Am 18. März verkündete die Connectivity Standards Alliance (CSA) – ein Verbund von Technologieführern wie Apple, Amazon, Arm, Comcast, Google, Siemens, und Signify – Neuerungen im Anschluss an die FCC-Genehmigung eines neuen Cybersicherheits-Labelprogramms für Verbraucher-IoT-Geräte in den USA, parallel zum US Cyber Trust Mark. Obwohl beide Programme freiwillig sind, konkurriert das CSA-Label nicht mit dem Cyber Trust Mark. Es erweitert die US-Anforderungen um Sicherheitsstandards aus Programmen in Singapur und Europa. Das Ziel ist ein globales Spezifikations- und Zertifizierungsprogramm. Tobin Richardson, CEO der CSA, betont, das PSV-Mark (Product Security Verification Mark) solle weltweit anerkannt werden, damit Hersteller mit nur einem Zertifizierungsverfahren global verkaufen können. Dies würde Kosten senken und die Auswahl für Verbraucher erhöhen.
Das PSV-Mark ist bereits von Singapurs Cyber Security Agency anerkannt. Die CSA strebt nun eine Anerkennung mit Programmen in den USA, der EU und dem UK an. Richardson sieht eine hohe Wahrscheinlichkeit für gegenseitige Anerkennungen, es gehe nur noch um formale Details.
Umfangreiche Anforderungen an IoT Devices
Um das PSV-Mark zu erhalten, müssen Geräte den Anforderungen der IoT Device Security Specification 1.0 entsprechen und ein Zertifizierungsprogramm durchlaufen, das das Ausfüllen eines Fragebogens und die Bereitstellung begleitender Nachweise an ein autorisiertes Testlabor beinhaltet. Zu den Anforderungen gehören:
- Eindeutige Identität für jedes IoT-Gerät
- Keine fest codierten Standardkennwörter
- Sichere Speicherung sensibler Daten auf dem Gerät
- Gesicherte Kommunikation sicherheitsrelevanter Informationen
- Sichere Software-Updates während des gesamten Supportzeitraums
- Sicherer Entwicklungsprozess, einschließlich Schwachstellenmanagement
- Öffentliche Dokumentation zur Sicherheit, einschließlich des Supportzeitraums
Das freiwillige Programm gilt für die meisten vernetzten Smart-Home-Geräte, einschließlich Glühbirnen, Schalter, Smarte Heizkörperthermostate und Sicherheitskameras, und kann auch rückwirkend auf bereits auf dem Markt befindliche Produkte angewendet werden. Neben dem PSV-Mark gibt die CSA in ihrer Pressemitteilung an: „Ein gedruckter URL, Hyperlink oder QR-Code auf dem Mark gibt Verbrauchern Zugang zu weiteren Informationen über die Sicherheitsmerkmale des Geräts.“ Das Programm konzentriert sich speziell auf die Gerätesicherheit – also darauf, dass das physische Gerät selbst nicht zugänglich ist – und nicht auf die Privatsphäre. „Aber es gibt eine enge Verbindung, denn ohne Sicherheit kann es keine Privatsphäre geben“, sagt Richardson. Während Sicherheit die Privatsphäre beeinflusst, bietet dieses Programm keine vielen Anforderungen dazu, wie ein Hersteller die von einem Gerät gesammelten Daten verwendet. Die CSA hat eine separate Arbeitsgruppe für Datenschutz, die sich mit diesem Thema befasst.
Regelmäßige Re-Zertifizierungen
Die CSA wird ihre Spezifikationen regelmäßig aktualisieren und Unternehmen zur Neuzertifizierung alle drei Jahre verpflichten. Richardson erwähnt die Einführung eines Vorfallsreaktionsprozesses. Unternehmen müssen Sicherheitsprobleme, ähnlich wie Wyze sie erlebte, beheben, um eine Rezertifizierung zu erhalten. Hanna weist darauf hin, dass die CSA eine Datenbank zertifizierter Produkte führen wird, um Missbrauch des Labels zu verhindern. Zusätzlich ist geplant, diese Informationen über eine API bereitzustellen. Dies könnte Smart-Home-Apps ermöglichen, Nutzer über die Sicherheit eines Geräts zu informieren, bevor es sich mit dem Netzwerk verbindet.
Das freiwillige Programm vereinfacht die Regulierungseinhaltung für Hersteller und bietet Verbrauchern wichtige Sicherheitsinformationen. Laut Hollie Hennessy, einer Expertin von Omdia, könnte das Fehlen eines Sicherheitslabels Kaufentscheidungen erschweren. Ihre Forschung zeigt, dass Konsumenten eher zu Produkten mit Datenschutz- und Sicherheitskennzeichnung tendieren.
Hennessy betont, dass Standards, Zertifizierungen, Regulierungen und Gesetze kombiniert werden müssen, um Datenschutz- und Sicherheitsbedenken bei IoT-Geräten anzugehen. Sie sieht darin einen wesentlichen Fortschritt.