Liebe Leserinnen und Leser,
eine Studie des DIN-Verbraucherrates erklärt, wie dem „Privacy Paradox“ zu begegnen ist, dass IoT-Gerätschaften „Usable Security“ fehlt und wie sich „Security by Design“ bewerkstelligen lässt – mit dem urdeutschen Ruf nach neuen Normen.
Eine 77-seitige Studie des DIN-Verbraucherrates zum „Verbrauchersicherheitswissen und -verhalten im Digitalen Raum“ widmete sich der Frage, wie es um die Sicherheit von IoT-Geräten steht (www.din.de, Kurzlink https://bit.ly/3Lj6IQ6). IoT steht für Inter-net-of-Things und es geht z. B. um Geräte der vernetzten Haustechnik (etwa über das Internet fernsteuerbare Videokameras, smarte Türschließungsanlagen, Heizungssteuerungen oder Roboterstaubsauger) oder Unterhaltungselektronik (z. B. Internetrouter, internetfähige TV-Geräte oder Smartphones). Dabei sollten Wissen, Verhalten und Einstellungen von Verbrauchern im Rahmen einer repräsentativen Onlinebefragung (995 Teilnehmer) plus Literaturrecherche erforscht werden.
Die Studie wurde auf Grund eines Bundestagsbeschlusses gefördert vom Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz. Der DIN-Verbraucherrat vertritt nach eigener Aussage die Interessen der Verbraucher in Normung und Standardisierung.
Die Verfasser der Studie stellen detailliert fest, dass es bereits einen Instrumentenmix zum Schutz der Verbraucher vor Sicherheitsrisiken gibt: 1. Rechtliche Regeln für Mindeststandards, 2. „untergesetzliche“ Konkretisierungen durch Normen und Standards für Hersteller und Anbieter sowie 3. Verbraucherbildungs- und Verbraucherinformationsaktivitäten.
Eine der interessantesten Aussagen findet sich in Kapitel 3.2., das die Diskrepanz zwischen Wissen und Verhalten, das sogenannte Privacy Paradox, beschreibt. Will sagen: Die Verbraucher wissen zwar, dass sie unsichere Geräte nutzen – sie ändern ihr Nutzungsverhalten jedoch nicht entsprechend. Sie achten also z. B. nicht auf eine sichere https-Verbindung, nutzen die Zwei-Faktor-Authentisierung nicht, legen nicht regelmäßig Sicherheitskopien an usw.
Ein weiteres Ergebnis der Studie lautet: Insbesondere Unverständlichkeit und eine hohe Komplexität hindern Nutzer daran, Geräte nicht alleinständig einzurichten. Es fehle, so die Studie, an einer Umsetzung des Konzeptes der „Usable Security“, also der möglichst intuitiven Handhabung von Sicherheitsaspekten durch Verbraucher.
Es hätte mich sehr gewundert, wenn eine Studie des DIN-Verbraucherrates zu einem anderen Ergebnis gekommen wäre als dass „ein hohes Niveau an IT-Sicherheit für verbrauchernahe IT-Produkte ( … ) durch Gesetz und Normung konsequent, lückenlos und spezifisch vorgegeben und durchgesetzt werden“ muss. Und: „Die Grundlage für ein hohes Niveau an IT-Sicherheit ist Security by Design, d. h. dass Hersteller bereits bei der Konzeption von IT-Produkten IT-Sicherheit konsequent nach dem neuesten Stand der Technik umsetzen und IT-Produkte auch während deren gesamter Lebensdauer sicher halten.“
