Ist die Sicherheit Ihres Smart-Geräts zertifiziert? Bewertungen können Ihnen bald dabei helfen, Hackern auszuweichen

Das neue Gütesiegel der US-Regierung, das diese Woche vorgestellt wurde, verspricht, uns dabei zu helfen, das Gute zu erkennen und das Schlechte zu vermeiden – sofern die Gadget-Industrie die Standards nicht senkt, bevor sie in den kommenden Monaten eintreffen.

Forderung Amerikanisches elektronisches VertrauenszeichenDas Etikett ähnelt in gewisser Weise den Energy Star-Effizienzetiketten, die Sie möglicherweise auf Kühlschränken und Klimaanlagen gesehen haben. Dieses Siegel erscheint auf Toolboxen, höchstwahrscheinlich mit einem QR-Code, den Sie scannen können, und weist darauf hin, dass das Produkt wichtige Sicherheits- und Datenschutzfunktionen wie Software-Updates enthält.

Das Cyber ​​Trust Mark wird von der Federal Communications Commission betrieben, die für die Zertifizierung von Funksignalen von Geräten bekannt ist, teilte das Weiße Haus am Dienstag mit. Aber diese neue Sicherheitszertifizierung wird für Werkzeughersteller freiwillig sein und basiert auf der Idee, dass Unternehmen sich daran halten, weil sie konkurrieren wollen, um unsere Sicherheit zu gewährleisten.

Zuerst war ich skeptisch. Tech-Unternehmen konkurrieren meist um erstaunliche Funktionen und Annehmlichkeiten – oder machen sich im Zeitalter der Big-Tech-Monopole kaum die Mühe, überhaupt miteinander zu konkurrieren. Warum macht die Regierung die schlimmsten Sicherheitspraktiken nicht illegal?

„Die Gesetze kommen vom Kongress“, sagte mir FCC-Vorsitzende Jessica Rosenworcel in einem Interview. „Regulierungsbehörden sollten die ihnen zur Verfügung stehenden Gesetze nutzen, um zeitgemäße Richtlinien zu entwickeln.“

Es ist wahr, dass das Warten auf neue Technologiegesetze für uns Benutzer nicht gut funktioniert. „Es wundert mich, dass wir das jetzt weiter machen müssen, auch wenn es keine neuen Gesetze gibt, weil die Zahl intelligenter Geräte so schnell wächst“, sagte Rosenworcel. (Hat ein vernetztes Gerät Sie schon einmal angreifbar gemacht? Schicken Sie mir eine E-Mail.)

„Ich weiß, dass es als Verbraucher verwirrend sein kann“, sagte sie. „Ich erinnere mich, als meine Kinder noch klein waren und wir ein Babyphone kauften und ich innehielt und dachte: ‚Möchte ich, dass er mir einen Feed schickt, den ich auf meinem Handy abhören kann?‘“ Wie schnell können Sie sicherstellen, dass das Standardkennwort geändert wird? „

Die Schwesterbehörde der FCC, die Federal Trade Commission, hat Dutzende Klagen gegen die Unternehmen wegen Datensicherheit eingereicht. Die Wahrheit ist jedoch, dass diese Durchsetzungsbemühungen die Gerätehersteller nicht direkt abgeschreckt haben.

Betrachten Sie das Cyber-Trust-Siegel also eher als eine Karotte, um besseres Verhalten zu fördern Justin Brockman, Direktor für Technologiepolitik bei Consumer Reports, der zur Auftaktveranstaltung im Weißen Haus war. „Ich denke, das ist eine gute Idee“, sagte er. „Vielleicht können wir nicht alle schlechten loswerden, also lasst uns zumindest die guten ermutigen.“

Jetzt steckt der Teufel im Detail

Folgendes werde ich genau beobachten: Die FCC hat das Programm angekündigt, aber noch nicht bekannt gegeben, welche Mindeststandards Produkte erfüllen müssen, um das Siegel zu erhalten.

