CyLab präsentiert bei der Einführung des neuen Kennzeichnungssystems für IoT-Cybersicherheit im Weißen Haus

Carnegie Mellon Associate Professor Yuvraj Agarwal berichtet über die Forschung von CyLab während der Einführung seines neuen IoT-Cybersicherheitslabels durch das Weiße Haus. Quelle: Livestream des Weißen Hauses

Am Dienstag traf sich das CyLab Security and Privacy Institute der Carnegie Mellon University (öffnet ein neues Fenster) mit Regierungsbeamten und führenden Vertretern der Technologiebranche, als das Weiße Haus sein neues Cybersicherheitslabel für das Internet der Dinge (IoT) vorstellte (öffnet ein neues Fenster).

Der außerordentliche Professor der Fakultät für Informatik, Yuvraj Agarwal (öffnet ein neues Fenster), vertrat die CMU bei der Veranstaltung und teilte wichtige Erkenntnisse aus der mehr als fünfjährigen Forschung von CyLab zu IoT-Sicherheit und Datenschutzetiketten.

Das Aufkommen der IoT-Technologie hat den Verbrauchern zahlreiche Vorteile gebracht, von der Verbesserung der Energieeffizienz bis hin zur Unterstützung bei der Automatisierung von Routineaufgaben. Allerdings gibt es wachsende Bedenken hinsichtlich der Sicherheit und des Datenschutzes dieser Geräte sowie Bedenken hinsichtlich des Verkaufs oder der Weitergabe sensibler Daten an Dritte.

„Wir sehen Babyphone mit Kameras, auf die Fremde über das Internet zugreifen können, und intelligente Thermostate, die die Verwendung von Mikrofonen nicht offenlegen“, sagte Lorrie Cranor (öffnet ein neues Fenster), Direktorin des CyLab und Professorin für Software und Gesellschaft an der CMU Abteilungen Systeme und Technik sowie öffentliche Ordnung. „Verbraucher sind zu Recht besorgt über die Sicherheit und den Datenschutz von IoT-Geräten.“

Seit 2018 setzen sich Dozenten und Studenten des CyLab für IoT-Labels ein, um Verbraucher durch die Bereitstellung des für fundierte Kaufentscheidungen erforderlichen Wissens zu stärken.

Unter der Leitung von Cranor und Agarwal hat das Team untersucht, wie sich Datenschutz und Sicherheit auf das Kaufverhalten von IoT-Geräten auswirken, und dabei festgestellt, dass Verbraucher bereit sind, erhebliche Prämien für Produkte zu zahlen, die über ein einheitliches Etikett verfügen, das positive Sicherheits- und Datenschutzmerkmale hervorhebt.

Letztes Jahr veröffentlichten Agarwal, Cranor und Pardis Emami-Naeini, Absolventin von Carnegie Mellon und Assistenzprofessorin an der Duke University, einen Übersichtsartikel mit dem Titel „An Informative Security and Privacy ‚Nutrition‘ Label for Internet of Things Devices“ (öffnet sich in neuem Fenster). „, beschreibt ihren Weg bei der Entwicklung eines IoT-Sicherheits- und Datenschutzetiketts. Sie haben außerdem einen kostenlosen, benutzerfreundlichen Generator (öffnet sich in neuem Fenster) auf den Markt gebracht, der es Geräteherstellern ermöglicht, produktspezifische Etiketten zu erstellen.

„Wir haben unser Etikett in einem mehrstufigen Prozess entworfen, der umfangreiche Recherchen sowohl mit Verbrauchern als auch mit Experten erforderte“, sagte Agarwal. „Unser aktuelles IoT-Label hebt die umsetzbarsten Informationen für Verbraucher hervor und deckt sowohl Sicherheits- als auch Datenschutzfaktoren ab.“

Während eines früheren Treffens im Weißen Haus im Oktober 2022 (öffnet sich in neuem Fenster) präsentierte Agarwal ein Briefing über das IoT-Label von Carnegie Mellon und bot eine von Verbrauchern getestete Lösung an, die sofort in der gesamten IoT-Branche implementiert werden konnte.

Agarwal und Cranor sitzen weiterhin am Tisch und arbeiten in einer Arbeitsgruppe mit der Aufgabe, die IoT-Kennzeichnungsinitiative voranzutreiben, und treffen sich mit mehreren Organisationen, darunter Industrieverbänden, um ihre Forschungsergebnisse zu diesem Thema auszutauschen.

In ihrer jüngsten Studie befragten Agarwal und Cranor über 500 Käufer von IoT-Geräten und zeigten ihnen drei mögliche Designs unterschiedlicher Komplexität für IoT-Produktverpackungsetiketten. Das Design mit geringer Komplexität enthielt lediglich ein Schild und einen QR-Code, die Version mit mittlerer Komplexität fügte einige wichtige Sicherheits- und Datenschutzmerkmale hinzu und das Design mit hoher Komplexität enthielt umfangreiche Sicherheits- und Datenschutzinformationen.

Die Verbraucher bevorzugten mit überwältigender Mehrheit das Design mit den meisten Informationen, obwohl sie auch das Design mit mittlerer Komplexität als verständlich und hilfreich bei der Auswahl eines zu kaufenden Produkts empfanden. Die Mehrheit der Verbraucher war mit dem Design mit geringer Komplexität unzufrieden und bezeichnete es als ihre am wenigsten bevorzugte Option.

„Wir haben festgestellt, dass Verbraucher mehr über die Sicherheits- und Datenschutzeigenschaften von IoT-Produkten erfahren möchten und dass der Besitz dieser Informationen ihre Risikowahrnehmung und ihre Bereitschaft zum Kauf intelligenter Geräte beeinflusst“, sagte Agarwal. „Unsere neuesten Untersuchungen zeigen, dass der Zugriff auf diese Informationen über einen QR-Code zwar hilfreich sein kann, Verbraucher es jedoch vorziehen, wichtige Sicherheits- und Datenschutzinformationen direkt auf der Produktverpackung verfügbar zu haben.“

Während der Veranstaltung im Weißen Haus stellte die Regierung ihr neues IoT-Zeichen vor, das zusammen mit einem QR-Code den Verbrauchern dabei helfen soll, herauszufinden, welche Produkte eine Reihe grundlegender Sicherheits- und Datenschutzpraktiken erfüllen. Agarwal und Cranor hoffen, dass die Branchenführer dies schnell übernehmen werden .

„Da die Details der IoT-Verpackungsetiketten fertiggestellt sind, würden wir uns über einen Konsens darüber freuen, neben der Kennzeichnung einige grundlegende Informationen zur Erfassung von Sensordaten einzufügen, um den Verbrauchern ein schnelles Verständnis zu ermöglichen“, sagte Cranor. „Wir freuen uns darauf, mit Industriegruppen zusammenzuarbeiten, um die Details dieser Etiketten auf der Grundlage der Ergebnisse unserer Verbraucherforschung zu standardisieren.“

Erfahren Sie mehr über die Forschung von CyLab zu IoT-Sicherheits- und Datenschutzkennzeichnungen (öffnet sich in neuem Fenster).