US-Technologiefirmen fordern nachhaltige Sicherheitsfunktionen für IoT-Geräte

InnovationWearable
Internet-of-Things (Bild: Shutterstock)

Im Branchenverband Online Trust Alliance zusammengefasste Firmen wie AVG und Symantec präsentieren dazu eine Sicherheitsrichtlinie für vernetzte Geräte. Sie soll Nutzer etwa über die Patch-Strategie eines Herstellers nach Ablauf der Garantie informieren. Zudem fordern sie eine Verschlüsselung aller persönlichen Daten.

Der Branchenverband Online Trust Alliance, zu dem unter anderem Microsoft, Symantec, AVG, Target und Verisign gehören, hat Sicherheitsrichtlinien (PDF) für Hersteller, Entwickler und Händler von Geräten für das Internet der Dinge (IoT) publiziert. Sie fordern darin beispielsweise nachhaltige Sicherheitsfunktionen für vernetzte Geräte. Andernfalls seien sie lediglich bei deren Erwerb sicher und würden danach immer verwundbarer für Datenverluste.

“Das könnte dazu führen, dass Hacker aus der Ferne Garagentore öffnen, Babyfones einschalten, die nicht mehr gepatcht werden, Fitness-Wearables infiltrieren, um Gesundheitsdaten auszuspähen, oder Schaden durch die Sabotage von internetfähigen Haushaltsgeräten anrichten”, heißt es in einer Pressemitteilung des Verbands.

Trotz der rapiden Zunahme von vernetzten und internetfähigen Produkten blieben noch viele Fragen bezüglich der Sicherheit und des Datenschutzes offen, sagte Craig Spiezle, Executive Director der Online Trust Alliance. “Weiß ein Nutzer bei einem Fitness-Tracker beispielsweise, wer seine Daten sammelt und erhält? Wenn Sie ein Smart-Home-Produkt kaufen, wie sieht die langfristige Patch-Strategie nach Ablauf der Garantie aus? Wie schützen Hersteller Smart-TVs gegen Einbrüche und den Diebstahl von Daten über eingebaute Kameras und Mikrofone?”

Die IoT Trust Framework genannten Regeln sehen etwa vor, dass Hersteller ihre Datenschutzbestimmungen bereits vor dem Kauf verfügbar machen und alle persönlichen Daten ausschließlich verschlüsselt speichern und übertragen. Verbraucher müssten zudem darüber informiert werden, welche Daten ein Gerät sammelt und überträgt beziehungsweise welche Funktionen limitiert werden, wenn Nutzer sich gegen die Weitergabe der Daten entscheiden.

Überdies sollen sich Hersteller zu Penetrationstests ihrer eigenen Geräte verpflichten und Sicherheitslücken preisgeben. Des Weiteren sollen persönliche Daten nur dann an Dritte übermittelt werden, wenn die sich verpflichten, die Informationen geheim zu halten und ausnahmslos für die vorgesehenen Zwecke zu nutzen. Darüber hinaus sollen alle IoT-Geräte künftig mit einem individuellen Passwort bereitgestellt werden, welches der Nutzer beim ersten Einsatz des Geräts durch ein eigenes ersetzen muss.

Allerdings handelt es sich bei der Richtlinie lediglich um einen Entwurf. Hersteller, Entwickler und Händler können ihn noch bis zum 14. September 2015 kommentieren. Zusätzlich will die Alliance auch Tools und Methoden offerieren, die eine Klassifizierung von Geräten nach dem IoT Trust Framework erlauben. Auch ein Zertifizierungsprogramm sowie ein freiwilliger Verhaltenskodex sind vorgesehen.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen