Suchen

Expertenbeitrag

Dr. Johannes Bauer

Dr. Johannes Bauer

Principal Security Consultant bei UL, UL

Cybersecurity-Serie Teil 3

Designprinzipien: Sicherheit ab Werk integrieren

| Autor/ Redakteur: Dr. Johannes Bauer / Sebastian Human

Teil Drei der Serie rund um die Cybersicherheit vernetzter Geräte widmet sich der Frage, welche Designprinzipien die Hersteller berücksichtigen sollten, um die Sicherheit ihrer Produkte zu stärken.

Firmen zum Thema

Gerade im Umgang mit Passwörtern herrscht viel Risikopotenzial.
Gerade im Umgang mit Passwörtern herrscht viel Risikopotenzial.
(Bild: gemeinfrei / Pixabay)

Die Herstellung von vernetzten, smarten Produkten ist deutlich komplizierter als es die Produzenten bisher gewohnt waren. Neben der Produkt- müssen auch die Datensicherheit und andere Aspekte der Cybersicherheit berücksichtigt werden. Doch dies bedeutet nicht, dass es keine allgemeinen Richtlinien gäbe. So sollten Hersteller die Sicherheit direkt bei der Entwicklung und Herstellung eines Produktes berücksichtigen.

Dieses Prinzip trägt den Namen „Security by Design“. Es existieren bereits viele wichtige, aus diesem Prinzip abgeleitete Regeln für die Sicherheit von smarten, vernetzten Produkten. Diese Grundregeln sollten alle Hersteller berücksichtigen. Zugleich vereinfachen sie auch den Entwicklungsprozess, kein Hersteller muss das Rad neu erfinden. Die folgende Übersicht zeigt einige wichtige Design-Prinzipien für umfassende IoT-Security:

Manuelle Konfiguration: Hersteller sollten eine Möglichkeit zur manuellen Konfiguration wichtiger Funktionen vorsehen, um Fehler durch Ausfälle zu vermeiden. Ein Negativbeispiel wäre ein IoT-Thermostat, das ohne Internetzugang nicht geregelt werden kann.

Best Practices für Passwörter und Updates

Eindeutige Erstpasswörter: Passwörter für die Inbetriebnahme sollten immer pro Gerät eindeutig sein und auf dem Gerät nie unverschlüsselt gespeichert werden. Die Zugangsdaten werden dem Nutzer über einen Aufkleber auf der Unterseite des Gerätes oder auf der inneren Umschlagseite der Bedienungsanleitung mitgeteilt.

Neues Passwort vergeben: Während der Inbetriebnahme sollten die Anwender dazu aufgefordert werden, ein eigenes Passwort einzugeben. Es ist deshalb empfehlenswert, den Konfigurationsprozess an diesem Punkt zu stoppen und erst nach Eingabe eines neuen Passwortes weiterzuführen.

Passwortwiederherstellung: Passwörter werden leider häufig vergessen. Deshalb sollten Vorkehrungen zur Passwortwiederherstellung in das Gerät integriert werden. Ein Beispiel: Einbau einer physischen Reset-Taste, die Werkseinstellungen wiederherstellt.

Systemaktualisierung: Zur Behebung von Fehlern und Schwachstellen sollte jedes IoT-Gerät Funktionen zur Aktualisierung der Systemsoftware besitzen. Um Cyberangriffe auf diese Schnittstelle auszuschließen, müssen die Updates aber kryptographisch authentifiziert werden.

Schwachstellenmanagement: Automatische Aktualisierungen verhindern, dass Anwender ihre Systeme in einem verwundbaren Zustand lassen. Dies setzt ein herstellerseitiges Schwachstellenmanagement voraus, in dessen Prozess das kurzfristige Bereitstellen von neuen Releases der Firmware sichergestellt wird.

Daten und Datenübertragung verschlüsseln

Transportverschlüsselung: Alle Verbindungen von IoT-Geräten, unabhängig ob innerhalb eines LAN/WLAN des Kunden oder über das Internet mit einem Cloudservice, müssen nach den üblichen Industriestandards (z. B. TLS) abgesichert werden.

Datenverschlüsselung: Alle auf dem Gerät gespeicherten Daten wie beispielsweise Benutzerinformationen oder Zugangsdaten sollten verschlüsselt werden, um Cyberangriffe zu erschweren.

Serienversion testen: Die Serienversion des Gerätes sollte intensiv auf bekannte Schwachstellen überprüft werden. Eine Möglichkeit dafür sind Dienstleister, die alle Anforderungen der Payment Card Industry (PCI) an Security-Scans erfüllen.

Ein Security-Ecosystem aufbauen: Der Hersteller (oder Systemintegrator) muss darauf achten, dass Komponentenhersteller und andere Zulieferer einheitliche Sicherheitsstandards einhalten. Dafür empfiehlt sich der Aufbau eines „Security-Ecosystems“ aus vertrauenswürdigen Lieferanten und Servicepartnern.

Mit diesen Hinweisen zum sicheren Design der Geräte integrierten Software und Hardware endet die dreiteilige Serie zur Cybersicherheit smarter, vernetzter Produkte.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 45878529)

Über den Autor

Dr. Johannes Bauer

Dr. Johannes Bauer

Principal Security Consultant bei UL, UL