zapp2photo - stock.adobe.com
EU-Standard soll die Sicherheit von IoT-Geräten erhöhen
Das ETSI hat den Standard TS 103 645 veröffentlicht. Damit will man die Konsumenten vor den Gefahren durch IoT-Geräte schützen. Thomas Ryd über die künftigen Anforderungen.
Das European Telecommunications Standards Institute (ETSI) hat unlängst die technische Spezifikation (TS) 103 645 publiziert. Diese soll dazu beitragen, dass Verbraucher vor den Risiken durch IoT-Geräte geschützt werden. Die Spezifikation wurde vom ETSI Technical Committee on Cybersecurity erstellt.
ETSI hat fast 900 Mitglieder weltweit. Darunter sind Unternehmen wie ABB, Canon, Ericsson, Mitsubishi, LG Electronics, Orange, Schneider Electric, Audi, Deutsche Bahn, Lufthansa Systems, Panasonic, Bosch, Samsung Electronics, Siemens und viele weitere namhafte Firmen. Wir sollten erwarten können, dass diese Organisationen den Weg hin zu einer sichereren vernetzten Welt weisen.
IoT-Sicherheit zentraler Bestandteil
Jeder, der in der IoT-Sicherheitsbranche arbeitet, weiß, dass die Zustände im Moment eher an den Wilden Westen erinnern. Da strikte Regulierungen fehlen, hat sich die Branche auf niedrige Sicherheitsstandards zurückgezogen, um Zeit und Kosten zu sparen.
Wie bei Sicherheitsgurten, die in Autos obligatorisch geworden sind, oder beim Datenschutz in sozialen Medien durch die DSGVO ist es nur eine Frage der Zeit, bis mit dem Internet verbundene Geräte deutlich strengere Sicherheitsanforderungen erfüllen müssen.
Es existieren mehrere Initiativen, die die Industrie zur Verbesserung der IoT-Sicherheit bewegen wollen. Dazu zählen der American IoT Cyber Security Act, der Cyber Shield Act, der Smart IoT Act, von NIST der Managing IoT Cybersecurity and Privacy Risks, der Cybersecurity Act der EU und nicht zu vergessen der kürzlich eingebrachte Gesetzentwurf SB-327 in den USA. Darin fordert Kalifornien eine grundlegende Sicherheit für IoT-Geräte ab dem 1. Januar 2020. Es gibt guten Grund zu der Annahme, dass künftige Anforderungen darauf basieren werden.
Wenn es zu härteren Auflagen für die Branche kommt, werden diese wahrscheinlich von Best Practices und Erfahrungen der genannten Initiativen abgeleitet sein. Beschäftigen wir uns daher näher mit dem neuen ETSI-Standard, um zu sehen, was die Zukunft bringt.
Was der Gesetzgeber von IoT-Produkten künftig erwartet
TS 103 645 enthält eine Reihe von recht technischen Anforderungen. Man kann von keiner der Anforderungen behaupten, sie würde über eine grundlegende Sicherheit hinausgehen. Doch der Umfang des Ganzen deutet darauf hin, dass es alles andere als trivial ist, mit dem Internet verbundene Geräte abzusichern. Wenn man es richtig macht, muss Sicherheit von der Designphase bis zum Lebensende des Produkts implementiert werden. Sicherheit als Flickwerk wird scheitern. Die 13 Anforderungen des neuen Standards umfassen:
- Keine universellen Standardpassworte
- Implementierung einer Verwaltungsmöglichkeit von Schwachstellenberichten
- Software muss aktuell gehalten werden
- Anmeldedaten und sicherheitssensible Daten müssen sicher gespeichert werden
- Sichere Kommunikation
- Minimierung der erkennbaren Angriffsoberfläche
- Sicherstellen der Softwareintegrität
- Sicherstellen des Schutzes persönlicher Daten
- Systemresilienz gegenüber Ausfällen
- Prüfen der Telemetriedaten der Systeme
- Verbraucher müssen ihre persönlichen Daten einfach löschen können
- Einfache Installation und Wartung der Geräte
- Validieren von Eingabedaten
Software muss aktuell gehalten werden
Die dritte im Standard festgehaltene Anforderung erhält die meiste Aufmerksamkeit – gemessen an der Anzahl der Worte – und sollte als eine der wichtigsten Sicherheitsmaßnahmen betrachtet werden, die es durchzusetzen gilt. Über eine Möglichkeit zu verfügen, Software upzudaten, garantiert eine Fallback-Option, unabhängig von Bugs, Schwachstellen und der Frage, ob es zu einem Missbrauch des Geräts gekommen ist oder nicht.
Die Anforderung, Software aktuell zu halten, umfasst die folgenden Regelungen:
- Alle Softwarekomponenten in IoT-Geräten für den Consumer-Bereich sollen sich einfach updaten lassen.
- Der Verbraucher soll informiert werden, wenn ein Update notwendig ist.
- Updates sollen zeitnah erfolgen – was vom Sicherheitsniveau abhängt.
- Alle Produkte sollen eine klare End-of-Life-Kennzeichnung mit dem genauen Ablaufdatum besitzen.
- Die Notwendigkeit für ein Update soll dem Verbraucher deutlich gemacht werden und sich einfach durchführen lassen.
- Eine grundlegende Funktionalität soll während eines Updates gewährleistet bleiben.
- Sicherheits-Patches müssen über einen sicheren Kanal bereitgestellt werden.
- Eingeschränkte Geräte sollen sich isolieren und die Hardware soll sich austauschen lassen.
- Eingeschränkte Geräte müssen eine klare End-of-Life-Kennzeichnung bezüglich des Hardwareaustauschs besitzen.
Es können mehrere Software-Update-Mechanismen aus dem Open-Source-Bereich implementiert werden, um sicherzustellen, dass viele dieser Anforderungen erfüllt werden. Eine der bekanntesten ist Mender.io. Seien Sie vorsichtig, wenn Sie versuchen, Ihre eigene Update-Methode zu entwickeln. Zum Beispiel lauten zwei der anderen Anforderungen im neuen Standard Sichere Kommunikation und Sicherstellen der Softwareintegrität. Beide sind von zentraler Bedeutung für die Sicherheit, aber in der Praxis ziemlich schwierig zu implementieren, wie wir aus unserer täglichen Arbeit bei Northern.tech wissen.
„Wie bei Sicherheitsgurten, die in Autos obligatorisch geworden sind, ist es nur eine Frage der Zeit, bis mit dem Internet verbundene Geräte deutlich strengere Sicherheitsanforderungen erfüllen müssen.“
Thomas Ryd, Northern.tech
Gewinner setzen auf Sicherheit
Wie der Beitrag What separates leaders from laggards in the internet of things auf LinkedIn zeigt, der sich auf die Ergebnisse einer McKinsey-Studie mit 300 Unternehmen bezieht, berücksichtigen Gewinner Sicherheit bereits im Design und im Lebenszyklus ihrer Produkte. Nachdem Regulierern zunehmend die Wichtigkeit bewusst wird, alle vernetzten Geräte abzusichern, geht es lediglich noch um die Frage, wann jeder Anbieter zu grundlegenden Sicherheitsmaßnahmen verpflichtet ist. Die positive Nachricht lautet, dass Sicherheit sich als gut für das Geschäft erweist.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.