Mit Blick auf das Kosten-Nutzen-Verh\u00e4ltnis ist lohnt sich f\u00fcr viele IoT-Entwicklerteams der Aufwand f\u00fcr die Implementierung von Sicherheitsfunktionen in Verbraucherprodukte nicht. Vor allem, weil Verbraucher bisher nicht bereit waren, f\u00fcr Cybersicherheit besonders viel Geld auszugeben. Doch mittlerweile ist ein Umdenken erkennbar \u2013 weil Gesetzgeber beginnen, Sicherheit zu einer gesetzlichen Anforderung f\u00fcr IoT-Projekte von Verbrauchern zu machen.<\/p>\n\n\n\n
In den letzten Jahren wandelte sich eine Vielzahl von Gegenst\u00e4nden und Vorrichtungen zu vernetzten Ger\u00e4ten. Jede Sekunde werden 127 neue IoT-Ger\u00e4te mit dem Internet verbunden. Experten prognostizieren, dass diese Zahl bis 2025 auf insgesamt mehr als 75 Milliarden verbundene Ger\u00e4te ansteigen wird.<\/p>\n\n\n\n
Vom intelligenten Staubsauger bis zum digitalen Assistenten \u2013 es ist leicht zu verstehen, warum die Nutzung von IoT-Technologie so weit verbreitet ist. Doch der Komfort, den sie bieten, geht mit einem deutlichen Anstieg der Sicherheits- und Datenschutzrisiken einher, sowohl im Verbraucher- als auch im Unternehmensbereich.<\/p>\n\n\n\n
Laut dem aktuellen „Threat Intelligence Report<\/a>“ von Nokia sind IoT-Ger\u00e4te f\u00fcr fast ein Drittel aller Schadsoftware-F\u00e4lle in mobilen Netzwerken verantwortlich.<\/p>\n\n\n\n „Im Jahr 2020 haben wir einen Anstieg der gef\u00e4hrdeten IoT-Ger\u00e4te um 100 Prozent beobachtet. Wenn sich der Trend von 2020 fortsetzt, werden wir 2021 einen signifikanten Anstieg der Angriffe auf IoT-Ger\u00e4te sehen“, sagt Kevin McNamee, ehemaliger Leiter des Threat Intelligence Lab und jetzt Security Product Manager bei Nokia.<\/p>\n\n\n\n Zu den h\u00e4ufigsten IoT-Sicherheitsrisiken geh\u00f6ren:<\/p>\n\n\n\n F\u00fcr jede IoT-Umgebung (z. B. Smart Homes, Smart Cities, Smart Cars oder ICS\/SCADA) muss eine Risikobewertung durchgef\u00fchrt werden. Dabei werden Bedrohungen ermittelt, die verschiedene Assets betreffen k\u00f6nnen. Au\u00dferdem werden plausible Angriffsszenarien definiert und in den Kontext des IoT-Dienstes gestellt, um herauszufinden, welche Gefahren kritisch sind beziehungsweise welche nicht und welche davon gemildert werden k\u00f6nnen.<\/p>\n\n\n\n Zus\u00e4tzlich zu den technischen Sicherheitsma\u00dfnahmen brachte die Einf\u00fchrung des IoT viele neue rechtliche, politische und regulatorische Herausforderungen mit sich, die die technischen Herausforderungen noch verst\u00e4rken. Der schnelle Wandel der IoT-Technologie veranlasste Gesetzgeber dazu, sich an die sich st\u00e4ndig ver\u00e4ndernde Umgebung anzupassen.<\/p>\n\n\n\n Aus Sicht der Hersteller ist es entscheidend, sich der Gefahren von IoT-Schwachstellen und der Optionen zur Risikominimierung bewusst zu sein. Nat\u00fcrlich brauchen Unternehmen eine klare Anleitung, um die geeigneten Sicherheitskontrollen zu identifizieren und sie bestimmten Komponenten ihres Systems zuzuordnen.<\/p>\n\n\n\n Wegen des Mangels an objektiven Kriterien ist es allerdings schwierig, Standardmethoden f\u00fcr den Umgang mit Sicherheitsproblemen zu entwerfen. Dennoch wollte das National Institute of Standards and Technology (NIST) der Vereinigten Staaten dies anstreben: Mit dem im Dezember 2020 vom damaligen Pr\u00e4sidenten Donald Trump unterzeichneten Internet of Things Cybersecurity Improvement Act von 2020.<\/p>\n\n\n\n Der neue nationale amerikanische Standard legt die Einf\u00fchrung von Mindestsicherheitsstandards und Richtlinien f\u00fcr die mit dem Internet verbundenen Ger\u00e4te fest, die von der Regierung des Landes gekauft oder verwendet werden. Seit Ende 2020 sind die US-Bundesbeh\u00f6rden dazu verpflichtet, nur noch Ger\u00e4te anzuschaffen, die den darin festgelegten Mindestsicherheitsanforderungen entsprechen.<\/p>\n\n\n\n Obwohl das NIST f\u00fcr die Informationssicherheit der Regierung zust\u00e4ndig ist, erwartet es auch vom privaten Sektor, die neuen Regeln zu \u00fcbernehmen. Cybersecurity- und IoT-Experten sind au\u00dferdem der Meinung, dass die vom NIST aufgestellten Richtlinien den Herstellern einen allgemeinen Fahrplan geben, wie sie IoT-Schutzma\u00dfnahmen durchsetzen k\u00f6nnen.