Microsoft, Symantec und AVG warnen vor IoT-Datenverlust

Der Branchenverband Online Trust Alliance, dem unter anderem Microsoft, Symantec, ADT, AVG, Target, Truste und Verisign angehören, hat Sicherheitsrichtlinien (PDF) für IoT-Hersteller, -Entwickler und –Händler veröffentlicht. Darin fordern sie unter anderem nachhaltige Sicherheitsfunktionen für internetfähige Geräte. Andernfalls seien sie nur beim Kauf sicher und würden danach immer anfälliger für Datenverluste.

„Das könnte dazu führen, dass Hacker aus der Ferne Garagentore öffnen, Babyfones einschalten, die nicht mehr gepatcht werden, Fitness-Wearables infiltrieren, um Gesundheitsdaten auszuspähen, oder Schaden durch die Sabotage von internetfähigen Haushaltsgeräten anrichten“, heißt es in einer Pressemitteilung des Verbands.

Trotz der rasanten Zunahme von internetfähigen Produkten blieben viele Fragen in Bezug auf Sicherheit und Datenschutz ungeklärt, sagte Craig Spiezle, Executive Director der Online Trust Alliance. „Weiß ein Nutzer bei einem Fitness-Tracker beispielsweise, wer seine Daten sammelt und erhält? Wenn Sie ein Smart-Home-Produkt kaufen, wie sieht die langfristige Patch-Strategie nach Ablauf der Garantie aus? Wie schützen Hersteller Smart-TVs gegen Einbrüche und den Diebstahl von Daten über eingebaute Kameras und Mikrofone?“

Die IoT Trust Framework genannten Regeln sehen unter anderem vor, dass Hersteller schon vor dem Kauf ihre Datenschutzbestimmungen zur Verfügung stellen und jegliche persönlichen Daten nur verschlüsselt speichern und übertragen. Verbraucher müssten auch darüber informiert werden, welche Daten ein Gerät sammelt und überträgt und welche Funktionen eingeschränkt werden, wenn sie sich gegen die Weitergabe der Daten entscheiden.

Hersteller sollen sich zudem zu Penetrationstests ihrer eigenen Geräte verpflichten und Sicherheitslücken offenlegen. Außerdem sollen persönliche Daten nur dann an Dritte weitgegeben werden, wenn sie sich verpflichten, die Informationen geheim zu halten und nur für die vorgesehen Zwecke zu verwenden. Zudem sollen alle IoT-Geräte künftig mit einem individuellen Passwort ausgeliefert werden, das der Nutzer bei der ersten Verwendung des Geräts durch ein eigenes ersetzen muss.

Die Richtlinie ist bisher allerdings nur ein Entwurf. Hersteller, Entwickler und Händler können ihn noch bis zum 14. September 2015 kommentieren. Darüber hinaus will die Alliance auch Tools und Methoden anbieten, die eine Einstufung von Geräten nach dem IoT Trust Framework erlauben. Auch ein Zertifizierungsprogramm sowie ein freiwilliger Verhaltenskodex sind geplant.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

[mit Material von Toby Wolpe, ZDNet.com]