Software-Updates: Datenschützer plädieren für Open-Source-Lizenz nach Support-Ende

Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation drängt auf bessere Verfahren, um die Firmware eingebetteter Systeme im Internet der Dinge rascher und länger aktuell zu halten.

In Pocket speichern vorlesen Druckansicht 116 Kommentare lesen
Digital gesteuertes Zuhause

(Bild: dpa, Thalia Engel)

Lesezeit: 3 Min.
Von
  • Stefan Krempl

Dass Sicherheitsupdates für elementare Programme rechtzeitig und richtig aufgespielt werden, ist schon bei herkömmlichen Computern nicht immer ein Kinderspiel. Noch größer sind die Herausforderungen bei den sich rasant verbreitenden eingebetteten Systemen im Internet der Dinge, auf die der Nutzer oft keinen direkten Zugriff hat und die auch von den Herstellern häufig "vergessen" werden. Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation, an der neben Aufsichtsbehörden auch Regierungsstellen, Vertreter internationaler Organisationen und Wissenschaftler aus aller Welt beteiligt sind, hat daher jetzt Empfehlungen herausgegeben, um daraus entstehende Sicherheitsdebakel im Internet of Things (IoT) und damit verknüpfte Grundrechtseingriffe zu verhindern.

An Gerätehersteller plädiert das Expertengremium, sichere Updateverfahren für Firmware zu entwickeln und die Aktualisierungen "nahtlos und rasch" vorzugsweise durch automatische Verfahren bereitzustellen. Nur so könne der Aufwand für private Nutzer, die auf "smarte" vernetzte Geräte setzen, so gering wie möglich gehalten werden. Bei automatischen Updatemechanismen müssten aber "Datenschutzaspekte, sicherheitsfreundliche Standardeinstellungen sowie die vom Benutzer zuvor festgelegten Konfigurationsoptionen berücksichtigt werden". Anwender sollten die Option haben, einzelne Aktualisierungen zuzulassen oder abzulehnen und den Update-Zeitpunkt selbst wählen können.

Die Produzenten müssen laut der Arbeitsgruppe auch gewährleisten, dass alle Drittanbieter kontinuierlichen Support für Firmware bereitstellen, die Bestandteil ausgelieferter Komponenten ist. Dazu kommen sollten ausführliche Tests von Firmware an sich sowie zugehöriger Updates. Nötig sei es, eine "eindeutige Frist für den Sicherheitssupport für alle entwickelten Geräte" festzulegen, vorab zu kommunizieren und den Käufer rechtzeitig an das Ende der Frist zu erinnern. Hersteller sollten zudem "kostengünstige Alternativen für fortgesetzten Support" nach Ende der offiziellen Geräteunterstützung prüfen. Denkbar sei im Anschluss etwa "die Freigabe von Quellcode im Rahmen einer Open-Source-Lizenz".

Unternehmen rät die Gruppe, eine Ressourcenliste zu führen, mit der sich Geräte physisch und logisch lokalisieren und ihr Updatestand einsehen lässt. Sie müssten dafür sorgen, dass sie von Geräteherstellern über Sicherheitslücken informiert werden, und so schnell wie möglich auf solche Warnungen reagieren. Privatpersonen sollten wissen, dass das jeweilige Gerät oder das übergeordnete Netzwerk "unnötige Sicherheitslücken aufweisen" und dadurch zusätzliche Risiken für Dritte entstehen könnten, wenn sie Firmware-Updates ablehnten. An Regulierer und Gesetzgeber geht der Appell, Anforderungen rund um Software-Aktualisierungen und den abzudeckenden Zeitraum aufzustellen sowie Zertifizierungsverfahren festzulegen. Die große Koalition will in diesem Bereich ein Gütesiegel für IT-Sicherheit lancieren. Dabei müssten Hersteller kennzeichnen, wie lange sie Geräte mit "sicherheitsrelevanten Updates" versorgen.

tipps+tricks zum Thema:

(axk)