Einleitend sei bemerkt, dass – wie die Diskussion zur sog. „Router-TR“ vom BSI Ende 2018 gezeigt hat [3] – Standarisierung immer von Kompromissen und dem Lobbyismus der Hersteller geprägt ist. Für diese stehen potenziell möglichst weiche Anforderungen im Fokus, deren Umsetzung sich wirtschaftlich abbilden lässt. Sie möchten eine einfache Produkthandhabung für den Endanwender sicherstellen und im Produktentwicklungsprozess weitreichende Flexibilität erhalten.
Dagegen sind harte, technische und organisatorische Anforderungen der IT-Sicherheit zu legen, deren fehlende oder nachlässige Umsetzung das Eindringen von Angreifern in Heimnetze, Haushalte, vernetzte Autos und andere private Bereiche des Lebens ermöglicht. Dazwischen steht der Konsument meist ohne technisches Wissen, der sich auf Herstellerangaben und den Rechtsrahmen für diese Produkte verlassen will. Dieser Umstand ist zu berücksichtigen, gerade wenn von einem „Mindeststandard für Sicherheit“ gesprochen wird: Standards sind oft nur das Minimum an Sicherheit: der kleinste gemeinsame Nenner zwischen Verbrauchervertretung und Industrie.
„Hervorragende IT-Sicherheit“ als Gütemerkmal bei IoT-Produkten hat sich leider noch nicht durchgesetzt.