Sicheres Smart Home mit neuer DIN-Spezifikation

Das Deutsche Institut für Normung gab kürzlich eine neue DIN-Spezifikation zur Informationssicherheit von IoT-fähigen Geräten heraus. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich. Das BSI gab bekannt, es begrüße diese Veröffentlichung als wichtigen Meilenstein in der Sicherheit für Smart-Home-Geräte.

Das DIN hat mit der neuen DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für Geräte wie IP-Kameras, Smart-TVs oder Smart Speaker.

Die Inhalte der Spezifikation sind unter maßgeblicher Beteiligung des BSI als Herausgeber des Dokuments sowie gemeinsam mit Herstellern und Prüfstellen entwickelt worden.

"Grundsätzlich sind alle internetfähigen Geräte – insbesondere im Smart-Home-Bereich – potentielle Ziele für Cyber-Kriminelle. Mit dieser Spezifikation kann das IT-Sicherheitsniveau dieser Geräte deutlich gesteigert werden. Damit beschreiten wir den mit der Router-TR eingeschlagenen Weg zum besseren Schutz der Endverbraucher und der Internetinfrastruktur konsequent weiter und schaffen eine wertvolle Grundlage zur Ausgestaltung des IT-Sicherheitskennzeichens, das die Bundesregierung im Zuge des IT-Sicherheitsgesetzes 2.0 einführen will. Gemeinsam mit dem DIN überlegen wir derzeit außerdem, die Spezifikation in ein europäisches Normungsvorhaben zu überführen", so BSI-Präsident Arne Schönbohm.

Konkret fordert die DIN SPEC 27072 unter anderem eine sichere Update-Funktionalität sowie eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle. Außerdem verbietet sie die Nutzung von Standardpassworten im Netzwerkbetrieb.
Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik, wie etwa in der Reihe von Technischen Richtlinien BSI TR-02102 beschrieben.

Geräte, die diese Anforderungen erfüllen, bieten für den Supportzeitraum des Herstellers ein Basissicherheitsniveau, das sie vor skalierbaren Cyber-Angriffen aus dem Internet schützen kann.

Dazu gibt das Dokument Herstellern konkrete Anhaltspunkte für die Umsetzung von Security-by-Design und Security-by-Default.
Diese Prinzipien sollten generell bei der Konzeption und Entwicklung von IT-Produkten eingehalten werden. Dabei wird der komplette Produktlebenszyklus inklusive Auslieferung, Inbetriebnahme, Individualisierung und Außerbetriebnahme berücksichtigt.

Die Veröffentlichung richtet sich vor allem an Hersteller und Entwickler entsprechender Produkte, kann aber auch für Prüfstellen als Grundlage für Evaluierungs- und Zertifizierungsverfahren genutzt werden. So arbeitet das BSI aktuell daran, Produktzertifizierungen hinsichtlich der Konformität zur DIN SPEC 27072 zu ermöglichen.