Security Consumer-IoT: Standardisierte Anforderungen und Prüfmethoden für ein Mindestmaß an Sicherheit

Autor / Redakteur: Jörn Edlich & Pablo Endres* / Sebastian Human

Neben dem industriellen Bereich dominieren immer wieder auch Schlagzeilen zur Sicherheit von IoT-Produkten für den Privatgebrauch die Berichterstattung. Soll das Internet of Things, beziehungsweise dessen Geräte und Anwendungen, sicherer werden, braucht es verbindliche Normen.

Firmen zum Thema

Bei der Sicherung des Internet of Things sind auch im Consumer-Bereich verbindliche Standards und Normen hilfreich.
Bei der Sicherung des Internet of Things sind auch im Consumer-Bereich verbindliche Standards und Normen hilfreich.
(Bild: gemeinfrei / Pixabay )

Das Internet of Things ist in sämtlichen Bereichen des Lebens längst Realität. Die Vernetzung von Dingen, also Sensoren und Aktuatoren mit Apps, Webportalen und Backendkomponenten, ist nicht mehr wegzudenken. Bei all diesen Geräten werden Daten generiert und verteilt. Aber wie können wir garantieren, dass die IoT-Produkte und die Daten der Nutzer mit all Ihren Verbindungen auch sicher sind?

Nicht selten sind IoT-Produkte Zielscheibe von Hacker-Angriffen auf Geräte-, System- und Datenebene. Mit standardisierten Anforderungen und Prüfmethoden der IoT-Security kann im heterogenen Umfeld des Internet of Things im großen Maße und auch kostengünstig ein Mindestmaß an IT-Security gewährleistet werden. Davon profitieren insbesondere auch die Produktqualität und das Vermarktungspotential dieser Produkte.

Der heterogene Markt an Consumer-IoT-Produkten und die stetig wachsende Zahl an Vorfällen im Bereich der IT-Security sowie die zunehmende Sensibilisierung der Kunden für dieses Thema führen zu der Notwendigkeit, Produkten des Consumer-IoT eine messbare Sicherheit gegenüber IT-Security Risiken bescheinigen zu können. Dieser Beitrag erläutert anhand der abstrahierten Systemarchitektur sowie exemplarischen Maßnahmen, welche Bedeutung einer Normung im Bereich der IT-Security für Consumer-IoT-Produkte zugerechnet werden kann.

Die IoT-Anatomie

Das Internet of Things folgt im Wesentlichen einer ähnlichen Systemarchitektur (vgl. Abb 1): Sensoren und Aktuatoren verbinden sich mit den Backendsystemen. Dies erfolgt sowohl kabelgebunden als auch kabellos. Die Frontends, wie Apps oder auch Webportale, kommunizieren über das Internet mit dem Backend oder auch direkt über drahtlose Verbindungen mit dem Sensor oder Aktuator.

Diese Systeme unterscheiden sich hinsichtlich der verwendeten Backendsysteme inklusive der IoT-Plattformen sowie der Verbindungstechnologien und Frontendtechnologien. Für die Kommunikation sind zahlreiche Protokolle (zum Beispiel MQTT, IPv6, TLS) denkbar und kommen kombiniert zur Anwendung.

In der Regel werden die Daten über eine IP-Verbindung übertragen. Die Architektur- und Technologieentscheidung hängt im Wesentlichen vom Verwendungszweck, dem Verwendungsort und der Anzahl an Nutzern ab. Zusätzlich sind regulatorische Vorgaben ausschlaggebend - nicht unbedingt nur hinsichtlich der IT-Security. Die Gesamtarchitektur kommt selten von einem Anbieter und somit aus einer Entwicklungsabteilung. Vielmehr sind die Systeme über mehrere Anbieter, wie IoT-Plattformen, Cloudanbieter oder Kommunikationsnetzanbieter verteilt. Lediglich die Integration der einzelnen Systembestandteile und „das System vor Kunde" liegen in der koordinativen Verantwortung des Lösungsanbieters.

