Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begrüßt die Veröffentlichung  der Spezifikation für Smart-Home-Geräte des Deutschen Instituts für Normung (DIN) als wichtigen Meilenstein zur Einführung von Mindestsicherheitsstandards. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich wie etwa IP-Kameras, Smart-TVs oder Smart Speaker. Die Inhalte der Spezifikation sind unter maßgeblicher Beteiligung des BSI als Editor des Dokuments sowie gemeinsam mit Herstellern und Prüfstellen entwickelt worden.

"Grundsätzlich sind alle internetfähigen Geräte – insbesondere im Smart-Home-Bereich – potentielle Ziele für Cyber-Kriminelle. Mit dieser Spezifikation kann das IT-Sicherheitsniveau dieser Geräte deutlich gesteigert werden. Damit beschreiten wir den mit der Router-TR eingeschlagenen Weg zum besseren Schutz der Endverbraucher und der Internetinfrastruktur konsequent weiter und schaffen eine wertvolle Grundlage zur Ausgestaltung des IT-Sicherheitskennzeichens, das die Bundesregierung im Zuge des IT-Sicherheitsgesetzes 2.0 einführen will. Gemeinsam mit dem DIN überlegen wir derzeit außerdem, die Spezifikation in ein europäisches Normungsvorhaben zu überführen", so BSI-Präsident Arne Schönbohm.

Inhalte der Spezifikation

Konkret fordert die DIN SPEC 27072 unter anderem eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik, wie beispielsweise in der Reihe von Technischen Richtlinien TR-02102 beschrieben.

Geräte, die diese Anforderungen erfüllen, bieten für den Supportzeitraum des Herstellers ein Basissicherheitsniveau, das sie vor skalierbaren Cyber-Angriffen aus dem Internet schützen kann, wie sie etwa mit der Schadsoftware Mirai durchgeführt werden. Dazu gibt das Dokument Herstellern konkrete Anhaltspunkte für die Umsetzung von Security-by-Design und Security-by-Default. Diese Prinzipien sollten generell bei der Konzeption und Entwicklung von IT-Produkten eingehalten werden. Dabei wird der komplette Produktlebenszyklus inkl. Auslieferung, Inbetriebnahme, Individualisierung und Außerbetriebnahme berücksichtigt.

Produktzertifizierungen durch das BSI in Arbeit

Die Veröffentlichung richtet sich vor allem an Hersteller und Entwickler entsprechender Produkte, kann aber auch für Prüfstellen als Grundlage für Evaluierungs- und Zertifizierungsverfahren genutzt werden. So arbeitet das BSI aktuell daran, Produktzertifizierungen hinsichtlich der Konformität zur DIN SPEC 27072 zu ermöglichen. (sg)