Duitse overheid breidt digitaal beveiligingslabel voor iot-apparaten uit

De Duitse overheid heeft het keurmerk dat de beveiliging van iot-apparaten kan weergeven, uitgebreid naar alle 'slimme apparaten'. Voorheen konden alleen bepaalde apparaten, zoals slimme tv's en luidsprekers, het keurmerk dragen.

Het label is volgens het Duitse Bundesamt für Sicherheit in der Informationstechnik een keurmerk waarmee fabrikanten kunnen aangeven dat producten aan bepaalde veiligheidseisen voldoen. Dit label bestond al, maar was voorheen alleen beschikbaar voor slimme camera’s, luidsprekers, schoonmaak- en tuinrobots, speelgoed en televisieapparaten. Nu komen alle slimme consumentenelektronica in aanmerking voor het label.

Consumenten die het label aantreffen op de verpakking van iot- of slimme apparaten kunnen de QR-code op het label scannen om zo via een productpagina meer informatie te krijgen over de vermeende beveiliging van het apparaat. Op die productpagina staat vervolgens te lezen dat de fabrikant claimt te voldoen aan de voorschriften van het Bundesamt für Sicherheit in der Informationstechnik, kortweg BSI, en welke veiligheidsmaatregelen er van toepassing zijn op het slimme apparaat.

Het label garandeert echter niet dat het product absoluut veilig is en dat de veiligheidsmaatregelen nog van toepassing zijn nadat de vervaltermijn van het label verstreken is. Bij de meeste producten is die termijn twee jaar. Het BSI kan controleren of de claims van de fabrikanten kloppen met de werkelijkheid. Als dat niet het geval blijkt te zijn, moet de fabrikant het gebruik van het label stoppen en zal dit te zien zijn op de productpagina van een apparaat dat over het label beschikte.

Het label is gebaseerd op de Europese beveiligingsnorm ETSI EN 303 645. Die norm is in 2020 geïntroduceerd door het Europees Telecommunicatie en Standaardisatie Instituut en schrijft onder andere voor dat iot-apparaten over een uniek wachtwoord moeten beschikken of over een wachtwoord dat door de gebruikers zelf in te stellen valt. Daarnaast zijn er nog bepalingen van toepassing.

Volgens het BSI groeit het aantal slimme apparaten met intelligente en nuttige functies voor de consument in een snel tempo. Het cybersecuritycentrum claimt dat daarmee ook de behoefte aan IT-beveiliging van deze apparaten groeit en stelt dat het label voor transparantie wat betreft beveiliging bij deze toestellen moet zorgen. Op die manier denkt het BSI dat IT-beveiliging een belangrijke factor wordt in de aankoopbeslissing van slimme apparaten.

Label Duitse overheid

Door Jay Stout

Redacteur

28-09-2022 • 17:11

23 Linkedin

Reacties (23)

Wijzig sortering
Waarom is een duitse label nou zo interessant? Er zijn zoveel labels. Komt er ook een label der labels? Onzin dus.
Omdat dit een Europese beveligingsstandaard is die al een aardige tijd in de maak is, maar nog niet echt door een lidstaat groot in gebruik is genomen.

Hopelijk zorgt deze stap ervoor dat andere landen dit ook gaan doen.

Onder deze standaard zit bijvoorbeeld de updatebaarheid, het verbieden van standaard wachtwoorden, geen legacy encryptie meer voor communicatie, aantonen van best practices, geen debug functies ingeschakeld.

Maar ook dingen als privacy, zo min mogelijk data opslaan, het makkelijk maken voor gebruikers om gebruikersdata te verwijderen (voor tweedehands verkoop of RMA)

Wat dat betreft is het een veel omvattende standaard.
Omdat dit een van de dingen is waar we keihard tegenaan lopen met IoT. Goedkope meuk zonder beveiligingen of heel sumier, die in een botnet worden opgenomen en eens in de zoveel tijd een half land platleggen qua informatievoorziening. Dingen zoals DDoS van overheidssites en banken. Totaal niet handig.
Zoals dat in het artikel staat. Omdat het een keurmerk is waarmee fabrikanten kunnen aangeven dat producten aan bepaalde veiligheidseisen voldoen. Het label is gebaseerd op de Europese beveiligingsnorm ETSI EN 303 645.

