DIN-Spezifikation: Mehr Sicherheit im Smart Home

Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begrüßt die Veröffentlichung als wichtigen Meilenstein zur Einführung von Mindestsicherheitsstandards für Smart-Home-Geräte. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich wie z.B. IP-Kameras, Smart-TVs oder Smart Speaker. Die Inhalte der Spezifikation sind unter maßgeblicher Beteiligung des BSI als Editor des Dokuments sowie gemeinsam mit Herstellern und Prüfstellen entwickelt worden.

DIN-Spezifikation: Mehr Sicherheit im Smart Home

DIN-Spezifikation: Mehr Sicherheit im Smart Home – pixabay.com ©geralt (Creative Commons CC0)

„Grundsätzlich sind alle internetfähigen Geräte – insbesondere im Smart-Home-Bereich – potentielle Ziele für Cyber-Kriminelle. Mit dieser Spezifikation kann das IT-Sicherheitsniveau dieser Geräte deutlich gesteigert werden. Damit beschreiten wir den mit der Router-TR eingeschlagenen Weg zum besseren Schutz der Endverbraucher und der Internetinfrastruktur konsequent weiter und schaffen eine wertvolle Grundlage zur Ausgestaltung des IT-Sicherheitskennzeichens, das die Bundesregierung im Zuge des IT-Sicherheitsgesetzes 2.0 einführen will. Gemeinsam mit dem DIN überlegen wir derzeit außerdem, die Spezifikation in ein europäisches Normungsvorhaben zu überführen“, so BSI-Präsident Arne Schönbohm.

Konkret fordert die DIN SPEC 27072 u.a. eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik, wie z.B. in der Reihe von Technischen Richtlinien BSI TR-02102 beschrieben.

Geräte, die diese Anforderungen erfüllen, bieten für den Supportzeitraum des Herstellers ein Basissicherheitsniveau, das sie vor skalierbaren Cyber-Angriffen aus dem Internet schützen kann, wie sie etwa mit der Schadsoftware Mirai durchgeführt werden. Dazu gibt das Dokument Herstellern konkrete Anhaltspunkte für die Umsetzung von Security-by-Design und Security-by-Default. Diese Prinzipien sollten generell bei der Konzeption und Entwicklung von IT-Produkten eingehalten werden. Dabei wird der komplette Produktlebenszyklus inklusive Auslieferung, Inbetriebnahme, Individualisierung und Außerbetriebnahme berücksichtigt.

Die Veröffentlichung richtet sich vor allem an Hersteller und Entwickler entsprechender Produkte, kann aber auch für Prüfstellen als Grundlage für Evaluierungs- und Zertifizierungsverfahren genutzt werden. So arbeitet das BSI aktuell daran, Produktzertifizierungen hinsichtlich der Konformität zur DINSPEC 27072 zu ermöglichen.

Beitrag teilen:


Kategorien: Recht & Sicherheit

Schlagworte:, ,