 Ihr habt euch sicherlich alle schon mal mit IoT beschäftigt, deswegen seid ihr wahrscheinlich hier, habt aber auch gehört, dass das Essen IoT für Security steht. Dem gleichen Problem hat sich das Europäische Normungsinstitut angenommen und eben eine Norm veröffentlicht. Kevin ist Security Consultant, hat sich auch dementsprechend mit diesem Thema beschäftigt und stellt uns mal heute vor, was da so alles drin steht, was man daraus lernen kann, was man dann an Best Practices auch umsetzen kann. Und in diesem Sinne wünsche ich euch viel Spaß mit seinem Vortrag. Vielen Dank, Lars. Du hast schon erwähnt, dass EEN steht für Europäische Norm und ich bin überrascht, wie viele Menschen an Normen interessiert sind. Also ehrliche Antwort, wer hat noch nie etwas von der EEN 303645 gehört? Cool. Ich muss jetzt so sagen, dieser Talk jetzt, das ist sozusagen die Open Source Version eines kommerziellen Talks, den wir vor einiger Zeit in einem Gremium gehalten haben, wo ganz viele IoT Entwickler von renommierten Herstellerfirmen da waren. Da haben noch mehr Leute, noch nichts von der Norm gehört. Und deswegen werden wir mal ein bisschen darüber reden. Was ist so das Credo des Talks? How do you call a bug after his 18th Birthday? Firmenwer. Wir haben bei IoT Devices tatsächlich den Punkt, dass wir Bugs eine lange, lange Zeit drin haben. Und diese diese Umstände, die führen zu einer Kette, wo es einfach mal notwendig ist, dass wir auch über dieses Thema reden. Und das hat sich nicht nur hier die Kuloff-Programmier-Nacht überlegt, sondern auch die EZEN-Norm. Und deswegen schauen wir mal ein bisschen rein. Was erwartet uns jetzt die nächsten 25 Minuten? Also sagen wir es mal ein bisschen, was über die Cyber Security Lage im Allgemeinen, weil jeder, der einen Cyber Security-Vortrag kennt, der weiß am Anfang das erst mal ein Betrogensbild. Alles ist schlimm. Dann gibt es einen normalen Überblick. Dann schauen wir jetzt konkret die EZEN-Norm an. Wir gehen dann weniger auf die Prüfungsrelevanten Geschichten rein. Das ist dann mehr das Konventionelle, aber gehen mehr ein bisschen auf die Hintergründe zur sicheren Programmierung von IoT Devices drauf ein. Und dann am Schluss gibt es noch eine kleine Fragehunde. Wir werden ein bisschen durchrennen bei den Folien. So, das brauchen wir nicht. Das brauchen wir auch nicht. Genau, also da steht eigentlich nur drin, dass wir halt so weiter an die Hand nehmen für CE, Kennzeichnung und IoT Zertifikate. Cyber Sicherheit, wie schaut es aus? Vor einem Jahr hat es BSI den Lagebericht rausgebracht. Der 30-Milli- also über 30 Milliarden IoT-Geräte weltweit hängen am Netz. 220 Milliarden Euro Schaden nur in der deutschen Wirtschaft. Ich habe zweimal nachgelesen, weil das doch viele Nullen sind. In dem Jahr 144.000 Schadsoftware-Varianten und 44.000 Bot-Infektionen. Wir wissen, die meisten Bot-Infektionen kommen mittlerweile von IoT Devices her. BSI hat gesagt Alarmstufe rot für die Cyber-Sicherheit. Internet of Things, IoT Devices. Was ist IoT? Da hat es auch das BSI eine schöne Definition gegeben. Es gibt ja viele Definitionen, aber dass man das mal hier so in einem Satz formuliert. IoT sind Informations- und Sensortechnisch ausgerüstete Gegenstände, die aus der physischen und virtuellen Welt Daten erfassen, verarbeiten und speichern und miteinander vernetzt sind. Also Kastel mit Netzwerkanschluss oder WLAN, egal was dahinter steckt. Diese Grafik hier auf der rechten Seite, die