Die Herausforderung

Abb. 01: Systemarchitektur inklusive Sicherheitsmaßnahmen - OWASP Application Security Verification Standard (AVSV) und OWASP Mobile Application Security Verification Standard (MASVS)
Abb. 01: Systemarchitektur inklusive Sicherheitsmaßnahmen - OWASP Application Security Verification Standard (AVSV) und OWASP Mobile Application Security Verification Standard (MASVS)
(Bild: MM 1)

Die in Abbildung 1 dargestellte, abstrahierte Architektur offenbart die umfangreiche Angriffsoberfläche. Die daraus resultierenden, zahlreichen Angriffsvektoren sind in Abbildung 2 skizziert. So variieren die Angriffsvektoren auf das IoT-Gerät selbst oder die enthaltene Firmware im Vergleich zu denen auf die Verbindungsstrecken, die Apps, das Portal oder das Backend.

Um das Gesamtsystem sicher zu machen, muss überall im System ein Mindestmaß an Sicherheit gewährleistet sein. Dies umfasst die gesamte Architektur und betrifft insbesondere auch Aspekte, wie zum Beispiel die prozessualen Vorgaben an die Nutzung und Gestaltung von Passwörtern, das Firmware-Update-Prozedere oder die verwendeten Protokolle bei der Kommunikation und der Bewirtschaftung der Daten. Nur wenn alle Aspekte abgesichert sind, können die Privatsphäre der Nutzer, die Verfügbarkeit des Devices und der damit verbundenen Dienstleistung sowie die Datenintegrität gewährleistet werden. Dabei sind die obersten Prämissen, dass

  • 1. Kunde und Betreiber keinen Schaden nehmen und
  • 2. die regulatorischen Rahmenbedingungen eingehalten werden.

Hier ist insbesondere die DSGVO zu nennen und von übergeordneter Bedeutung.

Die Normen und Anforderungen an die IT-Security für IoT-Produkte

Abb. 02: Angriffsvektoren
Abb. 02: Angriffsvektoren
(Bild: MM 1)

Mehrere Normungsorganisationen haben sich der Herausforderung angenommen, Vorgaben für die Anforderungen und Prüfverfahren hinsichtlich der IT-Security für Consumer-IoT-Produkte für alle zuvor genannten Aspekte zu definieren.

Somit ist es auf eine transparente Art und Weise möglich, auf der Basis von einheitlichen Richtlinien eine produktübergreifende Messbarkeit der IT-Security zu gewährleisten. Hierbei ist eine Differenzierung nach dem angestrebten Grad an Sicherheit beziehungsweise den notwendigen Anforderungen je nach Anwendung und Use -Case wichtig, da die Anforderungen an die Sicherheit entsprechend des Verwendungszwecks variieren. Hervorzuheben ist in diesem Kontext die Norm ETSI EN 303 645 - Cyber Security for Consumer Internet of Things, die vom European Telecommunications Standards Institute (ETSI) veröffentlicht wurde. Basierend auf den Normen, mit denen Anforderungen an die IT-Security für Consumer-IoT-Geräte formuliert werden, wurden auch Testpläne etabliert. Hier ist der Cybersecurity Certification Test Plan der Cellular Telecommunications and Internet Association (CTIA) zu nennen. ETSI arbeitet ebenfalls an einem Testplan, der noch vor Ende 2021 verfügbar sein soll.

Fazit

Mit Hilfe einheitlich definierter Anforderungen an die Sicherheit von Consumer-IoT-Geräten einerseits und den entsprechenden Prüfmethoden andererseits kann eine transparente und vergleichbare Aussage über den Grad der IT-Security für die genannten Produkte getroffen werden.

Sind diese Normen als Industriestandard definiert und etabliert, werden Kunden diejenigen Produkte als vertrauenswürdig bewerten, bei denen die Anforderungen an die IT-Security eingehalten werden. Produkte, die das Einhalten der Anforderungen nicht nachweisen können, werden von den Kunden voraussichtlich weniger nachgefragt werden.

Offen bleibt die Frage nach einer für die Kunden sichtbaren Zertifizierung mit entsprechender Außenwirkung in einem definierten Markt. Hier gilt es, die verfügbaren Normen auch als Standard in einem entsprechenden IT-Security-Zertifizierungsregime zu etablieren und zur Anwendung zu bringen. Zusammenfassend lässt sich beobachten, dass das Ziel der Messbarkeit und Vergleichbarkeit der IT-Security für den sehr heterogenen Markt an Consumer-IoT-Geräten erreichbar scheint. Damit wird dem Endkunden eine fundierte Möglichkeit geboten, Anwendungen des IoT mit einem bekannten Maß an implementierter IT-Security zu nutzen.

* Jörn Edlich arbeitet als Senior Manager bei MM 1.

* Pablo Endres ist Gründer von Seven Shift.

(ID:47059346)