Verbesserter Konsumentenschutz ist eines der Kernziele des ersten speziell auf Verbraucher fokussierten BSI-Berichts für digitale Sicherheit und Datenschutz. Ein Weg dahin könnte über  ein IT-Sicherheitskennzeichen führen, das EndanwenderInnen bei der Kaufentscheidung digitaler Produkten wie Smart-Home Systeme oder digitale Assistenten unterstützen soll.[1] Als besonders aktuelles Anwendungsfeld wurde die Cybersicherheit im Gesundheitswesen ausgewählt. Eine detaillierte Betrachtung verschiedener Gesundheitsanwendungen wurde bereits im Mai veröffentlicht.[2]

Die „digitalen VerbraucherInnen“

Nicht nur die tägliche Nutzung von Apps am Smartphone oder Tablet, auch die inzwischen alles durchdringende Datenverarbeitung in allen möglichen Systemen und Gadgets birgt neue Gefahren und Herausforderungen. Von Smart-Home Systemen über Fitnessarmbänder, Alexa oder Siri bis hin zu Pkws sind immer mehr Systeme mit IoT-Funktionen ausgestattet. Zwei wesentliche Komponenten dabei sind der Datenschutz und die IT-Sicherheit. Jeder Anwendende wird zu einer Datenquelle, die für den Einzelnen meist nicht durchschaubar und beherrschbar scheint.

Mehr Sicherheitsvorfälle im Internet of Things

Im Betrachtungszeitraum 2020 wurde vermehrt über Sicherheitsvorfälle in Zusammenhang Apps und IoT-Anwendungen berichtet. Die größten Sammlungen möglicher Schwachstellen sind unter Ripple20 und Amnesia33 bekannt geworden. Der BSI-Bericht geht davon aus, dass zwar die Sensibilisierung steigt, aber durch die vermehrte Integration von IT-Funktionen und Datenverarbeitung über Cloud/Internet dennoch die Anzahl an Sicherheitsvorfällen stark zunehmen wird.

 „Security by Design“

Geht es nach dem BSI, sollen künftig so viele Produkte wie möglich über ein IT-Sicherheitskennzeichen verfügen. Für Anwendende sollen die Sicherheitseigenschaften von IT-Geräten eindeutig erkennbar sein. Die Hersteller sind gefordert, Sicherheitsaspekte bereits in der Produktentwicklung zu berücksichtigen und fix zu integrieren. Der sichere Betrieb muss über die Lebensdauer des Geräts ermöglicht werden.[3]

Aktuell ist die Lage meist bescheiden: Einmal ausgeliefert, sind oft keine Updates für „smarte“ Geräte vorgesehen oder der Vorgang ist für Standard-User zu aufwändig und komplex. Ein  IT-Sicherheitskennzeichen scheint ein sinnvoller Weg, um den Anwendenden eine informierte Wahl zu ermöglichen. Dabei kommt es natürlich auf die Qualität und Umsetzung an, damit sich Anwendende nicht im schlimmsten Fall in falscher Sicherheit wiegen. Das BSI argumentiert: „Digitalisierung kann nur gelingen, wenn Informationssicherheit von Beginn an mitgedacht wird.“ Idealerweise trifft das auf Hersteller, aber auch auf Lehrpläne zu, um zukünftige UserInnen an einen bewussten und sicheren Umgang mit vernetzten Geräten heranzuführen.

Auch lesenswert:

Kinderschutz im Internet: Schützen und stärken und fördern

Von Smart-Home bis Enterprise: 5 Gefahrenmodelle für IoT-Hubs

Quellen:

[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/dvs-bericht_2020.pdf?__blob=publicationFile&v=6/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/gesundheitsapps.pdf?__blob=publicationFile&v=2/

[3] https://www.computerweekly.com/de/ratgeber/IT-SIG-20-Was-bringt-eine-Sicherheitskennzeichnung/