Bundesrat will mehr IoT-Sicherheit

Vernetzte Produktionsmaschinen, Kühlschränke mit Chip, Mikrofon und Kamera im Spielzeug: Das Internet der Dinge kann vieles vereinfachen, birgt aber auch grosse Risiken. Der Bundesrat hat die Sicherheit des «Internet of Things» (IoT) im Auftrag des Nationalrats unter die Lupe genommen.

Wie bei vielen neuen Anwendungen stünden für die Hersteller nicht die Sicherheit, sondern der Nutzen und die Kosten im Vordergrund, schreibt der Bundesrat in einem am Mittwoch veröffentlichten Bericht (PDF). So erstaune es nicht, dass sich Medienberichte zu Sicherheitsproblemen und gezielten Angriffen häuften.

Der Bundesrat kommt zum Schluss, dass aufgrund des breiten Einsatzspektrums die Nutzer und Nutzerinnen von IoT-Geräten selbst die Sicherheit negativ beeinflussen können. Exemplarisch nennt er die leichtfertige Missachtung von Grundsätzen eines sicheren Betriebs oder den Betrieb unsicherer Produkte von unbekannten Herstellern. 

Es gelte, die Bevölkerung weiter zu sensibilisieren und dazu zu motivieren, die grundlegenden Verhaltensmassnahmen für einen sicheren Betrieb einzuhalten, heisst es im Bericht. Ein anderes Thema ist der Betrieb von IoT-basierten Systemen in Unternehmen. 

Diese müssten als integraler Bestandteil der IT-Infrastruktur erachtet werden, schreibt der Bundesrat. Dafür müssten die entsprechend bewährten Sicherheitsverfahren angewendet werden. Ein entsprechendes Risikomanagement könne Betreibern von IoT-Systemen helfen, sinnvolle Massnahmen zu definieren.

Parallel dazu müssen nach Ansicht des Bundesrats auch die Hersteller ihre Verantwortung wahrnehmen. Dazu gehört gemäss dem Bericht, dass beispielsweise bei Inbetriebnahme der Produkte Mindestanforderungen an die Informationssicherheit sowie den Datenschutz berücksichtigt werden. 

Viele Hersteller kämen dieser Verantwortung nicht oder nur ungenügend nach, schreibt der Bundesrat. Doch werde Sicherheit von verschiedenen Produzenten auch zunehmend als Chance verstanden, sich gegenüber Billigproduzenten durch erhöhte Qualitätsstandards abzugrenzen. Diese Entwicklung könne durch die Staaten mit Richtlinien, Leitfäden oder Vorschriften unterstützt werden. 

Durch konsequente Umsetzung der bereits vorhandenen Richtlinien könnten Hersteller und Betreiber von IoT-Geräten und IoT-Systemen bereits ein hohes Mass an Cybersicherheit erreichen. Wenn weitere Vorgaben oder Richtlinien für IoT entwickelt werden sollen, muss dies mach Ansicht des Bundesrats in enger internationaler Koordination geschehen.