Cybersicherheitsetiketten kommen. Werden sie wirksam sein?
Die Regierung von Joe Biden hat mit der Arbeit an einem Cybersicherheits-Zertifizierungsprogramm für Online-Geräte und -Anwendungen begonnen, die möglicherweise anfällig für Hacks oder andere invasive Cyberangriffe sind.
Verbraucher können sich dieses US Cyber Trust Mark im Grunde wie eine Nährwertkennzeichnung vorstellen, aber in diesem Fall sagt es Ihnen, ob Ihre Smart Speaker, Ihr Babyphone oder Ihr Fitness-Tracker sicher sind.
Lily Jamali von Marketplace sprach mit Stacey Higginbotham, Gründerin und Herausgeberin des Internet of Things-Newsletters, darüber, warum die baldige Veröffentlichung des Programms für die Stärkung der nationalen Cybersicherheit von entscheidender Bedeutung ist.
Das Folgende ist eine bearbeitete Abschrift ihres Gesprächs.
Stacey Higginbotham: Es gibt zwei Gründe, warum wir das brauchen. Einer davon ist, dass immer mehr Produkte, die Verbraucher kaufen, mit dem Internet verbunden werden. Wir müssen sicherstellen, dass diese Dinge sicher sind. Selbst wenn Sie also nicht in das Amazon Echo-Ökosystem oder Google Home oder ähnliches einsteigen, erhalten Sie in Ihrem Leben immer noch vernetzte Produkte, ob Sie das möchten oder nicht. Grund Nr. 2 ist, dass Sicherheit nicht nur wichtig ist, um beispielsweise zu verhindern, dass riesige Botnetze große Websites zerstören. Dies ist auch für Sie als Verbraucher wichtig, da Sie nicht möchten, dass jemand Ihr Netzwerk hackt. Ein kleineres Problem könnte beispielsweise sein, wenn jemand versucht, in Ihren Thermostat einzudringen und ihn als Teil eines Ransomware-Angriffs zu missbrauchen. In Ihrer Nähe als Einzelperson wäre es wahrscheinlich nicht der Fall. Aber jemand könnte sich alle Nest-Thermostate von [Google] da draußen anschauen und sagen: „Hey, wir nehmen diese ab, es sei denn, jeder zahlt uns Geld, und Sie können die Temperatur in Ihrem Zuhause nicht mehr regeln.“ Das wäre schrecklich. Ein weiteres Problem besteht darin, dass diese unsicheren Produkte dazu führen können, dass Personen beispielsweise die Mikrofone Ihres Geräts abhören oder möglicherweise auf die Bilder Ihrer Überwachungskamera zugreifen. Die meisten Menschen wollen nicht, dass das passiert.
Lily Jamali: Wissen Sie, ein Grund, warum wir jetzt darüber reden, ist, dass die Biden-Regierung einen Plan für diese Etiketten auf Verbrauchergeräten veröffentlicht hat. Zu wissen, dass ein Gerät bestimmte Kriterien erfüllt, klingt für Verbraucher nach einer guten Sache. Aber ich frage mich, wo Ihrer Meinung nach das Programm, wie es von der Verwaltung ausgearbeitet wurde, wo es mangelt?
Higginbotham: Es gibt ein paar Probleme. Erstens kennen wir die Regeln, denen dieses Programm folgen wird, nicht wirklich, oder? Wir wissen noch nicht, welche Sicherheitsmerkmale Teil dieses Labels sein werden. Zweitens ist die FCC, also die Federal Communications Commission, die Behörde, die für die Verwaltung dieses Programms verantwortlich sein wird. Und ich habe viele Fragen zu ihrer Fähigkeit dazu. Als wir im Oktober davon hörten, hatte ich gehofft, dass die [Federal Trade Commission] dies tun würde, weil sie über viel Erfahrung mit solchen Kennzeichnungsprogrammen verfügt. Doch offenbar hat die FCC die Hand gehoben. Und das ist die beteiligte Agentur.
Jamali:Und wissen wir, wann wir damit rechnen können, dass diese Etiketten in unserem Leben auf unseren Geräten auftauchen?
Higginbotham: Das Ziel besteht also darin, bis Ende dieses Jahres eine Art Regel für das Router-Label aufzustellen, und wir werden dort hoffentlich Anfang nächsten Jahres etwas sehen. Was die Etiketten auf allen anderen Geräten angeht, also das tatsächliche US Cyber Trust Mark, erwarten wir, dass dies vielleicht im Jahr 2024 geschieht. Aber ich halte das für etwas optimistisch.
Jamali:Was wissen wir darüber, welche Art von Informationen auf diesen Etiketten enthalten sein werden?
Higginbotham: Sie haben es also mit einem zweigleisigen Etikett zu tun. Einer ist genau wie der Aufkleber, auf dem steht: Das ist das US Cyber Trust Mark, oder? Der zweite ist ein QR-Code, über den Sie, wenn Sie ihn scannen, tiefere Informationen darüber erhalten: Hallo, hat das Gerät kürzlich eine Sicherheitsüberprüfung bestanden? Beispielsweise müssen Sie jedes angeschlossene Gerät ständig neu zertifizieren, da jederzeit eine Schwachstelle auftreten und es unsicher machen kann. Deshalb erwägt die FCC die Schaffung eines Programms, das im Grunde jedes Jahr eine Neuzertifizierung durchführen muss, damit das Etikett auf der Verpackung selbst nicht mehr aktuell ist. Der QR-Code sagt Ihnen also: Hey, es ist auf dem neuesten Stand. Das ist gut. Möglicherweise erfahren Sie auch, welche Sensoren sich auf diesem Gerät befinden, und detailliertere Funktionsinformationen zur Sicherheit.
