Hintergrund

Die bevorstehende Gesetzgebung zur IoT-Sicherheit

David Rogers vom  britischen Cyber-Sicherheitsunternehmen Copper Horse erklärt, wie IoT-Security-Maßnahmen in Zukunft international festgeschrieben werden.

Der Beginn der Regulierung des IoT

Die Sicherheit des Internet of Things (IoT) beschäftigt Regierungsbeamte in aller Welt schon seit einiger Zeit. Die Verwundbarkeit vernetzter Anlagen und Endgeräte wurde bereits 2016 in der Nationalen Cybersicherheitsstrategie von Großbritannien festgestellt, in der es heißt: „Das ‚Internet der Dinge‘ schafft neue Möglichkeiten der Ausnutzung und erhöht die potenziellen Auswirkungen von Angriffen, die zu Sachschäden, Verletzungen von Personen und im schlimmsten Fall zum Tod führen können“. Großbritannien hat seine Strategie mit einem Verhaltenskodex für die IoT-Sicherheit von Verbrauchern umgesetzt, der 2018 veröffentlicht wurde. Dieser enthielt 13 ergebnisorientierte Leitlinien, die sich mit Fragen der Produktsicherheit und bewährten Verfahren für Hersteller und IoT-Lösungsanbieter befassen. Das Europäische Institut für Telekommunikationsnormen (ETSI) hat diese Leitlinien zusammen mit den Mitgliedern der Industrie und der Regierung weiterentwickelt und standardisiert, so dass sie schließlich zu einer europäischen Norm, ETSI EN 303 645, wurden. Gleichzeitig wurde eine Spezifikation zur Konformitätsbewertung (ETSI TS 103 701) erstellt.

David Rogers vom britischen Sicherheitsunternehmen Copper Horse ist Vorsitzender des Arbeitskreises Betrugsbekämpfung und Sicherheit der Industrie-Organisation GSMA.

Diese Norm hat weltweit von Finnland bis Singapur, von Australien bis Indien eine breite Akzeptanz gefunden. Dies ist natürlich eine großartige Sache für die Cybersicherheit insgesamt – eine gemeinsame Basis, auf die man sich stützen kann, und vor allem ein gemeinsames Verständnis davon, was gut und richtig ist. Das verhindert eine unnötige Fragmentierung, die wiederum zu wirtschaftlichen Kosten und Unsicherheit führt, da die Hersteller weltweit unterschiedlichste Anforderungen umsetzen müssen. Es gibt noch weitere Normen, die in der Folge entwickelt wurden, wie z. B. die US-amerikanische NIST 8259 und die Normen bestimmter Länder auf der ganzen Welt. Sie betreffen im Großen und Ganzen die gleichen Bereiche, und es besteht eindeutig ein Wille zur Angleichung.

Die von Copper Horse im Auftrag der britischen Regierung entwickelte IoT-Security-Mapping-Site fasst diese unterschiedlichen Anforderungen und aufkommenden Standards zusammen, um das Verständnis dafür zu fördern, wo eine Fragmentierung besteht und wo es eine gemeinsame Ausrichtung gibt. Die Informationen sind als offene Daten verfügbar, so dass Unternehmen sie herunterladen und für ihre eigenen Produktentwicklungsprozesse nutzen können.

Konformität und Zertifizierung

Mit den Normen kommt die Forderung nach Einhaltung und Konformität. Die derzeitigen Indikatoren aus Großbritannien, Europa und den USA deuten darauf hin, dass eigene Deklarationsmechanismen zum Einsatz kommen werden. Das heißt, es wird von Herstellern und ihren Produkten erwartet, dass sie die festgelegten Normen erfüllen. Einige Prüflabore in Europa, wie z. B. TÜV SÜD, bieten bereits Prüfungen nach der europäischen Norm an, in der Erwartung, dass diese durch den neuen Cyber Resilience Act (CRA) auch europaweit übernommen wird. Diese Prüfungen können zwar zu einem Zertifikat führen, aber es ist wichtig zu erklären, was das bedeutet. Die 13 Anforderungen der ETSI EN 303 645 sind auf „Sicherheit durch Technik“ ausgerichtet. Das bedeutet, dass die Sicherheit eines Produkts die Hauptsache ist, nicht etwa das Fehlen bestimmter Schwachstellen und schon gar nicht die Aussage, dass das Produkt zu 100 % sicher ist. Dies spiegelt die Tatsache wider, dass Produkte stets weiterentwickelt werden und sich auch Sicherheitsanforderungen entwickeln. Wir können jedoch Dinge benennen, die wir in einem Produkt nicht wünschen. Standardpasswörter sind das deutlichste Beispiel oder bewährte Verfahrensweisen, wie z. B. dass ein Unternehmen das Vorgehen zur Offenlegung von Schwachstellen einführt, um einen klaren Melde- und Lösungsweg für Sicherheitsschwachstellen zu ermöglichen. Wir erwarten auch, dass ein Produkt in der Lage ist, Sicherheitsupdates zu erhalten, dass es sicher kommuniziert und dass alle zugehörigen Schlüssel und Daten sicher verarbeitet und gespeichert werden, und zwar mit hardwaregestützten Sicherheitsmaßnahmen.

