Freiwillige Zertifizierung löst das Sicherheitsproblem nicht

26.10.2018
G DATA Blog

Hersteller von IoT-Geräten wie Überwachungskameras können sich nach dem Willen der EU-Kommission bald selbst Sicherheit bescheinigen. Verbesserungen beim Thema Sicherheit dürfte das kaum bringen.

Derzeit findet in Den Haag die gemeinsame Sicherheitskonferenz von ENISA (Europäische Agentur für Netz- und Informationssicherheit) und Europol statt. Die EU-Kommission nutzt diese Gelegenheit, für die europaweite Vereinheitlichung der Cybersicherheit zu werben. Ausgerechnet mit freiwilligen Zertifizierungen will die EU-Kommission das Sicherheitsproblem im Internet of Things in den Griff bekommen. Bei der untersten Stufe der Zertifizierung soll der Hersteller sich die Einhaltung der Sicherheit sogar selbst bescheinigen können. Der Vorschlag ist in seiner bisherigen Ausprägung daher zum Scheitern verurteilt (Link öffnet eine PDF-Datei in einem neuen Fenster).

Das Internet der Dinge gleicht derzeit zumindest im Bereich der Sicherheit ein bisschen dem „Wilden Westen“. Sicherheitsexperten warnen schon lange vor mangelhaft gesicherten Geräten, allerdings verhallen diese Warnungen in der Regel ungehört. Die EU-Kommission möchte deshalb ein Zertifizierungsmodell auf den Weg bringen, das für mehr Sicherheit im Internet der Dinge sorgt. Bereits im vergangenen Jahr hatte die US-Regierung einen entsprechenden Gesetzentwurf angeregt – wir berichteten darüber in einem Blogartikel.

Was ist ein "Audit"?

Der Begriff Audit beschreibt in diesem Zusammenhang eine Überprüfung von Produkten, Protokollen und Prozessen. Externe Spezialisten prüfen hier zum Beispiel die Einhaltung von Standards und die Widerstandsfähigkeit von Softwarekomponenten gegenüber externer Manipulation. Das bedeutet allerdings nicht, dass ein Produkt, welches im Zuge eines Audits als „sicher“ eingestuft wurde, auch wirklich sicher ist – denn Audit ist nicht gleich Audit.

An der Realität vorbei

Der Vorschlag ist zwar gut gemeint, dürfte an der beschriebenen Wild-West-Situation aber nur wenig ändern. Das dreistufige Zertifikat ist grundsätzlich freiwillig, auch wenn die einzelnen EU-Mitgliedsstaaten die Option haben, die Regelung zu verschärfen. Hersteller können sich entweder selbst zertifizieren oder mittels externer Audits ein höherwertiges Zertifikat erlangen. Auf nicht zertifizierte Hersteller hat die Regelung keinen Einfluss. Das Gros vor allem der billigen IoT-Geräte stammt aus Fernost. Dort fühlen Hersteller sich nicht immer an europäische Standards gebunden. Eine freiwillige Zertifizierung auf EU-Ebene dürfte hier nur sehr wenig bewegen.

Die Regelung ist in ihrer gegenwärtigen Form ein Papiertiger: So lange also eine wie auch immer geregelte Zertifizierung nicht verbindlich ist und so lange unsichere Geräte weiterhin verkauft und betrieben werden dürfen, wird sich nur wenig am Status quo ändern. Um die Sicherheit wirklich nachhaltig zu verbessern, müssen Regelungen her, die für alle Hersteller bindend sind. Ebenso muss eine tragfähige Regelung vorschreiben, was mit unsicheren Geräten geschieht: dürfen diese unter Auflagen weiter betrieben oder müssen sie außer Betrieb gesetzt werden? Diese Fragen bleiben unbeantwortet. Es bleibt zu hoffen, dass der Vorschlag für eine Verordnung in den Beratungen vom EU-Parlament in wichtigen Aspekten verschärft wird. Auf eine weichgespülte Regelung ohne verbindliche Standards und ohne Durchsetzungsstrategie kann die EU jedenfalls gut verzichten.

Tim Berghoff
Security Evangelist

Wichtige IT-Security-News per E-Mail

  • Aktuelle IT-Gefahren
  • Schutz-Tipps für Privatkunden
  • 15 % Willkommensgutschein