Uncle Sam hat einen Plan zur Sicherung Ihres Smart Home. Hier erfahren Sie, warum wir skeptisch sind.

May 29, 2024

Veröffentlicht am 2. August 2023

Rachel Cericola

Teile diesen Beitrag

Das Smart Home hat oft einen schlechten Ruf. Die Menschen befürchten, dass ihre Geräte sie ausspionieren oder persönliche Daten an betrügerische Unternehmen senden. Oder dass jede ihrer Bewegungen und Einkäufe verfolgt wird. Oder dass ein gruseliger Rando über seine eigene Überwachungskamera mit seinen Kindern sprechen kann.

Und manchmal haben sie recht. Obwohl es einige auffällige Schlagzeilen gab, die Anfälle von Massentechnikphobie auslösten, war die Anzahl der Vorfälle im Vergleich zu der Anzahl der Geräte, die in all unseren Häusern vorhanden sind, verschwindend gering. Dennoch ist die Bedrohung real und es gibt keine branchenweiten Standards für Sicherheitsmaßnahmen.

Das ändert sich bald. Die Federal Communications Commission hat kürzlich angekündigt, dass sie in Zusammenarbeit mit dem Weißen Haus und einer Gruppe von Einzelhändlern und Geräteherstellern das US Cyber ​​Trust Mark einführen wird, ein Programm zur Zertifizierung der Datenschutz- und Sicherheitsfunktionen einer breiten Palette intelligenter Geräte. Die große Idee besteht darin, dass das Programm es den Menschen erleichtert, fundierte und sichere Entscheidungen zu treffen.

Es ist ein ermutigender Schritt für die Bundesregierung, der Sicherheit und Privatsphäre der Verbraucher endlich die Aufmerksamkeit zu schenken, die sie dringend benötigt. Aber nachdem wir uns mit den Einzelheiten des Programms befasst und Rückmeldungen von Smart-Home-Unternehmen erhalten haben, dämpfen wir unseren Optimismus – zumindest bis konkretere Informationen veröffentlicht werden.

Insgesamt verfügt das Smart-Home-Team von Wirecutter über mehrere Jahrzehnte Erfahrung in der Erforschung und Prüfung von Geräten, einschließlich der ausführlichen Kommunikation mit Unternehmen über genau die Sicherheits- und Datenschutzrichtlinien und -verfahren, die dieses Programm abdecken wird (und wir tun unser Bestes, um unsere Leser auf die Art und Weise zu begleiten, wie Sie es tun werden). sich am besten schützen können). Wir sind uns darüber im Klaren, wie komplex das Problem ist, insbesondere da sich die heutige Technologie mit mobilen Apps und Cloud Computing überschneidet und speziell für die Aktualisierung entwickelt wurde. Eine einzige Softwareänderung an einem dieser Dinge kann ein sicheres Gerät sofort in ein Gerät mit Schwachstellen verwandeln. Mit anderen Worten: Die Aussage, ein Gerät sei sicherer, und die Behauptung, es sei tatsächlich sicher, sind zwei sehr unterschiedliche Dinge.

Hier sehen Sie, wie das Programm voraussichtlich funktionieren wird, welche Aspekte wir begrüßen und welche Bereiche noch Aufmerksamkeit erfordern, damit die Initiative eine Unterstützung wert ist.

Das US-amerikanische Cyber ​​Trust Mark-Programm soll Ende 2024 starten. Das Design des Trust Mark ist noch nicht endgültig, wird aber voraussichtlich ein Abzeichen sowie eine Art Cyber-Ernährungsetikett mit Informationen über die Datenschutz- und Sicherheitspraktiken eines Produkts enthalten Ein QR-Code, der auf eine Datenbank mit dem Sicherheitsverlauf eines Geräts verweist.

Das Cyber ​​Trust Mark ähnelt ein wenig Energy Star . Das Anfang der 90er Jahre eingeführte, von der EPA geleitete Standard- und Kennzeichnungsprogramm unterstützte Unternehmen bei der Herstellung umweltfreundlicherer Geräte und gab den Verbrauchern Sicherheit beim Kauf. Dieses Mal besteht das Ziel darin, dass alle mit dem Internet verbundenen Geräte, von Überwachungskameras, intelligenten Glühbirnen und intelligenten Thermostaten bis hin zu Fitnessbändern, intelligenten Waschmaschinen und Computer-Routern, Informationen zu Cybersicherheitsproblemen enthalten, die für die breite Öffentlichkeit verständlich sind. (Siehe unten, wo wir besprechen, wie sich Energy Star besonders unterscheidet.)

