Mehr Sicherheit fürs IoT

Security-Standardisierung

Es reicht allerdings nicht, gesetzlich oder vertraglich Security by Design im Internet of Things zu verlangen. Genau geklärt werden muss auch, was darunter zu verstehen ist. Nur dann können Spezifikationen eingehalten werden und nur dann lassen sich Zertifizierungen auf Basis von Spezifikationen auch nachvollziehen. Beispiele für solche Spezifikationen gibt es reichlich:
Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich wie IP-Kameras, Smart TVs oder Smart Speaker. Konkret fordert die DIN SPEC 27072 unter anderem eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle, und sie verbietet die Nutzung von Standardpasswörtern im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptografischer Verfahren nach dem Stand der Technik.
Die IoT Security Foundation hat im November 2019 ein Release 2 ihrer Best-Practice-Richtlinien für IoT-Sicherheit veröffentlicht.
Die TCG (Trusted Computing Group) bietet eine «Guidance for Secure Update of Software and Firmware on Embedded Systems».
Das ETSI (Europäisches Institut für Telekommunikationsnormen) Technical Committee on Cybersecurity hat mit ETSI TS 103 645 einen Standard für Cyber­sicherheit im Internet der Dinge veröffentlicht, um eine Sicherheitsgrundlage für mit dem Internet verbundene Verbraucherprodukte zu schaffen und eine Basis für zukünftige IoT-Zertifizierungssysteme zu haben.
Von NIST (National Institute of Standards and Technology) gibt es die «Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks».
GSMA (Organisation der Mobilfunk-Provider) bietet ebenfalls «IoT Security Guidelines» und ein «IoT Security Assessment».
Von der EU-Agentur für Cybersicherheit ENISA schliesslich gibt es die «Good Practices for Security of IoT - Secure Software Development Life­cycle» sowie die «Baseline Security Recommendations for IoT». Dazu der ENISA Execu­tive Director Juhan Lepassaar: «Die Motivation ist klar: Bei Sicherheit geht es nicht nur um das Endprodukt, sondern auch um die Prozesse, die zur Entwicklung des Produkts befolgt werden müssen.“
ENISA macht aber auch auf einen anderen Punkt aufmerksam: Während Standards für viele verschiedene Elemente existierten, um ein Gerät oder einen Dienst sicher zu machen, beziehe sich ein Sicherheitsstandard, bei dem es um IoT geht, auf ein Ökosystem, das nicht nur aus Geräten und Diensten bestehe. Die bisherige Lücke in den Sicherheitsstandards für IoT-Geräte sei dadurch charakteri­siert, dass die Standards nicht ganzheitlich behandelt werden, so ENISA. Daher ist es möglich, ein Gerät auf den Markt zu bringen, das zwar seinen Benutzer authentifizieren, übertragene und empfangene Daten verschlüsseln und entschlüsseln, den Integritätsnachweis liefern oder verifizieren kann, das aber immer noch unsicher ist. Offensichtlich ist die Arbeit an ganzheitlichen IoT-Sicherheitsstandards noch lange nicht abgeschlossen.
Gefährdungen bei IoT-Geräten
Ausspähung über IoT-Geräte: Bei der Entwicklung von IoT-Geräten wird der Aspekt der Informationssicherheit typischerweise nicht oder nur nachrangig beachtet. Daher konnten IoT-Geräte immer wieder dazu missbraucht werden, um Informationen über die Benutzer oder den Einsatzbereich zu sammeln.
Verwendung von UPnP: In LANs integrierte IoT-Geräte bauen oft selbstständig eine Verbindung zum Internet auf, indem sie Router im Netz per UPnP (Universal Plug and Play) so konfigurieren, dass eine Port-Weiterleitung entsteht. Die Geräte können dann nicht nur ins lokale Netz kommunizieren, sondern sind auch ausserhalb des LANs sicht- und erreichbar. Wird dann eine Schwachstelle im IoT-Gerät durch einen Angreifer ausgenutzt, kann dieses Gerät Teil eines Bot-Netzes werden.
Distributed Denial of Service (DDoS): Wenn IoT-Geräte nicht regelmässig gepatcht werden, bleiben bekannte Schwachstellen offen und können für umfangreiche Angriffe ausgenutzt werden.
Spionageangriffe durch Hintertüren in IoT-Geräten: Auf diese Weise können zum Beispiel Benutzer- und Administrationskennwörter kompromittiert oder Gerätekonfigurationen, Infrastrukturdetails und sonstige vertrauliche Informationen Dritten zugänglich werden.

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI)



Das könnte Sie auch interessieren