Internet of Things. Die erweiterte EU RED Richtlinie erzwingt höhere Standards für IoT Security ab 2024, heißt es beim Sicherheitsdienstleister IoT Inspector.
Das Internet der Dinge, insbesondere alle drahtlosen intelligenten Geräte, stellt ein wachsendes Risiko in der Informationstechnologie dar: Häufig fehlt längerfristig der Support, Sicherheitslücken werden nicht behoben – und weil die Geräte manchmal über Jahre sozusagen vergessen ihren Dienst verrichten, dabei aber ständig ins hauseigene Netzwerk eingebunden sind, tun sich damit Gefahren für Unternehmen und Haushalte auf.
Die Pläne der EU
Mit neuen Sicherheitsanforderungen will die EU-Kommission jetzt den Druck auf Hersteller, Integratoren und Händler von IoT Geräten erhöhen: Die neue Erweiterung zur sog. RED (Funkanlagenrichtlinie 2014/53/EU) soll ab 2024 EU-weit in Kraft treten und für alle in der EU zum Verkauf zugelassenen Geräte gelten.
„Wir begrüßen die Initiative der EU sehr. Bei Untersuchungen in unserem Labor finden wir oft gravierende Schwächen in nahezu allen drahtlosen Geräten. Die Spanne reicht dabei von Routern über Tablets, IP-Kameras, Smartspeakern, Babymonitoren bis zu smarten Geräten in Firmennetzwerken. Über diese Geräte können Hacker oft leicht Zugang zum lokalen Netzwerk, sensiblen Daten und Servern erhalten“, sagt Jan Wendenburg, seit Oktober neuer CEO des IT-Security-Unternehmens IoT Inspector. Man betreibt nach eigenen Angaben neben dem Testlabor auch die größte europäische Plattform zur automatisierten Überprüfung der Firmware von IoT-Geräten.
Problematisch ist laut Wendenburg derzeit noch die unzureichende Konkretisierung der Richtlinie. Damit werde eine Umsetzung für Hersteller erschwert – obwohl sie bald für alle Hersteller verbindlich in Kraft treten soll. „Router und IoT-Geräte sind in Unternehmensnetzen bis zu zehn Jahre im Einsatz, in privaten Haushalten oft noch länger. Die bisher fehlende Verpflichtung, über Updates der Firmware für mehr Sicherheit zu sorgen, ist ein unkalkulierbares Risiko“, so Wendenburg.
Kürzlich habe IoT Inspector schwere Sicherheitslücken in Komponenten von Realtek und Broadcom aufgedeckt: Aufgrund mangelnder Transparenz konnten sich diese Lücken in Supply Chain und Produktentwicklung auf hundertausende Geräte von bis zu 65 namhaften Herstellern ausbreiten, in denen die betroffenen Komponenten eingebaut wurden.
Betroffen seien u.a. Router, IP Kameras, smarte Beleuchtungssteuerungen und andere Geräte, die in Unternehmen und Haushalten weltweit zum Einsatz kommen. Eine Sicherheitsprüfung müsse bereits in der Produktentwicklung stattfinden, um potentielle Schwachstellen noch vor Markteinführung zu identifizieren und zu beheben, so Wendenburg.