Um ein US-amerikanisches Cyber ​​Trust-Siegel für ein intelligentes Gerät zu erhalten, müssen Unternehmen technische Standards einhalten, die auf einer Reihe von Kriterien basieren, die vom National Institute of Standards and Technology entwickelt wurden. Obwohl die endgültigen Einzelheiten des Programms noch nicht bekannt gegeben wurden, schlägt NIST vor, dass einige Standards Folgendes umfassen werden:

Sobald ein Gerät zertifiziert ist, kann das US Cyber ​​Trust Mark-Label auf seiner Verpackung angebracht werden.

Das gesamte Programm ist freiwillig. Es handelt sich eher um einen Anstoß der Regierung, um Unternehmen zu besseren Leistungen zu bewegen, als um einen Auftrag der Industrie. Teil dieses Geistes ist die Annahme der Behörden, dass Hersteller dafür verantwortlich sein sollten, ihre Kunden über die Auswirkungen ihrer Produkte auf die Cybersicherheit aufzuklären. „Wenn ein Verbraucher versteht, wie er sicherer sein kann, ist das wirklich ein Gewinn“, sagte Michael Dolan, Senior Director und Leiter Enterprise Privacy & Data Protection bei Best Buy, in einer Pressekonferenz im Weißen Haus. „Der Verbraucher ist besser geschützt. Den Herstellern geht es besser. Der Umwelt geht es besser, da die Produkte weiterverkauft werden und nicht nur recycelt werden. Wir freuen uns sehr, dies zu unterstützen.“

Es ist verdammt noch mal Zeit. Der Begriff „Internet der Dinge“ wurde erstmals 1999 geprägt. Seitdem sind intelligente Geräte immer fortschrittlicher und im Leben der Menschen allgegenwärtiger geworden. Mit dieser Allgegenwärtigkeit ist ein Risiko verbunden. Um neue Funktionen zu ermöglichen, benötigen Geräte wie Thermostate, Glühbirnen und Türklingeln Zugriff auf privatere Informationen wie E-Mail-Adressen und Standortinformationen, aber auch Fingerabdrücke, Sprachprofile und Gesichtsscans.

Diese Arten privater Daten, die Verbraucher oft unwissentlich preisgeben, ermöglichen nicht nur neue Möglichkeiten, sondern sind auch zu einer lukrativen Einnahmequelle für Unternehmen geworden, die gelernt haben, sie für gezielte Werbung und erweiterte Analysen zu monetarisieren, die Ihre Gewohnheiten und Ausgaben im Auge behalten. Hersteller verbergen ihre Pläne oft in langwierigen Datenschutzrichtlinien, die die meisten Verbraucher nie verstehen könnten. Und viele Leute haben einfach keine Ahnung, was ihre Geräte vorhaben – sie klicken einfach auf „OK“, und der intelligente Wäschetrockner benachrichtigt sie, wenn ihre Wäsche trocken ist. Ein universelles Programm, das all das im Klartext beleuchtet, ist längst überfällig. Das ist eine sehr gute Sache.

„Ich denke, die Verbraucher haben derzeit das Gefühl, dass es so etwas wie Privatsphäre nicht gibt“, sagte Jan Schakowsky, Kongressabgeordnete von Illinois, während einer Presseveranstaltung im Weißen Haus zur Ankündigung der Initiative. „Das ist ein großer Schritt nach vorne.“

Die Gerätedatenbank ist aktuell. Jedes Gerät mit dem Cyber ​​Trust Mark-Label verfügt über einen QR-Code, den Käufer scannen können, um auf eine Datenbank zuzugreifen, die die aktuellen Sicherheits- und Datenschutzrichtlinien eines bestimmten Geräts enthält. Das bedeutet, dass neue Funktionen, Datenschutzrichtlinien-Updates und Software-Updates enthalten sein könnten. Beamte des Weißen Hauses sagten außerdem, sie beabsichtigen, dass Unternehmen ihre Geräte jährlich neu zertifizieren lassen, was theoretisch bedeutet, dass Sie sich keine Sorgen machen müssen, dass Ihr neuer intelligenter Thermostat oder Ihre neue Glühbirne durch veraltete Cybersicherheitspraktiken verwaist wird.

