Auf den Verpackungen elektronischer Produkte findet sich bereits eine ganze Reihe von Signets, die dem Anwender die Einhaltung gängiger Vorschriften attestieren sollen – von der einfachen elektrischen Sicherheit bis zum Recycling. Der Lebenszyklus eines Produktes wird damit anhand der Zertifikate der jeweiligen Prüforganisationen dokumentiert. Wozu braucht es dann das neue BSI-Logo? Und welcher Aufwand ist damit tatsächlich verbunden?

Tatsächlich gibt es bereits eine Reihe von Vorschriften, die Hersteller und Anbieter von internetfähigen Geräten und Systemen dazu verpflichten, die geltenden Datenschutzbestimmungen einzuhalten. Diese Vorschriften sind jedoch oft wenig konkret, international kaum genormt und in der Praxis schwer überschaubar, was ihre Einhaltung betrifft.

Allerdings ist dem Anwender von Produkten wie WLAN-Routern, smarten Endgeräten, E-Mail-Programmen oder IoT-Geräten inzwischen durchaus bewusst, dass alle Netzzugänge ein Risiko bedeuten – unabhängig davon, ob es sich um einen privaten Internet-Anschluss handelt, ein Home- oder Mobile-Office oder ein multinationales Unternehmen, das in der Praxis kaum in der Lage ist, BYOD zu reglementieren.

Sicherheit ernst nehmen
Mit dem BSI-Sicherheitskennzeichen können in erster Linie Hersteller, Entwickler, Integratoren und Betreiber von IT-Produkten und Services dokumentieren, dass sie das Thema Sicherheit ernst nehmen. Es bescheinigt die Erfüllung von Mindestanforderungen an die Security und geht in manchen Punkten über die existierenden oder zu erwartenden Anforderungen aus den europäischen Initiativen wie dem Cyber Security Act hinaus.

Als Nachteil des BSI-Sicherheitslogos gilt oft, dass es lediglich auf einer Selbstauskunft der Anbieter beruht, die von autorisierten Institutionen auf ihre Plausibilität geprüft und nur stichprobenartig kontrolliert wird. Auch ist die fehlende regionale Reichweite eines derartigen Siegels möglicherweise ein Handicap, weil internationale Player aus Fernost oder den USA den Aufwand scheuen, der mit der umfassenden Dokumentation der Sicherheitsvorkehrungen verbunden ist, die den reinen Anmeldegebühren diametral entgegensteht.

Der heute definierte Geltungsbereich des BSI-Kennzeichens umfasst zwar im wesentlichen Produkte und Dienste, die den Fokus auf Endanwender haben, wie etwa Mobil- oder Smart-Home-Geräte und E-Mail- und Videokonferenzanwendungen. Doch alle diese Produkte kommen auch in großen Unternehmen in den vielfältigsten Szenarien zum Einsatz, sei es beim hybriden Working oder selbst auf dem Campus. Auch Anbieter von SaaS-Werkzeugen und Systemintegratoren profitieren davon, auf die Konformität der Produkte verweisen zu können. Letztlich sind die gestellten Anforderungen für die Erteilung des BSI-Logos langfristig eher als Mindestanforderungen zu verstehen, die ein Hersteller erfüllen muss – eigentlich Basics, die für alle bereits heute gelten sollten.

An das Internet angebundene Geräte und Programme bilden immer ein Einfallstor für Attacken, zumal dann, wenn sie in die Jahre gekommen sind und nicht mehr gepflegt werden. Es seien vor allem diese Grundlagen, die erforderlich sind, um ein Sicherheitszertifikat zu erlangen, meint etwa Alexander Pick, White Hat Hacker: "Wenn die Hersteller und Anbieter die Basics beachten würden, würde ich mir meist die Zähne bei meiner Arbeit ausbeißen." Er beschäftigt sich vor allem mit hardwarenahen Problemen, die bisher eher außerhalb des Fokus standen. Tatsächlich stellt der Bereich IoT, das Internet of Things, ein immer größeres Problemfeld dar, weil etwa Überwachungskameras und ähnliche Geräte den Zugang zum Netz beanspruchen, ohne hinlänglich auf ihre Sicherheitstauglichkeit geprüft worden zu sein.

