Warum Sie sich für das Smart-Home-Gesetz interessieren sollten, das Kalifornien gerade verabschiedet hat
Amerikas allererstes Smart-Home-Sicherheitsgesetz wurde gerade in Kalifornien unterzeichnet – aber unabhängig davon, wo Sie leben, sollten Sie es wahrscheinlich auffrischen.
Der Gesetzentwurf (SB-327) schreibt vor, dass ab dem 1. Januar 2020 alle Hersteller von IoT-Geräten – Smart Speakers, Smart Thermostats, was auch immer – „angemessene” Sicherheitsfunktionen enthalten müssen. Im Grunde geht es darum, alle Ihre vernetzten Geräte vor böswilligen Angriffen zu schützen Personen, die sie sonst von außerhalb Ihres Hauses manipulieren könnten.
Lesen Sie dies: Der Sicherheitskampf um Ihre Heimtechnik hat begonnen
Der Gesetzentwurf hat viele Diskussionen ausgelöst, wobei einige die Gesetzgebung lobten und betonten, wie wichtig es ist, diese Grundlagen frühzeitig zu schaffen – andere kritisierten ihn jedoch als unwirksam und sogar schädlich. Lass es uns aufschlüsseln.
Ok, was macht die Rechnung eigentlich?
Das zentrale Edikt des Gesetzentwurfs legt fest, dass Hersteller von IoT-Geräten ihre Technologie mit „angemessenen” Sicherheitsfunktionen ausstatten müssen, die „unbefugten Zugriff, Zerstörung, Verwendung, Änderung oder Offenlegung” von Benutzerinformationen verhindern.
Eine spezifische Anforderung, die in der Rechnung festgelegt ist, ist, dass jeder Smart-Home-Techniker mit Zugriffsmöglichkeiten außerhalb eines lokalen Netzwerks ein eindeutiges Passwort für dieses Gerät haben muss oder Benutzern erlauben muss, ein eindeutiges Passwort festzulegen, wenn sie das Gerät einrichten.
Einige Smart-Home-Geräte sind mit hartcodierten Passwörtern ausgestattet, auf die Außenstehende mit böswilligen Absichten zugreifen könnten (diese Passwörter sind oft leicht im Internet verfügbar), um aus der Ferne einzubrechen.
Ja, das stimmt, hartcodierte Passwörter sind immer noch ein Problem im Smart Home. Letztes Jahr ergab eine Untersuchung des finnischen Informationssicherheitsunternehmens F-Secure, dass Heimüberwachungskameras der Firma Foscam diese hartcodierten Passwörter verwendeten. Es scheint lächerlich, dass ein solcher Fehler existieren könnte, aber es ist leider wahr.
Ich bin nicht in Kalifornien. Warum sollte es mich kümmern?
Ganz ruhig, Kumpel. Während das Gesetz (bisher) nur in Kalifornien verabschiedet wurde, werden die Auswirkungen auf Kunden in den gesamten USA zu spüren sein, da voraussichtlich alle Geräte die gleichen Sicherheitsvorkehrungen enthalten werden. Dh wir können uns nicht vorstellen, dass Unternehmen wie Samsung und Amazon ihre Produkte nur für den kalifornischen Markt optimieren.
Selbst wenn ein Gerät außerhalb von Kalifornien oder den USA hergestellt wird, muss es sich dennoch an die Gesetze halten, wenn es seine Geräte in diesem Bundesstaat verkaufen möchte – falls Sie der Meinung sind, dass es dort eine Lücke geben könnte.
Klingt gut. Warum sind sich nicht alle einig?
Denn obwohl der Geist des Gesetzentwurfs richtig ist, glauben Cybersicherheitsexperten nicht, dass er die beabsichtigten Auswirkungen haben wird.
Der IoT-Experte Robert Graham sagt, der Gesetzentwurf beruhe auf einem „oberflächlichen Verständnis” der Cybersicherheit und erhebe die Behauptung, dass er die Sicherheit nicht verbessern werde. Graham vergleicht das Problem mit einer Diät: So wie weniger zu essen der Schlüssel zu einer Diät ist, sollte es bei der Cybersicherheit nicht darum gehen, mehr Sicherheitsfunktionen hinzuzufügen, sondern weniger sichere Funktionen zu entfernen. „Das Hinzufügen von Funktionen ist eine typische ‚magische Pille' oder ‚Wunderwaffe', wenn man bedenkt, dass wir einen Großteil unserer Zeit in der Informationssicherheit verbringen, um dagegen anzukämpfen”, sagte er.
Graham kritisierte auch die „vage” Sprache des Gesetzentwurfs, der verlangt, dass Geräte „vernünftige” und „angemessene” Sicherheitsmerkmale haben. „Es ist unmöglich für jedes Unternehmen zu wissen, was diese Worte bedeuten, unmöglich zu wissen, ob sie mit dem Gesetz konform sind.”
Graham glaubt auch, dass der Fokus auf hartcodierte Passwörter fehlgeleitet ist. Er stimmt zu, dass diese entfernt werden sollten, sagt aber, dass „sie die Sprache falsch verstehen”. Er sagt, dass das Problem komplexer ist: Ein typisches Gerät „hat kein einziges Passwort, sondern viele Dinge, die Passwörter genannt werden können oder nicht”.
Andere Experten sind sich einig, dass die Sprache stellenweise zu vage ist, da sie glauben, dass die Regeln meist undefiniert bleiben. In der Tat heißt es in dem Gesetzentwurf wiederholt, dass die Bestimmungen für das Gerät „angemessen” sein sollten, ohne Einzelheiten festzulegen. Einige haben jedoch angedeutet, dass diese Formulierung beabsichtigt ist, da sie es den Geräteherstellern ermöglicht, sich an die Technologie anzupassen und sich mit ihr weiterzuentwickeln.
Ein weiterer Punkt, der von der California Manufacturers and Technology Association angesprochen wurde, ist, dass die Gesetzesvorlage den Wettbewerb im Staat vertreiben könnte, aber wie wir oben sagten, scheint es unwahrscheinlich, dass Unternehmen in Betracht ziehen würden, Geräte zu entwickeln, die in Kalifornien sicherer sind als in anderen Staaten. Darüber hinaus ist es wahrscheinlich, dass andere Bundesstaaten in die Fußstapfen Kaliforniens treten werden.
Zusammenfassend wird dies der Beginn eines längeren Gesprächs sein. Das Herz der Rechnung ist am richtigen Ort; All dies ist wichtig, um das Smart Home sicher zu halten. Aber es wird eine andauernde Diskussion vor und nach Januar 2020 sein.