„Wir wollten kein veraltetes Etikett erstellen, auf dem steht: ‚Dieses Produkt gilt als zertifiziert und sicher‘ und bleibt daher für immer sicher“, sagte Anne Neuberger, stellvertretende nationale Sicherheitsberaterin der USA. „Der QR-Code gibt aktuelle Informationen über den Stand und die Einhaltung von Cybersicherheitsstandards.“

Viele Unternehmen stehen hinter dem Programm. Obwohl es freiwillig ist, waren 20 Unternehmen anwesend, um Erklärungen zur Unterstützung der Initiative abzugeben, darunter Amazon, Best Buy, Google, Samsung, LG Electronics, Logitech und mehr sowie die Carnegie Mellon University, die Connectivity Standards Alliance und Consumer Technology Verband. Sie alle versprechen, Verbraucher über das US Cyber ​​Trust Mark und seine Bedeutung aufzuklären.

„Historisch gesehen sind Kennzeichnungsprogramme dann wirksam, wenn das Bewusstsein der Verbraucher für die Bedeutung des Zeichens hoch ist und die Öffentlichkeit Vertrauen in die Ergebnisse hat, die das Zeichen verspricht“, sagte Scott Johnstone, Senior Marketing Manager für Smart Home bei Lutron.

Es gibt viele große Unbekannte. Obwohl das System auf NIST-Standards basieren wird, muss noch viel Arbeit geleistet werden, bevor dieses Programm in Betrieb geht. „Es gibt einfach eine Menge Prozesse, die wir durchlaufen werden“, sagt Neuberger. „Im Moment glauben wir, dass das Programm wirklich auf Erfolg ausgelegt ist, aber wir werden es bei jedem Schritt durcharbeiten.“

Neuberger sagt, dass viele Unternehmen bereits Produkte auf der Grundlage von NIST-Empfehlungen herstellen. Dennoch geht das Weiße Haus davon aus, dass das US Cyber ​​Trust Mark bis Ende 2024 fertiggestellt sein wird und Geräte kurz danach das Logo tragen werden.

Über die Details sind sich nicht alle einig. Einer der Aspekte des auf der Veranstaltung im Weißen Haus angekündigten Programms besteht darin, dass Unternehmen die vorgeschlagenen Sicherheits- und Datenschutzstandards freiwillig bestätigen können. Mit anderen Worten: Es wird ein Ehrensystem sein – und das ist im Großen und Ganzen das, was das Land jetzt hat.

Neuberger widersprach dieser Behauptung jedoch und versicherte Wirecutter in einem Interview, dass die US-Cyber ​​Trust Mark-Zertifizierung auf verifizierten Tests Dritter basieren werde und nicht nur auf der Aussage eines Herstellers. „Wir glauben nicht, dass Selbstzertifizierung der Weg ist, den wir einschlagen wollen“, sagte sie. „Und wir wollen, dass diese Dritten zertifiziert werden.“

Wirecutter verfügt über jahrelange Erfahrung mit Selbstzertifizierung. Tatsächlich verlangen wir seit langem von allen Unternehmen, die unsere Smart-Home-Auswahl treffen, die Bestätigung ihrer Sicherheits- und Datenschutzrichtlinien, und wir berichten darüber in unseren Bewertungen. Dabei entdecken wir oft Dinge, die Hersteller entweder nicht preisgegeben oder falsch beschrieben haben oder von denen sie einfach nichts wussten (oder zumindest behaupteten, sie wüssten nichts davon). Selbst Unternehmen mit guten Absichten liegen falsch, und ohne formelle Zertifizierung sind wir nicht sicher, ob es von großem Nutzen ist, wenn der Fuchs den Hühnerstall bewacht.

Es ist unklar, wie nützlich es für die Verbraucher sein wird. Oberflächlich betrachtet scheint das US Cyber ​​Trust Mark dem Energy Star sehr zu ähneln, der in den meisten Fällen ein Erfolg war. Sie unterscheiden sich jedoch in mindestens einem entscheidenden Punkt: Die Standards und Anforderungen von Energy Star sind messbar. Transparenz gibt Käufern Vertrauen. Wenn Sie ein Energy Star-zertifiziertes Produkt kaufen, wissen Sie, dass es um einen bestimmten Prozentsatz effizienter ist als ein nicht zertifiziertes Modell.

Das Cyber ​​Trust Mark bietet in seiner jetzigen Form nicht annähernd das gleiche Maß an Schwarz-Weiß-Klarheit, was es möglicherweise weniger nützlich macht. Theoretisch könnte ein Gerät ein Cyber ​​Trust-Siegel erhalten, die erneute Zertifizierung scheitern und dennoch mit dem vielgepriesenen Logo in den Regalen stehen.