ist direkt aus der Etsy-Norm für IoT Cyber Security entnommen. Und das sieht man jetzt so einen typischen Aufbau von so einer Infrastruktur daheim, wie IoT Devices mit der Welt kommunizieren. Die hängen irgendwo im Lahn, gehen über den Router ins Wahn und ficken da ihre Informationen entweder in die Cloud, wo es dann der Benutzer abrufen kann oder machen irgendwelche anderen Steuerungssachen damit. Im Bereich Internet of Things, welche Risiken gibt es da? Also wir lachen drüber, reale Risiken, natürlich ganz viel. Spam, Mailware, Zugangsdaten können abgegriffen werden, Devices können komprimitiert werden, dass man Netzwerk-Zugriff hat von außen über die Devices-Botnetze, haben wir schon gehabt, IP-Kameras, Stream-Zugriff, Datenabfluss, wie auch immer, es gibt auch immer mehr Kryptomeiner, die irgendwo installiert werden. Angriffswege, also diese Liste hier ist nicht abschließend, wie man IoT Devices hacken kann. Weil sie einfach unsicher sind. Es gibt in der letzten Zeit einige bekannte Angriffe, also wo Sachen wirklich gehackt worden sind. Smart Speaker als Wanze war recht bekannt in den Nachrichten. Auch lustig, wenn man bei Casino hackt und Aquarium googelt, dann Kreditkarten, also im Bank ist gehackt worden, also Kreditkartenanbieter über die Klimaanlage. HardBleed ist viel noch ein Begriff und würde man jetzt alle gehackten IP-Kamera-Vorfälle der letzten Monate aufzählen. Da würden auch zwei Talks nicht reichen. Also heiße Newsletter, da findet man wöchentlich fast manchmal täglich Sicherheitskritische Vorstellungen in irgendwelchen IoT Internet of Things Devices. Zusätzlich zu diesen ganzen Unsicherheiten, die aktiv ausgenutzt werden durch Cyberkriminelle, die Geräte angreifen, haben wir aber immer mehr ein anderes Phänomen durch unsichere Geräte, und zwar viel Funktionen. AWS-Ausfall letzten Dezember, dass die Staubsauger nicht mehr funktioniert haben, dass Facebook ausgefallen ist, dass man nicht mehr in die Zentrale konnte, weil man mit dem Schlüssel nicht reingekommen ist. Tesla konnte man die Autos nicht mehr aussparen, weil die Cloud ausgefallen ist. Und hier die beiden Screenshots, die sind einfach zu cool Anfang des Jahres. Da unten habt ihr das mitbekommen, mit, ich glaube, Matz da war es. Das ist das Multimedia-System geprickt worden. Hat eine Radiostation, ihr Logo gesendet, Over the Air, ganz legitim, hat aber keinen Dateianhang mitgesendet. Also ich sage es mal so, RadioRegenbogen.jpeg, ohne Punkt JPEG. Von einer bestimmten Serie, alle Entertainment-Systems von Matz, das sind so geprickt, dass man gar nichts mehr hat machen können. Auch kein Over the Air Update, mussten alle in die Garage fahren. Nordamerika war das irgendwie Kanada, habe ich vergessen, wo. Und vor zwei Wochen, vor drei Wochen, Dampf statt Mikrowelle hat das jemand mitbekommen. Also, es gibt eine Firma, die hat einen Slogan, der funktioniert eigentlich immer, Ausschalten, Einschalten geht, AEG, und die haben Mikrowellen gehabt. Und eines Tages haben die Mikrowellen dann doch nicht mehr funktioniert. Ging einfach nicht mehr, haben die Störungsmeldungen angezeigt. Temperaturfühler fehlt, aber die Mikrowelle hat doch gar kein Temperaturfühler. Hat sich rausgestellt, die war ja smart, hat sich in der Nacht Over the Air ein Firmware-Update gezogen. Nur leider war das die Firmware für ein Dampfgarer und nicht für die Mikrowelle. Und die hatte dann eine Identitätskrise. Ich weiß nicht, wie viele davon betroffen