Online Trust Alliance: Best Practices für Sicherheit im Internet der Dinge

Die »Online Trust Alliance«, in der sich zahlreiche Hersteller zusammengeschlossen haben, nimmt sich des Internets der Dinge an und hat Sicherheitsrichtlinien entwickelt, die allzu hemmungslose Datensammelei und Angriffe auf internetfähige Geräte verhindern sollen.

(Foto: Kaspars Grinvalds - Fotolia)

Im Januar hatte die »Online Trust Alliance« (OTA), in der sich zahlreiche Hersteller wie AVG, Microsoft, Symantec und Verisign zusammengeschlossen haben, eine Arbeitsgruppe für das Internet of Things (IoT) ins Leben gerufen. Diese sollte Security-Richtlinien für vernetzte Geräte entwickeln, um deren Sicherheit zu verbessern und das Vertrauen der Anwender in die Technologien zu stärken – schließlich sind viele smarte Dinge fleißige Datensammler. Oft ist aber unklar, wo die Daten schlussendlich landen und was mit ihnen passiert.

Mittlerweile hat die OTA-Arbeitsgruppe ein »Internet of Things Trust Framework« veröffentlicht, das Richtlinien für Hersteller, Entwickler und Händler enthält. Damit sollen Mindeststandards für Security und Privacy festgeschrieben werden, auch wenn es sich bislang nur um einen ersten Entwurf handelt, an dem weiter gearbeitet wird. Darin ist unter anderem eine Verschlüsselung personenbezogener Daten vorgesehen und es wird eine Ende-zu-Ende-Verschlüsselung für drahtlose Datenübertragungen empfohlen. Zudem sollen die Nutzer gezwungen werden, Default-Passwörter bei der Inbetriebnahme der Geräte zu ändern. Beim Pairing mit anderen Geräten wird eine sichtbare Benachrichtigung gefordert, besser noch eine Bestätigung des Nutzers.

Außerdem sollen Hersteller, Software-Entwickler und die Anbieter von Online-Services, die sich dem Verhaltenskodex der OTA unterwerfen, ihren Kunden die Möglichkeit geben, sich vor dem Kauf, dem Download oder der Aktivierung über die Datenschutzrichtlinien zu informieren. Und darüber, inwieweit sich die Geräte, Anwendungen und Dienste überhaupt nutzen lassen, wenn der Nutzer einer Übertragung seiner Daten nicht zustimmt. Werden Daten an Dritte weitergegeben, so ist das nur gestattet, wenn sie diese vertraulich und nur für die vorgesehenen Zwecke verwenden.

Übersicht