Es ist ein kolossales Unterfangen. Obwohl wir nicht sagen wollen, dass es unmöglich ist, die gleichen hochspezifischen und nützlichen Informationen wie Energy Star bereitzustellen, fällt es uns angesichts der vorgeschlagenen Maßnahmen, die wir bisher gesehen haben, schwer, uns vorzustellen, wie ein Cybersicherheitsprogramm dieser Größenordnung umsetzbar ist. Insbesondere das Testen von mit dem Internet verbundenen Geräten und den damit verbundenen Apps und Cloud-Verbindungen auf Sicherheitslücken ist kompliziert, zeitaufwändig und teuer. (In unseren eigenen Untersuchungen haben wir herausgefunden, dass die Kosten für Penetrations- oder Hacktests Zehntausende von Dollar betragen können – und zwar für nur ein einziges Gerät.) Wir sind nicht davon überzeugt, dass die Regierung in der Lage oder willens wäre, das heraufzubeschwören Es wurden Mittel benötigt, um Tausende bestehender und neuer Produkte zu testen – und sie dann jährlich erneut zu testen, in manchen Fällen vielleicht über viele Jahre hinweg.

Die Gerätenutzung ist ein Schlüsselfaktor. Wir freuen uns zu erfahren, dass automatische eindeutige Passwörter und Verschlüsselung geplant sind, da sie eine Grundsicherheit bieten. Das ist von entscheidender Bedeutung, denn es hat sich als problematisch erwiesen, große Sicherheitsentscheidungen den Verbrauchern zu überlassen. Es bleibt eine große Frage: Was passiert, wenn Sie ein zertifiziertes sicheres Gerät mit potenziell anfälligen, nicht zertifizierten Geräten koppeln?

Obwohl die meisten Hersteller intelligenter Geräte Wirecutter beispielsweise mitteilen, dass sie keine persönlichen Benutzerdaten verkaufen oder weitergeben, haben Sie sich für die Weitergabe Ihrer persönlichen Daten entschieden, wenn Sie diese Geräte in eine Drittanbieterplattform wie Amazon Alexa oder Google Home integrieren. Es ist unklar, ob diese Garantien weiterhin gelten (es sei denn, diese Produkte verfügen natürlich auch über das US Cyber ​​Trust Mark).

Die Hersteller zeigen sich vorsichtig unterstützend. Wir haben alle 30 Unternehmen kontaktiert, die hinter unseren aktuellen Smart-Home-Angeboten stehen, um zu erfahren, ob sie das Programm unterstützen. Nur 15 antworteten uns, und vier dieser Unternehmen gaben an, zu diesem Zeitpunkt keinen Kommentar abgegeben zu haben. Andere sagten, dass sie die Initiative zwar voll und ganz unterstützen, aber glauben, dass sie bereits Produkte herstellen, die den NIST-Standards entsprechen.

Bei so vielen Unbekannten, so wenigen Partnern und einem so langen Zeitplan können wir nur ungern sagen, welche Auswirkungen diese gut gemeinte Initiative gegebenenfalls haben wird. Schließlich handelt es sich in der jetzigen Form lediglich um eine Sammlung von Vorschlägen, und zwar auf freiwilliger Basis. Und was noch wichtiger ist: Wir sind nicht davon überzeugt, dass Käufer besonders begeistert sein werden, die Sicherheitskontrolle in Einkaufsgängen mithilfe des vorgeschlagenen QR-Code-Systems durchzuführen. Die Menschen wollen Antworten, keine Forschungsprojekte.

Für Wirecutter ist vieles, was diese Initiative zu erreichen hofft, tatsächlich eine Vervielfältigung der Arbeit, die wir bereits leisten. Wie bereits erwähnt, bitten wir die Hersteller aller unserer Smart-Home-Angebote, detaillierte Informationen zu ihren Sicherheits- und Datenschutzpraktiken bereitzustellen. Dies ist nicht anders, mit Ausnahme der Tatsache, dass das Programm über eine Reihe vorgeschlagener technischer Spezifikationen und möglicherweise vorgeschriebener Tests verfügt. Wenn diese erreicht werden, wäre das ein bedeutender Schritt in die richtige Richtung – aber das ist ein großes „Wenn“.

Dieser Artikel wurde von Jon Chase und Grant Clauser bearbeitet.

von Rachel Cericola

Lassen Sie Amazons Alexa mit diesen tollen Smart-Home-Geräten für sich arbeiten.

von Grant Clauser

Diese Smart-Home-Geräte müssen nicht dauerhaft installiert werden, sodass Sie sie bei einem Umzug mitnehmen können.

von Grant Clauser

Wenn Ihr Smart Speaker ein Google Home ist, finden Sie hier die besten Geräte, die damit funktionieren.

von Rachel Cericola

Die Vorteile von Smart-Home-Geräten enden nicht an der Tür. Wir haben tolle Modelle für den Garten und die Garage gefunden.