worden sind. Over the Air konnten auch nicht updaten, Techniker mussten zu allen hinfahren und die updaten bzw. des fixen. Also, man hat auch in der Hinsicht sehr viele Fehlfunktionen. Soll heißen IoT, Security ist wichtig, IoT-Schwachstellen sind gefährlich, mindestens nervig. Welche Möglichkeiten hat man jetzt anhand irgendwie das durch Normen oder das zu standardisieren, dass man diese Sicherheit von IoT-Devices beurteilen oder festlegen kann? Also, es gibt sehr viele Normen, die die Cyber-Sicherheit betreffen. Common Criteria ist zum Beispiel ein Standard, allerdings ist der dermaßen hoch angesiedelt, auch was die Zertifizierung betrifft, dass das für Consumer-Ioity praktisch nicht sinnvoll ist. NIST ist für vielen Begriff, für Management-Systeme gibt es Standards, IC, 27. Reihe. Dann gibt es den EU Cyber Security Act, der im allgemeinen Cyber-Sicherheit beschreibt und auch sehr aktuell gehalten wird und wichtig ist. Aber speziell für Europa hat sich dann die EC für die europäische Norm, eine neue Norm zu machen, die 303645 und das ist die Norm, die Sicherheit, die Basisanforderungen für sichere IoT-Devices darlegen soll. Die heißt Cyber Security for Consumer IoT. Rausgekommen ist die 2020 sowas, jetzt im Augenblick ist die in der Version von 2021 liegt die vor. Dieser Talk geht jetzt hauptsächlich um diese Normen, weil ich persönlich finde, die ist genial. Klingt jetzt emotionell, aber wer viel mit Normen zu tun hat und darf jetzt nicht Schlimmes über ein VDE sagen, weil hier sind viele Menschen da, die sich auskennen, aber wer sich mit Norm auskennt, der findet die ab und zu mal herausfordernd. Aber die EC 303645, die kann man wirklich einfach lesen und über die ganzen. Es wird jetzt ein ganzer Werbevortrag über diese europäische Norm. Nebenbei, jetzt kommen noch zwei Folien und man muss sich vieles nicht merken von dem Vortrag. Aber zwei Punkte, die könnte man im Kopf behalten, was diese EC EN 303645 Norm betrifft. Der eine Punkt ist, die ist wichtig, um das BSI IT-Sicherheits-Kennzeichen zu erhalten. Wer von dem IT-Sicherheits-Kennzeichen vom Bundesamt für Sicherheit in der Informationstechnik noch nichts gehört hat, das ist hier vom BSI, ein Stempel, den man bekommen kann, wenn man Gerätehersteller oder Service-Dienstleister ist und man mag nachweisen, dass die IT-Sicherheit vorhanden ist. Die Prüfung, um diesen Stempel zu bekommen, ist eine Plausibilitätsprüfung, also eigentlich eine Selbsterklärung, die dann auf Plausibilität geprüft wird. Es wird jetzt nicht hart gegengecheckt oder gepenntestet dagegen. Es basiert natürlich auch Vertrauen, allerdings die Jungs vom BSI sind sehr fit, also da kann man sich nicht wirklich durchmogeln. Und jetzt vor zwei Wochen oder drei Wochen am sechsten, fünften ist es rausgekommen, da haben die jede Menge zusätzliche Geräte in ihre Produktgruppen aufgenommen, also sprich Smartphones, natürlich Smart-Fernseher, Smart-Speaker und noch eine ganze Handvoll anderen Geräte. Und da haben sie sich in Anführungszeichen leicht gemacht, die haben gesagt, okay, für diese Produktgruppen, um das BSI IT-Sicherheits-Kennzeichen zu bekommen. Was ist dafür notwendig? Ja, zertifikat nach ECN 303645. Also das ist ein Punkt, wo diese europäische Norm schon mal sehr relevant wird. Und der zweite Punkt, der ist dieses Jahr interessant, dritt in Kraft im August 2024, Cyber-Sicherheit wird CE-relevant. Warum? Wenn ich ein Gerätehersteller bin, ich mag CE-Kennzeichen