<\/p>\n\n\n\n „Obwohl es noch viel zu tun gibt, um das IoT-\u00d6kosystem zu sch\u00fctzen, sollte dieser j\u00fcngste Gesetzesentwurf begr\u00fc\u00dft werden, da er das Thema IoT-Sicherheit in den Vordergrund der Agenda von Bundesorganisationen, Technologieherstellern und Verbrauchern bringt“, sagt Erez Yalon, Leiter der Sicherheitsforschung bei Checkmarx.<\/p>\n\n\n\n „Mit ihrer Kaufkraft kann die Regierung das breitere IoT-\u00d6kosystem dazu ermutigen, die Cybersicherheit ihrer Ger\u00e4te und die verantwortungsvolle und koordinierte Offenlegung von Schwachstelleninformationen zu gew\u00e4hrleisten“, argumentiert Trevor Rudolph, Vice President of Global Digital Policy and Regulation von Schneider Electric.<\/p>\n\n\n\n „Diese Gesetzgebung sollte als positiver Schritt in die richtige Richtung gesehen werden, aber sie ist wirklich nur ein Schritt. Der n\u00e4chste ist eine vollst\u00e4ndige Gesetzgebung f\u00fcr alle Unternehmen, ob \u00f6ffentlich oder privat“, sagt Curtis Simpson, Direktor f\u00fcr Informationssicherheit bei Armis.<\/p>\n\n\n\n Neben den USA verf\u00fcgt auch Europa \u00fcber einen grundlegenden Cybersicherheitsstandard f\u00fcr IoT-Ger\u00e4te von Verbrauchern. Dieser wurde im Juni 2020 vom Europ\u00e4ischen Institut f\u00fcr Telekommunikationsnormen eingef\u00fchrt. Zudem gelten in der EU Richtlinien der Agentur der Europ\u00e4ischen Union f\u00fcr Cybersicherheit (ENISA), zum Schutz der Lieferkettenprozesse, die zur Entwicklung von IoT-Produkten verwendet werden.<\/p>\n\n\n\n Am 16. Dezember des vergangenen Jahres ver\u00f6ffentlichte die Europ\u00e4ische Kommission die neue Strategie der Europ\u00e4ischen Union f\u00fcr Cybersicherheit f\u00fcr das n\u00e4chste Jahrzehnt. Obwohl sich der Text nicht ausschlie\u00dflich mit dem IoT befasst, wird ein erheblicher Einfluss auf diese Ger\u00e4te erwartet.<\/p>\n\n\n\n EU-Bedienstete glauben, dass die Schaffung von Cybersicherheitsstandards f\u00fcr vernetzte Ger\u00e4te ein Weg ist, um pers\u00f6nliche und staatliche Informationen in Zeiten zunehmender Konnektivit\u00e4t zu sch\u00fctzen.<\/p>\n\n\n\n Die Strategie deckt drei Bereiche ab: Widerstandsf\u00e4higkeit, technologische Souver\u00e4nit\u00e4t und F\u00fchrungsrolle; St\u00e4rkung der operativen F\u00e4higkeit zur Pr\u00e4vention, Abschreckung und Reaktion; und F\u00f6rderung eines offenen Cyberraums auf globaler Ebene durch st\u00e4rkere Zusammenarbeit.<\/p>\n\n\n\n Zus\u00e4tzlich zu den allgemeinen Regeln haben die Mitgliedsl\u00e4nder die M\u00f6glichkeit, auf nationaler Ebene autonom zu handeln. Zum Beispiel hat Deutschland im Dezember 2020 sein eigenes IT-Sicherheitsgesetz 2.0<\/a> vorgeschlagen. Sofern es verabschiedet wird, zielt das neue Gesetz darauf ab, Cyber- und Informationssicherheit zu gew\u00e4hrleisten, insbesondere angesichts der wachsenden Risiken durch das Internet der Dinge.<\/p>\n\n\n\n Au\u00dferhalb der EU beabsichtigt die britische Regierung, neue Regeln f\u00fcr Hersteller von IoT-Ger\u00e4ten einzuf\u00fchren – mit dem Ziel, die Sicherheit von Verbraucherdaten zu erh\u00f6hen. Wenn sie genehmigt werden, werden die Standards Mindestschutzanforderungen f\u00fcr intelligente Ger\u00e4te festlegen.<\/p>\n\n\n\n Der Vorschlag, der sich bis September vergangenen Jahres in der \u00f6ffentlichen Konsultation befand, hat drei Hauptpunkte: Die Passw\u00f6rter f\u00fcr die angeschlossenen Ger\u00e4te m\u00fcssen f\u00fcr jede Maschine eindeutig sein, die Verbraucher m\u00fcssen zum Zeitpunkt des Kaufs \u00fcber den Mindestzeitraum informiert werden, in dem das Ger\u00e4t Sicherheitsupdates erh\u00e4lt, und die Hersteller sollen Mittel bereitstellen, mit denen Kunden Schwachstellen beim Schutz des Ger\u00e4ts melden k\u00f6nnen.<\/p>\n\n\n\n 2019 ver\u00f6ffentlichte die Cloud Security Alliance (CSA) ihr „IoT Security Controls Framework<\/a>„. Dieses schl\u00e4gt Sicherheitskontrollen auf Einstiegsebene vor. Die Kontrollen sind notwendig, um viele der Risiken zu mindern, die mit einem IoT-System verbunden sind, das in einer Vielzahl von Bedrohungsumgebungen betrieben wird.<\/p>\n\n\n\nEurop\u00e4ische Regulierungsbeh\u00f6rden sind aufmerksamer<\/h2>\n\n\n\n
Weitere Initiativen<\/h2>\n\n\n\n