Die FCC hat noch nicht festgelegt, welche Arten von vernetzten Produkten das Internet Trust Mark erhalten können. Rosenworcel forderte die Anbindung von Kühlschränken, Mikrowellen, Fernsehern, Klimaanlagen, Fitness-Trackern und Babyphones. Aber was ist mit Lautsprechern, Türklingeln und Überwachungskameras? Und vergessen Sie nicht die Autos! Mittlerweile handelt es sich im Wesentlichen um Smartphones auf Rädern.

Standards werden durch einen Regelsetzungsprozess festgelegt, in dem die FCC Rückmeldungen von Verbrauchern und der Industrie einholt. (Mein Kollege Tim Starks hat in seinem Cyber ​​​​202-Newsletter weitere Einzelheiten zu dem Prozess beschrieben.) Sie folgen den Richtlinien des National Institute of Standards and Technology.

Aber ich bin mir nicht sicher, ob wir einer Branche vertrauen können, die so rücksichtslos mit unseren Daten umgeht und die Messlatte hoch anstrebt. Beispielsweise scheint es eine gute Idee zu sein, regelmäßige Sicherheitsupdates zu verlangen. Aber wie viele Jahre? (Es ist bekannt, dass einige Telefonhersteller nur sehr wenig anbieten.) Wie schnell können Verbraucher von einem Cyber ​​Trust Mark-Produkt erwarten, dass es Notfall-Patches für den Umgang mit neu entdeckten Bedrohungen bereitstellt?

Auch die Vorgabe, die Daten zu verschlüsseln, scheint eine gute Grundlage zu sein. Aber muss dies so erfolgen, dass nur der Endbenutzer darauf zugreifen kann?

„Diese Details sind wirklich wichtig“, sagte mir Rosenworcel, obwohl sie sagte, sie wolle mehr Informationen sammeln, bevor sie ihren Standpunkt darlegte.

Die Vor- und Nachteile der Verwendung von allsehenden Überwachungskameras für zu Hause

Bei der Auftaktveranstaltung am Dienstag gaben Amazon und Samsung ihr Engagement für das Programm bekannt. Aber keines der beiden Unternehmen hat meine Fragen zu den Mindeststandards beantwortet, die das E-Trust-Label ihrer Meinung nach enthalten sollte. Die Consumer Technology Association, die Branchengruppe, die die jährliche CES-Messe in Las Vegas veranstaltet, hat ihre Arbeitsgruppen eingeladen, diese Fragen zu diskutieren.

Bemerkenswerterweise fehlte bei der Veranstaltung im Weißen Haus auch das größte Unternehmen für Verbrauchertechnologie in den Vereinigten Staaten: Apple. Ein Apple-Sprecher antwortete nicht auf meine Bitte um Stellungnahme.

Professorin Laurie Cranor von der Carnegie Mellon Universitydessen Forschung Möglichkeiten zur Verbesserung der Sicherheit und Offenlegung der Privatsphäre für Benutzer umfasst, hofft, dass der endgültige Standard den Datenschutz nicht außer Acht lassen wird.

schlugen sie und ihre Kollegen vor Auch auf dem Etikett selbst Grundlegende Informationen wie erfasste und weitergegebene Daten. „Wir denken, dass es wirklich wichtig ist, wenn man eine Versicherung möchte [internet of things] Gerät, dann müssen Sie wissen, welche Sensoren im Gerät vorhanden sind. Das ist aber Teil der Sicherheit und auch Teil der Privatsphäre.“

Sie möchte auch, dass Benutzertests Teil des Prozesses sind. „Wir wollen es mit Verbrauchern testen und nicht nur ein paar Leute in Hinterzimmern haben, die sagen, das sei eine gute Sache“, sagte sie.

Wann können wir damit rechnen, das Abzeichen auf Geräten zu sehen?

„Diese Dinge bewegen sich nicht schnell“, sagte Rosenworcel. Sie hat sich nicht auf einen Zeitplan festgelegt, hofft jedoch, dass die Systeme vorhanden sein werden, um das Label bis Ende 2024 zu ermöglichen.