haben und mein Gerät hat irgendwas drin, was funkt. WLAN-Modul, Bluetooth-Modul, Netzwerkanschluss. Dann fällt es höchstwahrscheinlich unter die Funkanlagenrichtlinie, Radio-Equipment-Directive. Und die hat einen Wortlaut drin im Artikel 3. Das sind drei Punkte, dass sie do not harm or misuse network, causing unacceptable reduction of service, protection of personal data and privacy, protection from fraud. Also in anderen Worten, damit ein Gerät ein CE-Stempel bekommt, und in zwei Jahren muss es nachweisen, dass es Cyber-Sicher ist. Dass es zumindest die grundsätzlichen Anforderungen erfüllt, damit kein Datenabfluss stattfinden kann und das nicht für böse Sachen missbraucht werden kann. Es wird erwartet, dass um diese Requirements zu erfüllen, noch spezifizierte, harmonisierte Namen rauskommen. Aber bis dahin ist der Standard nach dem gemessen wird auch die EC303645. Also diese beiden Punkten, die sind vielleicht interessant. Warum diese EC-Norm in Zukunft uns hier als Maker oder wenn wir in einer Firma arbeiten, irgendetwas herstellt, wo smart davor steht, noch sehr viel begleiten wird. So viel zu dem Thema. Jetzt schauen wir uns mal die Norm ein bisschen an. Das ist absichtlich die alte Folie, damit auch jeder weiß, dass wir schon ganz lange damit arbeiten. Also mittlerweile gibt es die Version 2.1.1. Was ist dieser EC-N-Standard? Mal kurz erklärt, es ist freierhältlich. Jeder kann sich die Runterladen von der EC-Seite einfach googeln und dann bekommt man die PDFs runter und man kann die auch sehr einfach lesen. Es ist auf Englisch, aber es ist wirklich praktisch geschrieben. Es sind nur 34 Seiten, 67 Anforderungen in 14 Untergruppen und das ist anwendbar auf Consumer IoT-Geräte. Das ist noch interessant, da kommen wir später ein bisschen drauf. Was ist Consumer IoT-Geräte? Also Zielgruppe, Hauptziegelgruppe ist der Endverbraucher. Wobei auch der Smart TV, der beim DAX30-Konzern im Konferenzraum steht, ist ein Consumer-Gerät. Also hier, wenn wir draußen vorbeilaufen, durch die Hand laufen, wir sehen eigentlich nur Consumer IoT-Devices. Das heißt, es ist für sehr, sehr viele Geräte interessant und relevant. Besonders natürlich für die Hersteller von Geräten in erster Linie, auch Dienstleistungen für einen Endverbraucher soll schützen. Und um in den neuen Dschungeln ein bisschen einzutauchen, es gibt einige Dokumente, die klingen so ähnlich, die sind mit der Norm verwandt. Es ist jetzt am Anfang ein bisschen confusing, aber man kommt rein. Es macht auch Sinn. Es gibt zum Beispiel die TS103645, das ist die technische Spezifikation. Die TS103701, das erhält so ein bisschen die Methodik, wie zu prüfen ist. Und die TR103621, das sind Hinweise, wie man die Norm umsetzen kann. Muss man sich jetzt nicht merken, aber nichts aus Versehen auf das falsche Dokument klicken, die schauen zum Teil sehr ähnlich aus. Hat aber auch den Vorteil, also da wurde sich schon was dabei gedacht, weil es ist wirklich eine Handreichung. Es hilft dem Hersteller der Firma auch wirklich diese Vorgaben praktisch umzusetzen. Anwendungsbereich, haben wir schon ein bisschen gehabt, also alles, was smart ist. Spielzeug, Kameras, Fernseher, Lautsprecher, verbundene Rauchmelder fallen dazu. Es gibt ein paar Produktgruppen. Dafür gibt es in der EU andere relevante Normen, die auch CE relevant sind. Also Industrie, Messgeräte und Medizingeräte fallen jetzt nicht unter die EM-3036, für Finster gibt es wieder andere Sachen. Wie