Auf den Punkt gebracht: Unsere Mindestsicherheitsanforderungen

Trotz wachsender Bedenken über die Sicherheit von mit dem Internet verbundenen Geräten entwickeln und verkaufen viele Unternehmen weiterhin unsichere Produkte. Viele Unternehmen bieten keine klaren Informationen über den Datenschutz und die Sicherheit der intelligenten Geräte an, die sie verkaufen. Werden Ihre persönlichen Daten auf eine Art und Weise verwendet, die Sie vielleicht nicht vorhergesehen oder erwartet haben?

2018 beschlossen Mozilla, Consumers International und die Internet Society, diese Lücken proaktiver anzugehen. Wir finden, die Branche sollte über Grenzen auf dem Gebiet sprechen und Vorgehensweisen unterbinden, die in intelligenten Geräten zu den ungeheuerlichsten Pannen führen.

Zusammen haben die drei Organisationen fünf Mindestanforderungen festgelegt, die jedes Unternehmen, das intelligente Geräte herstellt, erfüllen können sollte.

Mindestsicherheitsanforderungen

Verschlüsselung

Das Produkt muss für alle seine Netzwerkkommunikationsfunktionen und -fähigkeiten Verschlüsselung verwenden, um sicherzustellen, dass die Kommunikation während der Übertragung nicht abgehört oder verändert wird. Benutzerdaten sollten verschlüsselt werden, wenn sie gespeichert werden.

Sicherheitsupdates [1]

Das Produkt muss automatische Updates für einen angemessenen Zeitraum nach dem Verkauf unterstützen, die standardmäßig aktiviert sein sollten. Auf diese Weise wird sichergestellt, dass der Verkäufer, wenn eine Schwachstelle bekannt ist, Sicherheitsupdates für Verbraucher zur Verfügung stellen kann, die verifiziert und dann nahtlos installiert werden. Updates sollten die Verfügbarkeit des Produkts nicht beeinflussen.

Starke Passwörter [2]

Wenn das Produkt Passwörter für die Fernauthentifizierung verwendet, muss es die Verwendung von starken Passwörtern verlangen, einschließlich Anforderungen an die Passwortstärke. Alle nicht eindeutigen Standardpasswörter müssen als Teil der anfänglichen Einrichtung des Geräts ebenfalls zurückgesetzt werden. Dadurch wird das Gerät vor Angriffen mit erratbaren Passwörtern geschützt, die zu einem kompromittierten Gerät führen könnten.

Sicherheitslücken-Management

Der Anbieter muss über ein System verfügen, um Sicherheitslücken im Produkt zu managen. Dazu gehört auch das Vorhandensein einer Anlaufstelle für die Meldung von Lücken oder ein gleichwertiges Bug-Bounty-Programm. Auf diese Weise wird sichergestellt, dass die Anbieter die Sicherheitslücken während des gesamten Lebenszyklus des Produkts aktiv managen.

Datenschutzpraktiken [3]

Es muss Datenschutzhinweise speziell für das Gerät geben. Eine allgemeine Datenschutzrichtlinie für den Webauftritt des Unternehmens ist nicht ausreichend.

[1] Automatische Updates sind fundamental wichtig, um die Sicherheit eines Produkts zu gewährleisten. Trotzdem gibt es Bedenken, dass solche Updates zum Nachteil der Verbraucher sein können. Diese Sicherheitsanforderungen sollen in keiner Weise Updates ermuntern oder dulden, die die Datenschutzeigenschaften von Produkten schwächen oder Sicherheits- oder Datenschutzeinstellungen so modifizieren, dass die Wahl und die Erwartungen der Verbraucher nicht beachtet werden.

[2] Diese Sicherheitsanforderungen fordern auch nicht ein, dass alles Produkte passwortgeschützt sein müssen. Dies gilt für Geräte, die Passwörter für eine Authentifizierung aus der Ferne nutzen, nicht für solche, die der Verbraucher vor Ort bedient. Viele intelligente Geräte nutzen sichere Methoden für eine Authentifizierung mittels Bluetooth, die ohne Passwörter funktionieren.

[3] In unserem *Datenschutz nicht inbegriffen Shoppingratgeber beurteilen wir, ob Daten mit Dritten geteilt werden, ob sie gelöscht werden können und ob die Datenschutzhinweise leicht verständlich sind.