Digitaler Verbraucherschutz: Zahlreiche Sicherheitslücken bei IoT-Geräten, Routern & Gesundheits-Apps

Unzählige Sicherheitsvorfälle im IoT-Bereich

Erst zu Beginn des Jahres offenbarte eine Studie des TÜV-Verbandes die Sicherheitsbedenken vieler Bundesbürgerinnen und -bürger gegenüber Smart-Home-Geräten. 66 Prozent der Befragten glaubten dieser zufolge, dass ein sehr hohes Risiko bestehe, dass smarte Geräte Ziel eines Hacker-Angriffs werden. Die neue Untersuchung des BSI macht deutlich: Die Skepsis innerhalb der Bevölkerung hat durchaus ihre Berechtigung. Vor allem im Bereich der IoT-Anwendungen häuften sich im Jahr 2020 die Sicherheitsvorfälle. Hier wurden mitunter Sicherheitslücken in konkreten Produkten sowie Schwachstellen in der zentralen Sicherheitsarchitektur von IoT-Geräten und Hardware im Allgemeinen entdeckt. Betroffen waren unter anderem vernetzte Türklingeln oder smartes Spielzeug.

So berichtete eine auf Sicherheitsanalysen von IoT spezialisierte Firma in der Vorweihnachtszeit von über 7.000 Schwachstellen in 6 zufällig ausgewählten Produkten, darunter auch Kinderspielzeug. Veraltete Software mit bekannten Sicherheitslücken, unsichere Fernwartungszugänge oder eine mangelhafte Verschlüsselung bedrohten dabei die Intim- und Privatsphäre von Verbraucherinnen und Verbrauchern, insbesondere Kindern.

Den Gefahren, die mit derartig unsicheren Produkten im Consumer Internet of Things (CIoT) einhergehen, begegnet der TÜV-Verband nun mit dem neuen Prüfzeichen CyberSecurity Certified (CSC). Dieses soll entsprechende CIoT-Produkte nach den Prüfleveln Basic, Substantial und High kennzeichnen, zukünftig für mehr Vertrauen bei Verbraucherinnen und Verbrauchern sorgen und eine bessere Orientierung bieten.

Mängel in der IT-Sicherheit von WLAN-Routern

Als Herzstück jedes vernetzten Haushaltes kommt dem WLAN-Router – und vor allem seiner IT-Sicherheit – eine besondere Bedeutung zu. Dennoch stellte die Stiftung Warentest im März 2020 fest, dass knapp die Hälfte aller untersuchten Router Sicherheitsmängel aufwiesen. Bestätigt wurde dies auch im „Home Router Security Report 2020“, der vom Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE) veröffentlicht wurde. Hier fanden die Expertinnen und Experten in allen 127 geprüften Geräten Schwachstellen. Bei einigen Exemplaren sogar Hunderte. 46 Router hatten zudem seit mindestens einem Jahr keine Sicherheits-Updates mehr erhalten.

Um die Sicherheit von WLAN-Routern perspektivisch zu verbessern und zu standardisieren, veröffentlichte das BSI im vergangenen Jahr die Prüfspezifikation zur Technischen Richtlinie für Breitband-Router. Damit schuf die Behörde die formellen Voraussetzungen für die Prüfung und Zertifizierung von Routern. Das Ziel: Die komplexen Sicherheitsanforderungen für Verbraucherinnen und Verbraucher transparent und sichtbar zu machen, so dass neben weiteren auch der Aspekt der IT-Sicherheit in die Kaufentscheidung einfließen kann.

Gesundheits-Apps: Nachholbedarf in Sachen IT-Sicherheit

Insbesondere Gesundheits-Apps, die mit sensiblen Daten arbeiten, haben im Allgemeinen einen erhöhten Schutzbedarf. Die Marktbeobachtung des BSI ergab allerdings, dass trotz der eigentlich hohen Schutzbedürftigkeit der Daten an zahlreichen Stellen in Sachen IT-Sicherheit noch Nachholbedarf besteht. So stieß die Behörde unter anderem auf fehlende Prozesse für Updates und den Umgang mit Schwachstellen oder eine unzureichende Umsetzung technischer und organisatorischer Maßnahmen.

Wie können Hersteller von IoT-Geräten bzw. Routern sowie Entwickler von Gesundheits-Apps sich vor Sicherheitslücken schützen?

Für Hersteller von Smart-Home-Geräten oder CIoT-Produkten empfiehlt sich das neue Cybersicherheitsschema „CyberSecurity Certified (CSC)“, das diese dabei unterstützt, einen Mindeststandard an Sicherheitsmaßnahmen zu implementieren und objektiv nachzuweisen. Abhängig von dem gewünschten Prüfumfang und der Prüftiefe können dabei die Sicherheitslevel Basic, Substantial und High (ab 2022) erreicht werden.

Hersteller von Breitband-Routern gibt das BSI in Form der TR-03148 einen effektiven Leitfaden an die Hand, der ein Mindestmaß an IT-Sicherheitsmaßnahmen in Form zu erfüllender Kriterien festlegt. Durch eine erfolgreiche Prüfung und Zertifizierung nach BSI TR-03148 können Router-Hersteller demnach belegen, dass ihre Produkte gegen mögliche Hackerangriffe abgesichert und mit Sicherheitsmaßnahmen nach dem Stand der Technik ausgestattet sind.

Entwickler von digitalen Gesundheits-Apps sollten ihre Anwendung – vor allem wenn sie eine kassenärztliche Zulassung anstreben – durch Penetrationstests prüfen lassen. Im Rahmen dieser identifizieren qualifizierte IT-Sicherheitsexpertinnen und -experten potenzielle Sicherheitslücken, die durch den Hersteller dann behoben werden können. Zusätzlich geben Assessments zu Datenschutz und Datensicherheit Aufschluss über den aktuellen Status quo einer Anwendung.

In jedem dieser drei Fälle steigern Hersteller und Entwickler das Sicherheitsniveau ihrer Produkte, identifizieren und eliminieren Schwachstellen und profitieren durch einen objektiven Vertrauensnachweis von Wettbewerbsvorteilen. Zudem wird der Grundsatz „Security by Design“ von Anfang an – und damit bereits im Entwicklungsprozess – berücksichtigt, um spätere Sicherheitslücken zu verhindern und ein ganzheitlich sicheres Produkt zu erhalten.