schaut die Norm aus? Ganz normal, wie ein Dokument, also mit Unterüberschriften und Unterpunkten und Grafiken zwischendrin. Also wirklich einfach zu lesen, kann man am Abend in der Badewanne lesen, gar kein Thema. Ein paar wichtige Begriffe aus der Norm zum grundsätzlichen Verständnis. IoT-Device kommt natürlich immer drin vor, das ist das eigentliche IoT-Device, um die es geht. Also Kombinationen, Hardware Software, die mit dem Netzwerk verbunden ist, in welcher Form auch immer, um den Dienst zu erbringen. Dann gibt es sogenannte Constraint Devices. Das sind Geräte mit einem sehr, sehr eingeschränkten Funktionsumfang. Die fallen zwar auch unter die Norm, aber jetzt müssen nicht alle Punkte erfüllen. Zum Beispiel, wenn man jetzt eine smarte Wetterstation hat, die an der Fritzbox hängt, dann ist das die IoT-Device. Wenn aber draußen der Wärmesensor nach innen zur Wetterstation rein funkt, es hat 23 Grad, dann ist das Constraint-Device. Die Übergänge sind manchmal fließend, muss im Einzelfall dann definiert werden. Aber nur was dafür gemeint ist, weil das lesen wir einige Male in dieser Norm. Konsumer, Endverbraucher, hauptsächlich privater Natur. Aber wie gesagt, also die Geräte trifft dann auf alles zu. Was auch noch interessant ist, die Provisions, also die Herausforderungen aus der Norm, die haben unterschiedliche Kürzel, M, R und C. Also alles, was M ist, ist mandatory, das muss sein. Alles, was R ist, ist recommended, das sollte sein. Und alles, was C ist, ist conditional, das kommt drauf an. Also zum Beispiel, wenn es die Funktion hat, braucht es es, und wenn nicht, also dann eben nicht, fällt mir jetzt nichts ein. Aber das kommt auch relativ oft vor. Das sehen wir dann auch noch. Was schön ist, Best Practice Criptop Graphy, heißt die beste für den Anwendungsfall einsetzbare Verschlüsselungsmethode, um einen sicheren Standard herzustellen. Zum Beispiel, TLS 1.0 gehört nicht mehr dazu. Wie dieses Best Practice, diese Formulierung kommt auch ab und zu vor. Wie das in der Praxis umzusetzen ist. Da haben die Jungs vom BSI tolle Arbeit geleistet, weil auf deren ihre Seite findet man Zusatzdokumente. Auch in Englisch aber speziell halt für den deutschen Markt, wie man genau diese Punkte umsetzen kann. Also da werden noch einige Fragen erklärt, die vielleicht bei der praktischen Umsetzung der Norm entstehen könnten. Schauen wir uns mal so ein paar Provisions an. Provisions 5.1, also die ganzen Provisions, die haben Obergruppen und dann immer Unterkumpen, also Punkt, und dann halt die einzelnen Sachen. Also 5.1, keine Standardpasswerte. Also MC, Mandatory Conditional, nur einzigartige Passwerte im Auslieferungszustand verwenden. Kein Log-in über Atmen oder 0000. Conditional, weil wenn man sich nicht anmelden kann, brauchen wir auch kein Passwort. Die Standardpasswerte, wenn man sich anmelden kann, gelten auch für nicht dokumentierte Routzugänge oder Erwartungszugänge. Also solche Sachen kommen dann drin vor. Wie der das Passwort anzulegen sein soll, dann Brutforce, Schutz vorsehen. Also viele bei uns denken sich, ja, ist ja klar. Auf der anderen Seite denken sich auch einige, ja, für meinen Bastelprojekten im Rast brauche ich es ja nicht. Ich muss ja dran kommen. Die in den großen Firmen, die denken ganz genau so und man glaubt gar nicht, was bei internationalen Firmen, ja, ihr wisst es, ich muss mal nix erzählen. Also auf alle Fälle, es geht hier in der Norm eigentlich um die Basics. Aber wären