Technische Richtlinie als Erteilungsgrundlage
Das IT-Sicherheitskennzeichen wird auf Basis des BSI-Gesetzes vergeben. Definiert wurden bisher die Produktgruppen Breitbandrouter, E-Mail-Dienste, mobile Endgeräte, smarte Verbrauchergeräte und Videokonferenzdienste. Geräte der Kategorie "Breitbandrouter" beispielsweise konnten das Zertifikat bisher erhalten, wenn der Hersteller die Konformität des Gerätes mit der Technischen Richtlinie für Breitbandrouter BSI TR-03148 versicherte. Die Richtlinie für "Secure Broadband Router" definierte grundlegende Sicherheitsanforderungen an gängige Router, die in Small Office und Homeoffice (SOHO) zum Einsatz kommen. Sie verstand sich als Empfehlung für Hersteller dieser Geräte, war aber auch für Anbieter und Nutzer hilfreich, die sich über den Stand der Technik informieren wollten.

Ziel der technischen Richtlinie war die Definition eines "angemessenen Niveaus" für die IT-Sicherheit der Geräte im Sinne des Schutzes der IT-Infrastuktur und der Daten des Endkunden, aber auch des Schutzes vor Missbrauch zu Lasten Dritter etwa in Form von DDoS-Angriffen als Teil eines Botnetzes. Als sicherheitsrelevante Geräteeigenschaften für Router definierte die Richtlinie die Themenbereiche Transparenz, Zugangsberechtigung, Aktualisierung, Verschlüsselung sowie Datenhygiene.

Um das Kennzeichen zu erhalten, verpflichtet sich der Hersteller, transparente Informationen hinsichtlich der Sicherheit des Geräts zur Verfügung zu stellen. Dazu zählen Informationen über die Verfügbarkeit von Sicherheitsupdates, die Version der Router-Firmware, den Status der Firewall oder aktivierte und deaktivierte Services. Auch wird die Möglichkeit betrachtet, Information über sicherheitsrelevante Ereignisse wie fehlgeschlagene Loginversuche oder Änderungen in den Einstellungen zu erhalten.

Umstellung auf ETSI-Norm
Im Hinblick etwa auf die Zugangsberechtigung muss der Hersteller Mechanismen wie zum Beispiel Passwort, PIN oder elektronischer Schlüssel bereitstellen, die es nur berechtigten Personen erlauben, auf das Gerät zugreifen können. Zu diesen Mechanismen zählen beispielsweise ein ausreichend starker Berechtigungsmechanismus beim Einloggen mittels hinreichend starker Kennwortabfrage, die Änderung des werksseitig voreingestellten Passworts in ein individuelles begleitet von einem Mechanismus, der die Stärke des gewählten Kennworts anzeigt, sowie eine Firewall, die das Gerät von unberechtigten Zugriffen schützt.

Der Hersteller verpflichtet sich, für das Gerät bei Bekanntwerden von Sicherheitslücken unverzüglich Updates bereitzustellen. Dies umfasst einen automatischen Updatemechanismus sowie eine Option zur manuellen Verwaltung und Deaktivierung von Firmwareaktualisierungen.

Die Kommunikation des Geräts, die Interaktionen und bestimmte lokal gespeicherte Daten müssen mit Verschlüsselungsverfahren abgesichert sein. Das gilt für die Verschlüsselung von Zugriffen auf den Router über WAN oder optional über WLAN und erfordert die Erfüllung des Standards WPA2 oder höher. Der Hersteller sichert zudem zu, dass das Gerät über Mechanismen verfügt, um Daten wirksam zu löschen, sodass diese nicht ohne Weiteres wiederhergestellt werden können. Dies umfasst beispielsweise einen Rücksetzungsmechanismus, durch den alle gespeicherten Daten und Einstellungen unwiderruflich gelöscht werden.

Derzeit wird die Grundlage für die Erteilung des Kennzeichens gerade auf eine internationale Basis gestellt, wobei die Richtlinie BSI TR-03148 schrittweise durch die technische Spezifikation TS 103 848 des ETSI ersetzt und durch die Testspezifikation TS 103 928 ergänzt wird. ETSI 103 848 geht über die Forderungen der BSI-Richtlinie hinaus und umfasst 13 Kriterien für die Sicherung der Cybersicherheit von Consumer-IoT-Geräten. Hierzu gehören nun etwa die Forderung zur Minimierung der Angriffsoberflächen, die Softwareintegrität oder die Aufforderung, die Installation und Wartung der Geräte einfach zu gestalten. Dabei gibt die Spezifikation detaillierte Hinweise, wie die einzelnen Funktionen ausgeführt werden müssen oder sollten.

