzeigt. Außerdem soll die Prüfung auch erkennen, wenn ein Update aus einer falschen Quelle stammt.
Das BSI verlangt auch die Absicherung der Schnittstellen nach außen, um nicht erwünschte Zugriffe zu erschweren. Dazu zählt auch eine Überprüfung der darüber jeweiligen Eingaben auf Schadcode. Zentral ist zudem die Forderung nach einer unkomplizierten Nutzung. Schließlich ist ein Gerät nur dann sicher, wenn die nötigen Einstellungen Unbedarfte nicht überfordern. So wird beispielsweise ein einfaches Zurücksetzen von PINs und Passwörtern verlangt.
Wer beim Kauf darauf achtet, fährt sicher
Das IT-Sicherheitskennzeichen beachtet im Hinblick auf den Schutz vor Angreifern also alle wichtigen Bereiche smarter Sicherheitstechnik. Als Siegel lässt es sich leicht überprüfen – was längst nicht für alle dieser Badges gilt, die auf diversen Packungen Sicherheit werben.
Das BSI veröffentlicht eine Liste mit den aktuell zertifizierten Geräten. Jedes der Siegel verfügt über einen QR-Code, der zu einer Seite mit den nötigen Informationen führt.