die Basics immer konsequent angewendet worden, dann wäre der heiße Security Newsletter seit zwei Jahren leer. Es ist wirklich so. Also würde man diese Norm anwenden, auch diese Update-Fells von vorher, die würden nach der Norm nicht existieren, also würden nicht vorkommen. Meldungen über Sicherheitslücken verwalten ist sehr interessant. Der erste Punkt ist Mandatory, dass man als Hersteller Prozeduren haben muss. Man braucht ein System, wie man mit Sicherheitslücken umgeht. In der Norm Mandatory kommt man nicht drum herum. Dann gibt es ein paar Recommended-Sachen, dass man die auch innerhalb einer bestimmten Zeit erfüllt. Und die Sachen, die muss der Hersteller dann logischerweise auch publizieren, also entweder auf der Webseite oder noch besser im Handbuch oder im Datenblatt des Produkts mitliefern. Und da wären wir dann, hoffe ich, wenn es umgesetzt ist, in Zukunft öfter mal sehen, hey, bei Sicherheitslücken, die und die E-Mail und bei Updates oder bei gesundenen Sachen, wir fixen das innerhalb von 90 Tagen. Was auch notwendig ist nach der Norm, und die Lebenszeit, wo das Produkt supportet wird, muss angegeben werden. Also der Hersteller kann nicht einfach was auf den Markt schmeißen und dann sagen, hey, ich stelle jetzt den Cloud Service ein und mein Licht geht nicht mehr, sondern er muss sagen, hey, 3 Jahre oder 2 Jahre oder was auch immer Wasser sagt, ist dann eigentlich wurscht. Aber er muss sagen, da garantiere ich dir das. Für die Zeit hast du das Produkt und dann schauen wir mal, ob es muss schriftlich definiert sein. Software-Updates, ganz spannendes Thema, ich mache noch ein bisschen dazu als Beispiel, wenn wir noch Zeit haben. Genau. Was haben wir noch? Angriffsfläche minimieren, ungenutzte Netzwerkschnittstellen deaktivieren, ja, nicht traurig sein hier im Saal, bitte, wir wollen das doch im Prinzip alle, wir wollen es ja, dass es sicherer wird. Aber das wird dann auch notwendig sein von der Norm her, sonst ist das Produkt einfach nicht sicher. Also DSGVO, noch ganz interessant hier unten. Der Punkt hat mir sehr gut gefallen, was ein Datenschutz betrifft. Der vorletzte Punkt auf der Seite ist mandatory. Verarbeitung von Nutzerdaten, dem Nutzer transparent machen, Zustimmung des Nutzers einholen, jederzeit wieder Ruf ermöglichen und dann der letzte Punkt Telemetriedaten auf die absolut notwendigen Daten reduzieren und dem Nutzer darüber transparent aufklären. Also Geräte, die nach Hause telefonieren und man kriegt nichts davon mit, mag die Norm nicht. Also, ja, ich finde es echt eine sinnvolle Name. Gehen wir noch ein bisschen auf das Beispiel Updates ein. Ist kein Einzelfall, dass durch Updates die Hardware oft mal geprickt oder zumindest also übertriebgesetzt wird. Die Norm sagt drei Provisions, dass Detection Mechanismens existieren sollen, ob das Update successful war und wenn nicht, muss auf den vorherigen, gut lauter Firmen, werden wir auch immer zurückgesucht werden können oder auf zumindest einen definierten Ausgangsstand. Es muss die Authentizität des Updates gewährleistet sein, auch durch Verschlusslagen, dass ich mit dem richtigen Server rede, dass das Update auch die richtige Version ist, dass das auch nicht irgendwie manipuliert worden ist, ist ja kein Neuland. Also gibt es ja die Technik, man muss es halt auch nur machen und es darf nicht der Fall sein, dass bei einem Update auf einmal das Gerät eine ganz andere Funktion hat oder die Funktion, für die ich es gekauft