Cybersicherheit für Zuhause - Vernetzt, aber sicher: neue Regeln für «smarte» Geräte
Vernetzte «smarte» Geräte gelten als notorisch unsicher. Das soll sich endlich ändern: Ab sofort gelten neue Regeln für die Cybersicherheit. Aber ob diese auch umgesetzt werden, steht auf einem anderen Blatt.
Das Nationale Testinstitut für Cybersicherheit (NTC) hat eine Reihe von vernetzten Geräten getestet und bestätigt, was Experten nicht überrascht: Die Sicherheit ist miserabel. Rund die Hälfte der Geräte wies Schwachstellen auf. Häufig waren es ganz grundlegende Lücken wie schwache Standardpasswörter («1234» oder «admin») oder schlecht verschlüsselte Kommunikation.
Legende:
So sieht es aus, wenn ein Gerät beim NTC auf Herz und Nieren getestet wird
Nationales Testinstitut für Cybersicherheit
Testexperte Andreas Leisibach erklärt, warum das heikel sein kann: «Bei den Kindersmartwatches, die wir überprüft haben, war häufig das Problem, dass die Kommunikation mit der Cloud zu wenig oder nicht verschlüsselt war. Das heisst: Theoretisch kann ein Angreifer ein fremdes Kind tracken und wüsste dann, wo es ist. Oder man könnte die Kommunikation des Kindes mit den Eltern abfangen oder eine fremde Nachricht ans Kind senden.»
Ein weiteres heikles Gerät im Test: die Babykamera. Ein Unbekannter in Funkdistanz könnte die Kamera abhören, respektive dem Baby aus der Ferne zuschauen.
Konkret überprüft sie die digitale Sicherheit gesellschaftsrelevanter Systeme. Neben vernetzten Geräten hat das NTC auch schon die Sicherheit von öffentlichen Elektroauto-Ladestationen, von Informationssystemen von Spitäler und der Temu-App getestet.
Auch auf den ersten Blick harmlose Dinge wie eine vernetzte Glühbirne können zum Problem werden, erklärt Leisibach: «Wenn so ein Gerät eine Schwachstelle aufweist, kann das ein Angreifer dazu missbrauchen, um ins lokale Netzwerk zu kommen.» Von da könne er oder sie auf weitere Geräte im Netzwerk zugreifen.
Endlich strengere Regeln?
Ab dem 1. August stellt die Funkrichtlinie («RED») neue Anforderungen an die Cybersicherheit von Geräten mit Funkschnittstelle – also an vernetzte, «smarte» Geräte. Auf der Liste stehen über 50 Punkte, welche die Hersteller von solchen Geräten berücksichtigen müssen.
So wird die Richtlinie durchgesetzt
Box aufklappenBox zuklappen
Das Bakom
Zuständig dafür, dass die Regeln durchgesetzt werden, ist das Bundesamt für Kommunikation, Bakom. Es kann gegebenenfalls Marktverbote aussprechen oder Rückrufe auslösen.
Das Bakom schreibt auf Anfrage, dass seine Spezialisten stichprobenartig Geräte testen würden. Dabei könnten sie jedoch lediglich «einen Bruchteil» des Marktes kontrollieren. Deswegen würden sie «die problematischsten Bereiche ins Visier nehmen».
Die Händler
Die Verantwortung, die Richtlinien umzusetzen, liegt bei den Herstellern. Das NTC sieht trotzdem auch die Händler in der Pflicht:
«Importeuren und Händlern wird empfohlen, aktiv Konformitätsnachweise bei ihren Lieferanten einzufordern und Produkte sorgfältig auszuwählen», schreibt das NTC im Testbericht.
Was meinen die Händler dazu? SRF hat bei vier der grössten Schweizer Verkäufer nachgefragt:
Interdiscount bestätigt, dass bei selbst importierten Produkten Testberichte und eine Konformitätserklärung angefordert werden. Bei Produkten, die über Distributoren oder Hersteller bezogen werden, seien diese zuständig.
Fust hingegen sagt, die Lieferanten seien verpflichtet, die Rechte einzuhalten. Fust fordere deswegen keinen Nachweis.
Von Brack und Digitec Galaxus haben wir bis Redaktionsschluss keine Stellungnahme erhalten.
Der Ausblick
Andreas Leisibach vom NTC verfolgt aufmerksam, wie sich die Sache entwickelt: «Wir sind gespannt, wie viele Geräte wirklich vom Markt genommen werden.» Er befürchtet, dass es erst ein paar Verbote vonseiten des Bakom brauchen könnte, bevor die Hersteller die Richtlinie ernst nehmen.
Längerfristig rechnet Leisibach aber durchaus mit einer Verbesserung der Sicherheit. Das Ziel: «Die eigentliche Absicht dieser neuen Anforderung ist, dass die Hersteller von Beginn an Cybersicherheit tief in ihren Entwicklungsprozess aufnehmen» – auf Englisch: Security by Design.
Das heisst aber nicht, dass ab sofort jedes Gerät, das wir kaufen, den neuen Standard erfüllt. Einerseits dürfen die Händler bereits importierte Ware aus ihrem Lager noch verkaufen. Anderseits zweifelt Testexperte Andreas Leisibach an, dass die Hersteller von heute auf morgen alle Punkte erfüllen können: «Bei unseren Tests waren so viele Geräte nicht konform, dass ich davon ausgehe, dass zumindest Teile davon weiter in die Schweiz importiert werden.»
Legende:
Schweizer Konsumentinnen und Konsumenten sollten sich eigentlich darauf verlassen können, das alle Geräte, die sie hier kaufen, eine CE-Kennzeichnung tragen und die Anforderungen der EU erfüllen – seit August auch im Bereich Cybersicherheit.
Tanja Eder
Tipps für Konsumenten und Konsumentinnen
Ein Laie kann nicht feststellen, ob ein Produkt cybersicher ist oder nicht. Man kann aber zumindest ein paar Grundregeln befolgen, sagt Andreas Leisibach:
Wird ein Gerät mit einem Standardpasswort geliefert, sollte man dieses unbedingt ändern. Und dabei ein starkes Passwort wählen – also nicht «1234» oder «passwort».
Wenn möglich regelmässig Updates installieren. Mit diesen werden häufig neu entdeckte Sicherheitslücken geschlossen.
Überlegen: Braucht dieses Gerät wirklich Zugang zum Internet?
Zugangsberechtigungen von Apps prüfen. Eine smarte Glühbirne braucht zum Beispiel keinen Zugriff auf unsere Kontakte.
Ein separates Netzwerk für smarte Geräte einrichten. Zum Beispiel kann man das Gästenetzwerk dafür verwenden. Auch hier: Passwort setzen, nicht vergessen!
«Vorsicht bei Direktimport!», rät Leisibach: Besser bei Schweizer Händlern oder in der EU einkaufen als aus dem fernen Ausland bestellen.
Vor dem Kauf recherchieren – vielleicht finden sich in Produkttests oder Foren Informationen zur Cybersicherheit des Geräts.
