FacebookTwitterLinkedIn
  • IoT
  • Juli 19, 2021

Länder wollen IoT-Sicherheit gesetzlich verankern

https://network-king.net/wp-content/uploads/2021/04/ioTsecurity-769x414.jpg

Mit Blick auf das Kosten-Nutzen-Verhältnis ist lohnt sich für viele IoT-Entwicklerteams der Aufwand für die Implementierung von Sicherheitsfunktionen in Verbraucherprodukte nicht. Vor allem, weil Verbraucher bisher nicht bereit waren, für Cybersicherheit besonders viel Geld auszugeben. Doch mittlerweile ist ein Umdenken erkennbar – weil Gesetzgeber beginnen, Sicherheit zu einer gesetzlichen Anforderung für IoT-Projekte von Verbrauchern zu machen.

In den letzten Jahren wandelte sich eine Vielzahl von Gegenständen und Vorrichtungen zu vernetzten Geräten. Jede Sekunde werden 127 neue IoT-Geräte mit dem Internet verbunden. Experten prognostizieren, dass diese Zahl bis 2025 auf insgesamt mehr als 75 Milliarden verbundene Geräte ansteigen wird.

Vom intelligenten Staubsauger bis zum digitalen Assistenten – es ist leicht zu verstehen, warum die Nutzung von IoT-Technologie so weit verbreitet ist. Doch der Komfort, den sie bieten, geht mit einem deutlichen Anstieg der Sicherheits- und Datenschutzrisiken einher, sowohl im Verbraucher- als auch im Unternehmensbereich.

Laut dem aktuellen “Threat Intelligence Report” von Nokia sind IoT-Geräte für fast ein Drittel aller Schadsoftware-Fälle in mobilen Netzwerken verantwortlich.

“Im Jahr 2020 haben wir einen Anstieg der gefährdeten IoT-Geräte um 100 Prozent beobachtet. Wenn sich der Trend von 2020 fortsetzt, werden wir 2021 einen signifikanten Anstieg der Angriffe auf IoT-Geräte sehen”, sagt Kevin McNamee, ehemaliger Leiter des Threat Intelligence Lab und jetzt Security Product Manager bei Nokia.

Zu den häufigsten IoT-Sicherheitsrisiken gehören:

  • Schwache, leicht zu erratende oder hartkodierte Passwörter
  • Unsichere Netzwerkdienste
  • Unsichere Ökosystem-Schnittstellen
  • Fehlen von sicheren Update-Mechanismen
  • Verwendung von unsicheren oder veralteten Komponenten
  • Unzureichender Schutz der Privatsphäre
  • Unsichere Datenübertragung und -speicherung
  • Fehlendes Gerätemanagement
  • Unsichere Standardeinstellungen
  • Fehlende physikalische Härtung

Für jede IoT-Umgebung (z. B. Smart Homes, Smart Cities, Smart Cars oder ICS/SCADA) muss eine Risikobewertung durchgeführt werden. Dabei werden Bedrohungen ermittelt, die verschiedene Assets betreffen können. Außerdem werden plausible Angriffsszenarien definiert und in den Kontext des IoT-Dienstes gestellt, um herauszufinden, welche Gefahren kritisch sind beziehungsweise welche nicht und welche davon gemildert werden können.

Zusätzlich zu den technischen Sicherheitsmaßnahmen brachte die Einführung des IoT viele neue rechtliche, politische und regulatorische Herausforderungen mit sich, die die technischen Herausforderungen noch verstärken. Der schnelle Wandel der IoT-Technologie veranlasste Gesetzgeber dazu, sich an die sich ständig verändernde Umgebung anzupassen.

Aus Sicht der Hersteller ist es entscheidend, sich der Gefahren von IoT-Schwachstellen und der Optionen zur Risikominimierung bewusst zu sein. Natürlich brauchen Unternehmen eine klare Anleitung, um die geeigneten Sicherheitskontrollen zu identifizieren und sie bestimmten Komponenten ihres Systems zuzuordnen.

Wegen des Mangels an objektiven Kriterien ist es allerdings schwierig, Standardmethoden für den Umgang mit Sicherheitsproblemen zu entwerfen. Dennoch wollte das National Institute of Standards and Technology (NIST) der Vereinigten Staaten dies anstreben: Mit dem im Dezember 2020 vom damaligen Präsidenten Donald Trump unterzeichneten Internet of Things Cybersecurity Improvement Act von 2020.

Der neue nationale amerikanische Standard legt die Einführung von Mindestsicherheitsstandards und Richtlinien für die mit dem Internet verbundenen Geräte fest, die von der Regierung des Landes gekauft oder verwendet werden. Seit Ende 2020 sind die US-Bundesbehörden dazu verpflichtet, nur noch Geräte anzuschaffen, die den darin festgelegten Mindestsicherheitsanforderungen entsprechen.

Obwohl das NIST für die Informationssicherheit der Regierung zuständig ist, erwartet es auch vom privaten Sektor, die neuen Regeln zu übernehmen. Cybersecurity- und IoT-Experten sind außerdem der Meinung, dass die vom NIST aufgestellten Richtlinien den Herstellern einen allgemeinen Fahrplan geben, wie sie IoT-Schutzmaßnahmen durchsetzen können.