habe, nicht mehr existiert. Würde diese Norm angewendet werden, auch der gleiche Fall wieder, hätte es keine Update Probleme gegeben. Wie funktioniert jetzt die Prüfung nach der CE-Konformität? Das ist jetzt interessant, das ist eine echte Prüfung, weil das ist eine echte Norm. Also das ist jetzt nicht IT Service Maya sagt, das ist okay, sondern das ist eine europäische Norm und gegen die Norm kann man wirklich transparent prüfen und dementsprechend auch zertifizieren. Und das ist eine echte Prüfung. Da wird es nicht nur gecheckt, sind die Dokumente okay und mag der das, sondern da wird wirklich geprüft. Es wird eine Prüfvorlage ausgefüllt, die kann man sich auch runterladen, von der PSI-Seite. Die wird ausgefüllt, wird zurückgeschickt an den Zertifizierer. Der Zertifizierer sagt dann okay, die Punkte sind okay, da und da und da haben wir Abweichungen, da und da haben wir Rückfragen, dann geht es wieder zurück. Dieser Abweichungsbericht muss dann geklärt werden, die einzelnen Punkte, bis alle Punkte geklärt sind, ob es mandatory recommended wie immer ist. Und dann kommen Stichprobenprüfungen, auch im OP 30%, der mandatory provisions werden dann stichprobenmäßig wirklich geprüft. Also da heißt, schick mal das Quotschnipsel rüber und wenn da drin steht, das ist voll oder was weiß ich, dann sagt man ne, sorry, ist nicht. Hier macht es anders. Also das geht wirklich in die Tiefe. Wie so ein Abweichungsbericht ausschaut, brauchen wir jetzt nicht. Welche Praxistips haben wir für unsere Make-up-Projekte oder für Hersteller von smarten Staubsaugern, dass wir uns früh, also ab heute Abend, mit der Etsy-Norm befassen, gehen wir zurück in die Firma, sagen hey Chef, wir verkaufen das jetzt, was ist das für ein Bild dafür? Also es ist jetzt die Zeit, das zu machen, sich genügend Zeit zu nehmen, sich reinzulesen, das noch aufzubauen und sich da reinzuarbeiten. Alles zu dokumentieren. Software Bill of Materials, weil Supplychain-Angriffe haben wir auch schon gehabt. Also nur wenn ich wirklich weiß, welche Komponenten, welche Bibliotheken verwend ich, dann kann ich auch reagieren, wenn da irgendwo eine, keine Ahnung, Loc4J oder irgendwas herkommt. Also das muss ich wissen und ich brauche mal saubere Prozesse. Dann geht es auch mit der Sicherheit. Was gibt es sonst noch für Hinweise? Genau, Updates, muss man schnell drauf gucken, organisatorische Maßnahmen greifen, dass man das eben ja, von vornherein gut dokumentiert hat und den Consumer aufklärt darüber. Ja, Zusammenfassung. Die Etsy 303645. Wir werden es noch öfter lesen. In Zukunft werden wir uns vielleicht ein bisschen daran erinnern. Es ist meines Erachtens eine sehr, sehr sinnvolle und sehr, sehr zeitlich notwendige Norm. Sie ist leicht zu lesen, anzuwenden. Grundlage zu erreichen des IT-Sicherheits-Kennzeichen vom BSI für viele Produkte. Zukunft auch sehr relevant und sie soll halt vertrauen und her in Produkte und die Herstellerfirma schaffen. Ich hoffe persönlich, dass in Zukunft eine sichere Welt taugen wird. Also, machen wir gemeinsam die Welt sicher. So viel zum Thema. Noch Fragen? Ja, vielen Dank schon mal dir für den sehr interessanten Vortrag. Wenn ihr jetzt noch Fragen habt, meldet euch, ich komme mit dem Mikro zu euch. Ja, ich frag mich, inwiefern da jetzt auch Angriffe auf den SYNX-Teil mit einbezogen sind. Also, es ist ja IoT-Internet. Aber wenn ich jetzt das Gerät vor mir habe, gibt es ja alle erdenklichen physikalischen Angriffe. Inwiefern