Jamali:Haben Sie also Bedenken hinsichtlich Informationen, die relevant wären, aber möglicherweise nicht wie geplant auf dem Etikett erscheinen?
Higginbotham: Ich liebe dieses Programm wegen seiner Bemühungen im Bereich Sicherheit. Hier gibt es viele wirklich gute Dinge, zum Beispiel keine Standardkennwörter, sodass Over-the-Air-Updates auf jedem angeschlossenen Gerät erforderlich sind. Es gibt möglicherweise Regeln darüber, wie Unternehmen Bug-Bounty-Programme einrichten müssen, also wie mit Schwachstellen umgegangen wird. Aber es geht nicht um die Privatsphäre. Und das ist für mich wirklich frustrierend, weil ich das Gefühl habe, dass die meisten Verbraucher Sicherheit und Datenschutz ziemlich gleich denken. Beides ist ihnen wichtig, wenn sie ein vernetztes Gerät kaufen. Und dieses Programm befasst sich überhaupt nicht mit der Privatsphäre.
Jamali:Richtig, und das ist wirklich ein großer Teil des Hintergrunds, dass der Datenschutz ein anhaltendes Problem ist, für das es so gut wie immer noch keine bundesstaatliche Regelung gibt.
Higginbotham: Genau. Und es ist für mich mehr als frustrierend, weil die Staaten alle möglichen Vorschriften erlassen. Kalifornien war hier wirklich innovativ. Indiana hat etwas, das ist in Ordnung. Im US-Bundesstaat Washington gibt es eine neue Regelung zum Datenschutz im Gesundheitsbereich, die meiner Meinung nach sehr wichtig ist. Wir haben also sozusagen einen Flickenteppich aus Datenschutzbestimmungen. Aber das ist eine gute Gelegenheit, die wir hätten nutzen können, um zu sagen: „Hey, hier sind ein paar absolute Mindestinformationen, die wir auf einem angeschlossenen Gerät anzeigen müssen, damit die Verbraucher zumindest wissen, was sie kaufen und welche Art von Informationen sie preisgeben.“
Jamali: Nun, das ist ein freiwilliges Programm. Welche Anreize gibt es für Unternehmen, diese zur Teilnahme zu bewegen?
Higginbotham: Ich denke, der Anreiz wird einfach darin bestehen, dass Sie bereits viel Geld für die Sicherung dieser Geräte ausgegeben haben. Jetzt können Sie es dem Verbraucher zeigen. Darüber hinaus benötigen wir Aufklärung. So wie es Aufklärungsmaßnahmen rund um das Energy Star-Label gab, müssen wir den Verbrauchern beibringen, beim Kauf eines vernetzten Geräts auf das US Cyber Trust Mark zu achten.
Jamali: Und glauben Sie, dass die Verbraucher das akzeptieren werden? Wird ihnen das genauso wichtig sein wie den Nährwertkennzeichnungen, oder werden sie, wissen Sie, die gleiche Unterstützung haben, die offenbar bei der Energy-Star-Kennzeichnung der Fall war?
Higginbotham: Ich weiß nicht einmal, ob Verbraucher sich für Nährwertkennzeichnungen interessieren. Ich meine, es gibt viele Daten, die die Leute nicht unbedingt lesen. Ich denke, es gibt viele Menschen, denen die Sicherheit ihrer angeschlossenen Geräte am Herzen liegt. Das ist eine der häufigsten Fragen, die ich bekomme. Sie sagen: „Hey, ich schaue mir diesen Stecker im Vergleich zu diesem Stecker an.“ Wissen Sie, welches sicherer ist? Das sind wahrscheinlich Hardcore-Konsumenten und keine Mainstream-Konsumenten. Aber ich denke, es wird den Leuten etwas ausmachen, wenn sie leicht erkennen können, dass etwas sicher ist. Ich denke, sie werden sich dafür entscheiden.
Ein wichtiger Grund für die Existenz dieses Programms geht laut Stacey Higginbotham auf einen Cyberangriff namens Mirai-Botnet-Vorfall im Jahr 2016 zurück.
Zu diesem Zeitpunkt starteten Hacker einen „Distributed Denial of Service“- oder DDoS-Angriff mit einem Malware-Programm, das auf mit dem Internet verbundene Smart-Geräte abzielte.
Und es gibt viele intelligente Produkte da draußen. Einem Bericht der Website IoT Analytics zufolge gab es im Jahr 2022 weltweit mehr als 14 Milliarden davon.
Jeden Tag entmystifiziert das „Marketplace Tech“-Team die digitale Wirtschaft mit Geschichten, die mehr als nur Big Tech thematisieren. Wir sind bestrebt, Themen zu behandeln, die für Sie und die Welt um uns herum wichtig sind, und befassen uns eingehend mit der Frage, wie Technologie mit Klimawandel, Ungleichheit und Desinformation zusammenhängt.
Als Teil einer gemeinnützigen Nachrichtenredaktion zählen wir darauf, dass Hörer wie Sie dafür sorgen, dass dieser öffentlich-rechtliche Dienst Paywall-frei und für alle verfügbar bleibt.
Unterstützen Sie „Marketplace Tech“ noch heute in beliebiger Höhe und werden Sie Partner unserer Mission.
Stacey Higginbotham:Lily Jamali:Higginbotham:Jamali:Higginbotham:Jamali:Higginbotham:Jamali:Higginbotham:Jamali:Higginbotham:Jamali:Higginbotham:Jamali:Higginbotham:Unterstützen Sie „Marketplace Tech“ noch heute in beliebiger Höhe und werden Sie Partner unserer Mission.