“Obwohl es noch viel zu tun gibt, um das IoT-Ökosystem zu schützen, sollte dieser jüngste Gesetzesentwurf begrüßt werden, da er das Thema IoT-Sicherheit in den Vordergrund der Agenda von Bundesorganisationen, Technologieherstellern und Verbrauchern bringt”, sagt Erez Yalon, Leiter der Sicherheitsforschung bei Checkmarx.

“Mit ihrer Kaufkraft kann die Regierung das breitere IoT-Ökosystem dazu ermutigen, die Cybersicherheit ihrer Geräte und die verantwortungsvolle und koordinierte Offenlegung von Schwachstelleninformationen zu gewährleisten”, argumentiert Trevor Rudolph, Vice President of Global Digital Policy and Regulation von Schneider Electric.

“Diese Gesetzgebung sollte als positiver Schritt in die richtige Richtung gesehen werden, aber sie ist wirklich nur ein Schritt. Der nächste ist eine vollständige Gesetzgebung für alle Unternehmen, ob öffentlich oder privat”, sagt Curtis Simpson, Direktor für Informationssicherheit bei Armis.

Europäische Regulierungsbehörden sind aufmerksamer

Neben den USA verfügt auch Europa über einen grundlegenden Cybersicherheitsstandard für IoT-Geräte von Verbrauchern. Dieser wurde im Juni 2020 vom Europäischen Institut für Telekommunikationsnormen eingeführt. Zudem gelten in der EU Richtlinien der Agentur der Europäischen Union für Cybersicherheit (ENISA), zum Schutz der Lieferkettenprozesse, die zur Entwicklung von IoT-Produkten verwendet werden.

Am 16. Dezember des vergangenen Jahres veröffentlichte die Europäische Kommission die neue Strategie der Europäischen Union für Cybersicherheit für das nächste Jahrzehnt. Obwohl sich der Text nicht ausschließlich mit dem IoT befasst, wird ein erheblicher Einfluss auf diese Geräte erwartet.

EU-Bedienstete glauben, dass die Schaffung von Cybersicherheitsstandards für vernetzte Geräte ein Weg ist, um persönliche und staatliche Informationen in Zeiten zunehmender Konnektivität zu schützen.

Die Strategie deckt drei Bereiche ab: Widerstandsfähigkeit, technologische Souveränität und Führungsrolle; Stärkung der operativen Fähigkeit zur Prävention, Abschreckung und Reaktion; und Förderung eines offenen Cyberraums auf globaler Ebene durch stärkere Zusammenarbeit.

Zusätzlich zu den allgemeinen Regeln haben die Mitgliedsländer die Möglichkeit, auf nationaler Ebene autonom zu handeln. Zum Beispiel hat Deutschland im Dezember 2020 sein eigenes IT-Sicherheitsgesetz 2.0 vorgeschlagen. Sofern es verabschiedet wird, zielt das neue Gesetz darauf ab, Cyber- und Informationssicherheit zu gewährleisten, insbesondere angesichts der wachsenden Risiken durch das Internet der Dinge.

Außerhalb der EU beabsichtigt die britische Regierung, neue Regeln für Hersteller von IoT-Geräten einzuführen – mit dem Ziel, die Sicherheit von Verbraucherdaten zu erhöhen. Wenn sie genehmigt werden, werden die Standards Mindestschutzanforderungen für intelligente Geräte festlegen.

Der Vorschlag, der sich bis September vergangenen Jahres in der öffentlichen Konsultation befand, hat drei Hauptpunkte: Die Passwörter für die angeschlossenen Geräte müssen für jede Maschine eindeutig sein, die Verbraucher müssen zum Zeitpunkt des Kaufs über den Mindestzeitraum informiert werden, in dem das Gerät Sicherheitsupdates erhält, und die Hersteller sollen Mittel bereitstellen, mit denen Kunden Schwachstellen beim Schutz des Geräts melden können.

Weitere Initiativen

2019 veröffentlichte die Cloud Security Alliance (CSA) ihr “IoT Security Controls Framework“. Dieses schlägt Sicherheitskontrollen auf Einstiegsebene vor. Die Kontrollen sind notwendig, um viele der Risiken zu mindern, die mit einem IoT-System verbunden sind, das in einer Vielzahl von Bedrohungsumgebungen betrieben wird.

Dieses Framework und der dazugehörige Leitfaden bieten Unternehmen den Kontext, in dem sie ein IoT-System, welches verschiedene Arten von verbundenen Geräten, Cloud-Diensten und Netzwerktechnologien umfasst, im Unternehmen bewerten und implementieren können. Doch während das Framework den Anwendern hilft, die geeigneten Sicherheitskontrollen zu identifizieren und sie bestimmten Komponenten in ihrem IoT-System zuzuordnen, ist der Leitfaden für Endanwender mit wenig oder gar keinem technischen Wissen von geringem Nutzen.

Endanwender müssen auch von Unternehmen, die diese Geräte verkaufen, mehr Sicherheitsmaßnahmen verlangen. Dies wird einen Dominoeffekt auslösen, der proaktive Maßnahmen von Herstellern und Zulieferern zur Folge hat, um IoT-Sicherheitsbedenken von Anfang an ganzheitlich anzugehen. Dabei ist sind umfassende Richtlinien zum Schutz von Herstellung, Vertrieb und Einsatz von IoT-Geräten erforderlich. Nur durch diesen Dominoeffekt kann IoT-Sicherheit über den Einflussbereich der Regierungen hinausgehen und in Haushalten und Geschäftsumgebungen ankommen.

FacebookTwitterLinkedIn