Die Sicherheit unserer Produkte liegt in unserer DNA, und heute sind wir stolz zu verkünden, dass das Finnische Zentrum für Cybersicherheit dem Ruuvi Gateway das Finnische Cybersicherheits-Label verliehen hat. Das Label selbst basiert auf ETSI-EN 303 645, einem europäischen Standard für die Sicherheit von IoT-Geräten. Das Label bedeutet, dass unser Produkt und die zugehörigen Dienste die Sicherheitsanforderungen moderner Consumer-IoT-Geräte erfüllen. Zuvor wurde das Label den RuuviTag Sensor-Beacons als eigenständiges Gerät verliehen, aber jetzt ist die gesamte Ruuvi-Produktfamilie zertifiziert. Wir betrachten Sicherheit als einen fortlaufenden Prozess, der sehr gut zum Prozess des Labels passt: Es wird jährliche Folgeaudits geben, um sicherzustellen, dass unsere Produkte sicher geblieben sind.
Wir hatten die Anforderungen des Labels von Anfang an bei der Entwicklung unserer Produktspezifikation im Blick, insbesondere die automatischen Firmware-Updates und die Konfigurationserfahrung des Gateways. Es wird oft angenommen, dass Sicherheit und Benutzerfreundlichkeit im Widerspruch zueinander stehen, aber in diesem Fall haben wir festgestellt, dass die Anforderungen des Labels Einfachheit und Komfort im Design fördern. Das bemerkenswerteste Beispiel hierfür ist unsere Entscheidung, Public-Key-Kryptografie bei der Übertragung sensibler Informationen an das Gateway zu verwenden, was zu einer passwortlosen Konfiguration führt, die durch im Hintergrund laufende Kryptografie gesichert ist.
Nach unserer Erfahrung beschränken sich die Vorteile einer sicherheitsbewussten Entwicklung nicht nur auf sichere Produkte. Eine sichere Entwicklung fördert klare Spezifikationen und Schnittstellendefinitionen sowie gründliche Tests der Schnittstellen, was wiederum die Schnittstellen zuverlässig und gut dokumentiert macht. Der Einsatz automatisierter Tools zur Schwachstellensuche deckt oft auch subtile Fehler im Code auf und ermöglicht es uns, Probleme zu erkennen, bevor sie in Produktion gehen.
Das Cybersicherheits-Label beschränkt sich nicht nur auf die Sicherheit vor externen Angriffen, sondern enthält auch Abschnitte mit Anforderungen an Benutzerfreundlichkeit und Fehlertoleranz. Die Einhaltung der Richtlinien zur Benutzerfreundlichkeit führt zu einem Produkt mit einem intuitiven „Just Works“-Gefühl, das von modernen Geräten erwartet wird. Wir sind sehr zufrieden mit der einfachen Einrichtung des Gateways, die kein Benutzer-Pairing von Gateways und Sensoren erfordert.
Wir danken dem Zentrum für Cybersicherheit und seinem Team für ihre Unterstützung bei unserer Mission, bessere IoT-Geräte zu entwickeln.
Den vollständigen Bericht kannst du hier lesen!