sind die mit einbezogen? Sie sind einbezogen. Also, die Norm geht auf alles drauf ein. Im gesamten, ganzheitlich. Ich habe das Device, das Gerät an sich, aber auch den Service. Also, das heißt, wenn ich das Gerät vor mir habe, muss es Brutforce gesichert sein. Also, das heißt, die Schnittstellen, die nach draußen sind, die müssen zumindest gegen Brutforce gleichzeitig zu deaktivieren. Also, die gehen da sehr, sehr spezifisch vor. Natürlich, irgendwo gibt es immer eine Grenze. Also, wenn ich jetzt den E-Prom ausläs, mit einer Kralle und so, das ist dann was anderes. Aber da wird dann auch recommended, dass Bootloader im geschützten Speicherbereich ist mit Check-Sum. Also, die ist sehr tief, auch was das technische betrifft. Die haben sich was dabei gedacht. Und das Service-Teil cloudseitig gegenüber serverseitig mit dem Service-Teil. Okay, danke. Ja. Moment. Ja, da sind ja Anforderungen drin einmal an das Produkt selber und auch so ein bisschen an das Management-System. Und was guckt sich der Zertifizierer an? Guckt er sich jedes einzelne Produkt an oder guckt er sich an, ob die Firma ein Management-System hat, was für die Produkte allgemein das gewährleistet? Nee, also, es geht in dem Fall für diese EN-Zertifizierung nur um das Produkt in Verbindung mit dem Service des Produktes. Also, das heißt, die Sicherheit, die Cyber-Sicherheit, dieses Produkt, das muss gewährleistet sein. Da gehört auch unmittelbar natürlich der Server dazu, über den die Updates gehen und über den die Kommunikation stattfindet. Aber ob jetzt die Firma ISO 27 oder 9000 oder wie auch immer zertifiziert ist, in dem Fall nicht relevant. Ich habe zwei Erkleinigkeiten. Das eine, wenn ich jetzt ein Produkt kaufe als Endverbraucher und sage, ich habe hier drauf an der Wettbewerbung, dieses Feature ist umgesetzt. Und jetzt muss ich aber, tatsächlich um das dann nach dem Kauf benutzen zu können, von mir aus irgendein ein Feature aktivieren und der Datennutzung zustimmen, weil es inherent für das Produkt wichtig ist, zum Beispiel eindeutig Identifikation. Wenn jetzt tatsächlich rauskommt, oh, das ist ja bei irgendeinem Punkt gar nicht sinnvoll, Update, Datensparsamkeit und so, dann könnte ich unter Umständen das Feature vielleicht nicht mehr benutzen, weil der Hersteller ist quasi, also da konfligieren ja diese beiden Interessen. Wie wird in dem Fall in der Norm verfahren? Das ist ein interessanter Punkt. Grundsätzlich gilt, dass es dokumentiert sein muss und du als Konsumer darüber transparent aufgeklärt werden musst. Also wenn es nicht anders geht und das und das ist dafür notwendig, dann musst du das davor schon wissen und es muss auch im Handbuch drin stehen. Und die zweite Frage wäre, was, wenn der Hersteller es nicht schafft, weil das Unternehmen zum Beispiel Pleite geht, diesen Support für diesen Zeitraum aufrecht zu halten. Gibt es eine Klausel, die dann sagt, Sie müssen dann das Produkt öffnen, wenn dieser Zeitraum nicht ablaufbar ist, sodass man das Produkt weiter nutzen kann, wenigstens über, ich sag mal, Quelloffenheit? Das habe ich noch nicht gelesen. Interessanter Punkt, ja, könnte man mal einrechnen als Vorschlag. Okay, und damit sind wir mit der Zeit auch leider schon am Ende. Wenn ihr also noch Fragen habt, werdet ihr persönlich aufsuchen müssen. Da haben wir auch noch mal die Kontaktdaten auf der Folie. Und dann würde ich noch mal sagen, herzlichen Dank für den Vortag. Ein Applaus bitte. Vielen Dank.