Kennzeichnung

Einige Länder haben Kennzeichnungssysteme untersucht. Auch in Großbritannien wurde diese Frage geprüft und öffentlich diskutiert. Diese Diskussion führte dazu, dass kein Kennzeichnungssystem eingeführt wurde. Es gibt eine Reihe von Befürwortern einer digitalen oder „Live“-Kennzeichnung, insbesondere in den USA. Diese Kennzeichnung kann in Form eines QR-Codes auf dem Produkt erfolgen, aber letztlich handelt es sich um eine Online-Datenbank mit Informationen über den Sicherheitsstatus eines Produkts zu jedem beliebigen Zeitpunkt. Dies scheint ein sehr fortschrittlicher Schritt zu sein und eröffnet viele interessante künftige Möglichkeiten im Hinblick auf die Art und Weise, wie Produkte auf ihren derzeitigen Zustand hin überprüft werden können, etwa ob das aktuelle Gerät auf den neuesten Stand gepatcht ist. Das wird von der statischen Produktkennzeichnung und -zertifizierung wegführen.

Gesetzgebung und Regulierung

Großbritannien hat im Dezember 2022 das Gesetz über Produktsicherheit und Telekommunikation (PSTI) verabschiedet; während weitere Gesetzesentwürfe für den Bereich Produktsicherheit im April 2023 veröffentlicht wurden. Diese Bestimmungen wurden in anderen Bereichen adaptiert, wie z. B. in den Bestimmungen zur Ladesäuleninfrastruktur, die im Dezember 2022 in Kraft traten. Darüber hinaus verweist der Verhaltenskodex des britischen Telekommunikationssicherheitsgesetzes von 2021 auf die im PSTI-Gesetz festgelegten Anforderungen, was ein gemeinsames Konzept für die allgemeine Cybersicherheit und die symbiotischen Sicherheitsbeziehungen zeigt. In Zukunft könnten diese gemeinsamen Grundanforderungen leicht auf andere Sektoren ausgeweitet werden, da diese ähnliche Probleme haben.

Zahlreiche Länder und Regionen werden in Zukunft wahrscheinlich vorschreiben, dass vernetzte Produkte sicher hergestellt und betrieben werden müssen. Für OEM-Hersteller tickt die Uhr also. Großbritannien hat bereits angekündigt, dass es ab dem 29. April 2024 regulierend eingreifen wird. Vernetzte Verbraucherprodukte wie Router, Webcams, Kühlschränke und ja, auch Toaster, müssen bis zu diesem Datum konform hergestellt sein oder dürfen nicht mehr im Land verkauft werden. Ein Online-Countdown ist zu finden unter: https://www.iotsecurity.uk/.

Verbesserte IoT-Sicherheit wird zu einer gesetzlichen Anforderung für vernetzte Endgeräte und zu einer Beschaffungsanforderung für Unternehmen. Um Unternehmen bei diesem Übergang zu unterstützen, hat Wireless Logic die 360° Security Checkliste entwickelt. Dieses Rahmenwerk betrachtet die Sicherheit aus der Perspektive der IoT-Konnektivität, ist jedoch nicht darauf beschränkt und ergänzt andere führende Standards (ETSI EN 303 645) und Rahmenwerke (NIST, IoTSF). Dies soll unseren Kunden helfen, die Vorschriften einzuhalten, Verhaltensänderungen bei Mitarbeitern zu bewirken, Prozesse durch Schulungen und Richtlinien anzupassen und eine Risikobewertung auf Grundlage der Datensensibilität und der Wirtschaftlichkeit der eingesetzten Lösung vorzunehmen. Es zeigt auch die relevanten Wireless Logic Produkte und Dienstleistungen, die zusätzliche Sicherheitsvorteile auf Geräte-, Netzwerk- und Anwendungsebene bieten.

Erfahren Sie hier mehr über die 360° IoT Security Checkliste von Wireless Logic!