Anzeige

IoT Security

Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichen, bleibt die Sicherheit häufig auf der Strecke.

Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router sind zu schlecht geschützt und bieten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen. Daher begrüßt der eco – Verband der Internetwirtschaft e. V. den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat. Die Norm definiert weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.

Security by Design im IoT noch nicht selbstverständlich

„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, sagt Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter Mitglieder Services im eco Verband. „Security by Design und Security by Default gibt es noch in zu wenigen Consumer IoT-Geräten, vom Smart-TV bis zur Heizungsanlage“, sagt Schaffrin. Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.

Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, die die Norm um Testfälle erweitert für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation dient als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befindet sich das Dokument zur TS 103 701 bis Ende April noch in der Kommentierungsphase und kann um Verschläge erweitert werden.

IT-Sicherheitsgesetz 2.0 soll IoT-Sicherheit erhöhen

Auf diese Normen aufbauend soll zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür wird das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.

Um diesen Prozess fair und transparent zu gestalten, haben die IoT Sicherheits-Experten im eco Verband im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen IoT und Sicherheit fünf Forderungen formuliert:

1. Bestehende Siegel und Zertifizierungen einbeziehen

Es muss sichergestellt werden, dass die Zertifizierungsmaßnahmen, die sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben. Die Anbieter müssen in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen.

2. Nachvollziehbarkeit des Siegels

Das IT-Sicherheitskennzeichen für Deutschland braucht einen hohen Praxisbezug und muss für Hersteller und Verbraucher nachvollziehbar sein. So kann sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln.

3. Unabhängige Prüfungen

Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssen unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Das gewährleistet Transparenz für die Verbraucher und stellt die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher. Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.

4. Betrachtung des gesamten Lebenszyklus von IoT-Geräten

Sicherheit muss von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden. Der Security by Design-Gedanke muss prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security by Design-Gestaltungsprinzipien zu erlangen, empfiehlt sich die Handreichung „Security by Design - Ein Leitfaden für Entscheider“ von TeleTrust.

5. Erhöhung der Nachhaltig

Security by Design zahlt auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheitsupdates und der Möglichkeit von Bug Fixes für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall ist, müssen die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher können ihre Geräte viel länger und vor allem sicher nutzen.

„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, sagt Schaffrin. Noch befinden sich die entsprechenden Dokumente in der Abstimmung und können unter folgendem Link eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung kommt.

www.eco.de
 


Artikel zu diesem Thema

IoT-Security
Mär 12, 2021

Sicherheit für IoT-Geräte mit SD-WAN

IoT macht Unternehmen durch Automatisierung effizienter, vergrößert aber auch die…
IT-Sicherheitsgesetz
Feb 25, 2021

IT-Sicherheitsgesetz 2.0 soll Cybersicherheit erhöhen

Das neue IT-Sicherheitsgesetz 2.0 des Bundesinnenministeriums steht kurz vor der…
Security Schild
Okt 22, 2019

Cybersecurity im Wandel: Die Rolle von „Security by Design“

Die Cybersicherheitslandschaft hat sich verändert und Unternehmen reagieren darauf.…

Weitere Artikel

Log-In

Deutsche haben Angst vor dem Vergessen ihrer Log-Ins

LastPass veröffentlicht die Ergebnisse einer neuen Umfrage zum Passwortverhalten der Deutschen. Die Studie zeigt, dass die Deutschen noch immer große Angst davor haben, ihre Anmeldedaten zu vergessen und den Zugriff auf Webkonten, Onlineshops oder…
Cyber Security

Den Angreifer ins Visier nehmen – Proaktiver Schutz vor Cyber-Bedrohungen

Der Fall Acer hat gezeigt, dass neue Business-Modelle für Kriminelle, wie Ransomware-as-a-Service (RaaS), zunehmend an Popularität gewinnen. Ein Kommentar von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient.
Phishing

WeTransfer-Phishing-Kampagne kann die Daten von Empfängern gefährden

Avanan hat aktuell eine Phishing-Kampagne beobachtet, die sich als WeTransfer ausgibt, um die Anmeldedaten der Benutzer zu stehlen. In der Betreffzeile der E-Mail heißt es: „Sie haben einige wichtige Dateien über WeTransfer erhalten!“

Die Schlüsselrolle der UX in der Cybersicherheit

Im Dienst einer effizienten Cybersicherheit kann sich UX als echter Trumpf erweisen und die Verteidigungslinie eines Unternehmens sowie das digitale Vertrauen der Mitarbeiter stärken.

Wenn legitime Tools missbraucht werden, zählt jede Minute

Was tun, wenn kurz vor Feierabend ein Angriff gemeldet wird? Zwar ist das CrowdStrike Falcon Complete-Team auf beiden Hemisphären vertreten und bietet seinen Kunden so einen 24-Schutz. Dennoch gibt es Fälle, in denen beide Teams zusammenarbeiten müssen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.