Studie - 13. Februar 2019

Kaufentscheidungen für smarte Dinge

Das Internet of Things macht den Alltag be­que­mer, wären da nicht immer diese leidigen Sicher­heits­fragen. Was ist beim Kauf zu be­ach­ten?

Im Internet of Things (IoT) tummeln sich die verschiedenste Geräte, von der smarten Glühbirne über den Windelsensor bis hin zu Über­wachungs­kameras und industriellen Steuereinheiten. Meistens haben die smarten Dinge eines gemeinsam – einen niedrigen Sicherheitsstandard. Einige der Erfindungen und Neuentwicklungen haben aber durchaus einen starken ­Anreiz für Verbraucher; von denen sind aber viele mit ­Sicherheitsfragen überfordert. Wie könnte man diesen Menschen helfen? Welche Art Ab­wä­gun­gen können ­getroffen werden, bevor man sich für den Kauf entscheidet?

Die erste Frage ist eher IoT-unspezifisch. „Brauche ich das wirklich?“ ist eine Frage, die sich Verbraucher oft nur am Rande stellen. Häufig möchte man etwas, und ob man tatsächlich einen Bedarf dafür hat, ist ein nebensächlicher Aspekt. Oder kennen Sie jemanden, der an die Leistungsgrenzen seines Smartphones stößt und deswegen alle zwei Jahre ein neues braucht, und nicht etwa wegen des Designs, der Werbung oder weil neue Dinge einfach Spaß machen und toll sind? Wer sich ein neues smartes Ding kaufen möchte, kann anhand der folgenden Fragen­liste vielleicht besser einschätzen, auf was er sich einlässt.

Diese Liste soll denjenigen helfen, die sich kaum mit Security beschäftigen oder auskennen, aber einen Anhaltspunkt haben möchten, wie sicher ihr neues Gerät ist. Es ist auch alles andere als ungewöhnlich, wenn Verkäufer keine Antworten auf diese Fragen haben beziehungsweise wenn die Antwort schwer zu ermitteln ist. Keine Antwort deutet in vielen Fällen auf mangelnde Sicherheit hin; IoT-Hersteller, die Wert auf Sicherheit legen, kom­mu­ni­zie­ren sehr transparent, was ihre Dinge tun und was nicht.

  • Braucht das Gerät beständigen Kontakt ins Internet oder ist es nur im lokalen Netzwerk zu erreichen?
  • Gibt es Updates?
  • Werden diese automatisch installiert oder müssen sie manuell eingespielt werden?
  • Ist das Gerät immer online oder nur bei Bedarf?

  • Wohin speichert das smarte Ding Daten – in der Cloud oder lokal?
  • Welche Art Daten werden ermittelt und gespeichert?
  • Werden diese nach Ablauf eines Zeitraums wieder gelöscht?
  • Können die Daten manuell gelöscht werden?

  • Wurde das Device schon einmal geprüft, zum Beispiel vom TÜV oder Stiftung Warentest?
  • Wie waren die Ergebnisse?
  • Gibt es andere Tests, zum Beispiel in Zeitschriften oder Onlinemedien?

  • Sind die Credentials (Username und Password zum Beispiel, oder PIN) zur Anmeldung an das Gerät vorgegeben?
  • Kann man diese einfach ändern?
  • Wird diese Änderung beim ersten Login erzwungen?
  • Kann man über das Internet auf das Gerät zugreifen?

  • Gibt es eine Möglichkeit, Support für das Gerät zu erhalten?
  • Ist die Dokumentation ausreichend und verständlich?

  • Funktioniert das Gerät noch, wenn der Hersteller pleite geht oder den zugehörigen Service einstellt?
  • Kann man das Gerät auf Werkseinstellungen zurücksetzen und weiter verkaufen?

Die Fragen verdeutlichen, dass man als Verbraucher an dieser Stelle nur wenig In­for­ma­tionen hat und sich normalerweise weitestgehend auf den Hersteller verlassen muss. Das führt aber leider dazu, dass Hersteller keinen großen Zwang zur Absicherung ihrer Geräte haben und Security üblicherweise keine zusätzlichen Einnahmen bringt. Es bleibt also eine gewisse Zwickmühle für die Verbraucher. Allerdings nicht nur für diese Personengruppe – der Fragen­ka­ta­log der enisa, der Europäischen Agentur für Netz- und In­for­ma­tions­sicher­heit, ist für IoT-Geräte im Bereich kritischer Infrastrukturen über 100 Seiten lang. In dem Bereich gibt es eben noch sehr viel zu tun.

Fotos: Chuanchai Pundej; Michael Zwahlen / Getty Images

Zum Autor

SH
Stefan Hager

DATEV eG, Bereich Internet Security

Weitere Artikel des Autors