Keine allgemeingültigen Standardpasswörter
Beispielsweise beschäftigt sich der Abschnitt 5.1 im Detail mit voreingestellten Passwörtern und definiert, dass Passwörter, die der Authentifizierung von Benutzern gegenüber dem Gerät verwendet werden, pro Gerät eindeutig sein müssen oder vom Benutzer festgelegt werden. Es ist zwar nicht vorgeschrieben, Passwörter zur Authentifizierung zu verwenden, weil vielleicht andere Faktoren zum Einsatz kommen, wenn sie jedoch Verwendung finden, dann empfiehlt das ETSI die Einhaltung der NIST Special Publication 800-63B.

Die Verwendung universeller Standardwerte wie "admin" ist für das ETSI "die Quelle vieler Sicherheitsprobleme im IoT, und diese Praxis muss aufgegeben werden". Das kann durch die Verwendung von vorinstallierten Passwörtern erreicht werden, die für jedes Gerät eindeutig sind. Auch kann der Benutzer aufgefordert werden, im Rahmen der Initialisierung ein Passwort zu wählen, das der bewährten Praxis entspricht. Oder aber, es wird eine andere Methode zur Authentifizierung implementiert.

Kommen allerdings vorinstallierte, eindeutige Passwörter zum Einsatz, um Nutzer gegenüber dem Gerät zu authentifizieren, dann fordert die Spezifikation, dass diese mit einem Mechanismus generiert werden müssen, der das Risiko automatisierter Angriffe verringert. Die vorinstallierten eindeutigen Passwörter müssen ausreichend randomisiert sein und dürfen keine inkrementellen Zähler enthalten.

Die ETSI-Spezifikation behandelt zudem das Ändern von Passwörtern. So muss der Hersteller den Prozess zur Änderung so gestalten, dass er nur eine minimale Anzahl von Schritten erfordert und in einem Handbuch oder einem Video-Tutorial hinreichend beschrieben ist.

Damit nicht genug. Das Gerät muss die Anzahl der Authentifizierungsversuche innerhalb eines Zeitintervalls begrenzen und immer größere Abstände zwischen den Versuchen verwenden. Schließlich muss die Clientanwendung in der Lage sein, ein Konto nach einer definierten Anzahl von Versuchen zu sperren.

Unterstützung durch Testspezifikationen
Mit ähnlich detaillierten Forderungen wartet die ETSI-Spezifikation für alle betrachteten Kriterien auf. Um die Erfüllung der Forderungen zu überprüfen, stellt das ETSI eine ergänzende Methodik zur Bewertung der Konformität bereit, in der Testfälle und Bewertungskriterien für jede Bestimmung definiert sind. Dieses Dokument soll Hersteller und Dienstanbieter bei der Selbstbewertung oder der Bewertung durch unabhängige Prüforganisationen unterstützen.

Allerdings sind hier keine spezifischen Werkzeuge oder detaillierte Schritt-für-Schritt-Anleitungen zu erwarten, weil aufgrund "der Heterogenität der Geräte die Testgruppen generisch formuliert sind". Das ETSI erwartet, dass die Testfälle von "kompetenten Stellen" durchgeführt werden, die über das nötige Fachwissen verfügen, um einen geeigneten Testplan selbst zu erstellen. Diese Forderung stellt anheim, ob dies mit eigenen Ressourcen schaffbar ist, oder ob besser ein kompetenter Dienstleister ins Boot geholt wird.

Fazit
In der Praxis entpuppt sich das BSI-Kennzeichen letztlich über die reine Verbraucherinformation hinaus als sowieso notwendige Vorbereitung auf zu erwartende Anforderungen an die Implementierung und Dokumentation von Sicherheitsfunktionen. Dazu kann es als wertvolle Orientierungshilfe etwa auch für Gutachter oder Auditoren dienen. Im Rahmen von Post-Mortem-Analysen etwa nach einem Cyber-Vorfall kann die BSI-Kennzeichnung eine Grundlage für die Klassifizierung der Asservate bieten.

ln/Mathias Held, Technical Product Manager bei Bugcrowd