[Reactie gewijzigd door mapa2011 op 28 september 2022 17:27]

Ik zou het graag nog strenger zien: als er geen keurmerk op zit, dan is het niet toegestaan om te gebruiken.
Bedoel je zo'n keurmerk die je kan kopen van een stichting? Gewoon even een x bedrag overmaken en je hebt je keurmerk. Bedoel je dat? Wat voegt dat toe? Een beetje een Rob Geus keurmerk... :D

[Reactie gewijzigd door GioStyle op 28 september 2022 17:26]

Ik bedoel een keurmerk vergelijkbaar met waar dit artikel over gaat. Dus vanuit de overheid (het liefst europees geregeld). En natuurlijk ga je grijze import nooit volledig tegenhouden, maar je zou de eigenaar prima aansprakelijk kunnen stellen als het apparaat onderdeel wordt van een botnet en geen keurmerk heeft.
Ik zou het graag nog strenger zien: als er geen keurmerk op zit, dan is het niet toegestaan om te gebruiken.
Dat hebben we al. Dat is de CE markering.
En daar werkt dat ook niet.
CE is een markering wat een zelf verklaring is. bedrijven mogen dit zelf afgeven. de bedoeling is dat bedrijven het zelf testen op alle eisen en op basis daarvan CE complaince af te geven. de nationale overheid is verantwoordelijk om steekproeven uit te voeren of het daadwerkelijk klopt. helaas door dit systeem is het mogelijk om misbruik te maken. keurmerken kunnen wel helpen mits ze door een onafhankelijke organisatie worden afgegeven die ook dat onder accreditatie mag doen.
Dat komt dan neer op afschrijven van de producten met twee jaar.
Daar gaan we inderdaad naartoe en dat is meer dan terecht. Nu is het alleen een advies, op een gegeven moment komt er hoop ik een verkoopverbod en uiteindelijk een gebruiksverbod voor onveilige apparaten. Als er geen strenge regels gaan gelden dan is dadelijk het hek van de dam en zijn we als maatschappij te kwetsbaar.
Ik denk dat je een beetje doorschiet. Of ga jij ook elke 2 jaar je CV-ketel of je oven vervangen? Want ook die apparaten gebruiken steeds vaker iot. Wat belangrijk is, is dat ze lang genoeg updates krijgen en voldoende veilig zijn. Als je denkt dat je alle iot in een huis elke 2 jaar kunt vervangen ben je wel heel erg naïef. Afgezien van dat het onbetaalbaar is, is het ook extreem milieu onvriendelijk. En vergeet ook niet dat je dan je auto ook elke 2 jaar zou moeten vervangen. Dat is natuurlijk niet haalbaar. Fabrikanten moeten gewoon zorgen dat apparatuur lang genoeg kan worden geüpdate.
Een CV-ketel en oven staan over het algemeen niet in verbinding met het internet en als dat wel het geval is dan vraag ik mij heel sterk af of dat wel wenselijk is?

Het keurmerk verlangt dat ieder apparaat standaard over een uniek en veilig wachtwoord beschikt en dat de gebruiker in staat moet zijn om dit wachtwoord te wijzigen. Veel IoT apparaten voldoen hier al niet eens aan, bevatten een generiek wachtwoord en beschikken over een zwakke beveiliging.
Wat maakt dat volgens jou dan in de praktijk voor nodig verschil?
Niet toegestaan om te gebruiken is prima voor drugs en wapens, maar moeten ze absoluut niet doen met dit soort dingen. Niet toegestaan om te verkopen is wat mij betreft prima.
Veel belangrijker: De verplichting om bij die zooi je locatie te moeten aanzetten om überhaupt de software te kunnen installeren. Over privacy gesproken.
Regeltjes regeltjes regeltjes, kost ons alleen maar geld en schiet niet op
Zou een dergelijk keurmerk ook regelen hoe lang er ondersteuning moet zijn voor de soft/firmware van dergelijke producten. Al te vaak gehad dat het na 1 update ophoudt.
Bijvoorbeeld 5 jaar veiligheids updates. Waarbij voor een slimme schakelaar bijvoorbeeld 5 jaar wat aan de korte kant is.
Er zijn inderdaad EU-richtlijnen in de maak die dit gaan afdwingen. Daar wordt dus aan gewerkt.
Ik ben hier niet zonder meer blij mee. "Beveiliging" betekent maar al te vaak dat het dichtgetimmerd/cloud-only is, zodat je als als gebruiker toch weer beperkt wordt in je mogelijkheden. Ik wil (en heb) mijn combi-oven en stofzuiger niet aan een cloud-ding hangen om met een app in te moeten loggen om die dingen te bedienen. Ik wil dat gewoon lokaal doen. Die apparaten hoeven helemaal niet internet op.

Ik zag ooit een staande lamp, die gewoon een webserver had ingebouwd en zich via zeroconf op WLAN beschikbaar maakte. Met een willekeurige browser kon je dan op je LAN (en alleen LAN) naar http://lamp.local oid gaan, en het ding instellen. Dát is wat ik wil. Helaas vind ik hem niet meer :(
Cloud only ben ik ook tegen. Certificaten die gecontroleerd worden door een democratisch bestuurde instantie ben ik voor.
Onvoldoende beveiligde producten verbieden, dus van de markt en van internet weren, voor ons aller veiligheid!

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee