Suchen

Worauf man bei der Zertifizierung von IoT-Produkten achten muss

| Autor/ Redakteur: Oliver Schonschek / Sebastian Human

Gerade im Bereich Sicherheit fehlen Anwendern viele Informationen bei Lösungen im Internet of Things. Doch es gibt bereits eine Reihe von Standards und Zertifizierungen für das IoT, weitere werden hinzukommen. Wir geben einen Überblick und sagen, worauf es ankommt.

Firmen zum Thema

Sicherheitsstandards sind ein erster Schritt zur IoT-Security, doch damit alleine ist es nicht getan.
Sicherheitsstandards sind ein erster Schritt zur IoT-Security, doch damit alleine ist es nicht getan.
(Bild: gemeinfrei / Pixabay)

Fast die Hälfte aller Unternehmen ist immer noch nicht in der Lage, Sicherheitsverletzungen an IoT-Geräten zu erkennen, meldete Gemalto im Januar 2019. Würde man die Umfrage heute wiederholen, wäre das Resultat sicher nicht besser. „Angesichts der steigenden Anzahl von smarten Geräten ist es äußerst beunruhigend zu sehen, dass Unternehmen immer noch nicht erkennen können, ob ein Verstoß vorliegt“, sagte Jason Hart, CTO, Datenschutz bei Gemalto. „Da es keine einheitliche Regulierung gibt, ist es nicht verwunderlich, dass die Bedrohung – und damit die Verletzlichkeit von Unternehmen – zunimmt. Dies wird auch so bleiben, wenn die Regierungen nicht sofort eingreifen, um der Branche zu helfen, die Kontrolle nicht zu verlieren.“

Schwachstellen in der IoT-Security

Zu den Top IoT-Sicherheitsbedenken zählen schwache Standard-Anmeldeinformationen, Klartext-HTTP-Kommunikation zu einem Server für Firmware- oder Paket-Updates, Klartext HTTP-Authentifizierung und die Nutzung veralteter Bibliotheken, wie Zscaler berichtete.

„Wir haben beobachtet, dass über 90 Prozent der IoT-Prozesse über Klartext erfolgen, was diese Geräte und die Unternehmen unserer Meinung nach anfällig für spezifische Angriffe macht“, so Deepen Desai, Vice President of Security Research bei Zscaler. „Unternehmen müssen ihren IoT-Footprint bewerten, da sie durch weitere Expansion das Risiko von Cyberangriffen erhöhen werden. Von der Änderung der Standard-Anmeldeinformationen bis hin zur Beschränkung des Zugriffs auf IoT-Geräte aus externen Netzwerken gibt es eine Vielzahl von Schritten, um die IoT-Sicherheit zu erhöhen.“

Anwenderunternehmen und Nutzern wäre zweifellos geholfen, wenn es mehr Informationen zur Sicherheit von IoT-Lösungen gäbe, nicht nur über Risiken und Schwachstellen, sondern auch über die tatsächlich vorhandenen Sicherheitseigenschaften. Zusätzlich wäre es nicht nur für den normalen Anwender wichtig, einen Hinweis zu bekommen, ob die verfügbaren Sicherheitsfunktionen bei einem IoT-Produkt ausreichen, und wenn ja, für welchen Schutzbedarf.

Dabei genügt es nicht, die eigenen IoT-Lösungen im Blick zu haben, wie eine Studie des Ponemon Institutes zum Risiko Dritter für das Internet der Dinge zeigt. Ponemon meldet eine dramatische Zunahme von IoT-bezogenen Datenschutzverletzungen, insbesondere aufgrund eines ungesicherten IoT-Geräts oder einer ungesicherten IoT-Anwendung. Waren es 2017 noch 15 Prozent sind es jetzt bereits 26 Prozent. Die wirklichen Ergebnisse sind möglicherweise sogar höher, da die meisten Unternehmen nicht über jedes ungesicherte IoT-Gerät oder jede ungesicherte IoT-Anwendung in ihrer Umgebung oder von Drittanbietern informiert sind.

Viele IoT-Risiken, aber auch viele IoT-Sicherheitsstandards

Neben den vielen Risiken, die es rund um das Internet der Dinge zu beachten gilt, gibt es auch eine Vielzahl an Empfehlungen und sogar Standards im Bereich IoT-Sicherheit. Einigee Beispiele sind:

  • Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Konkret fordert die DIN SPEC 27072 u.a. eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik.

Sowohl für die Anbieter von IoT-Lösungen als auch für die Anwender ist es entscheidend, dass sich mehr Transparenz im IoT bildet, aber auch bei den Standards und Empfehlungen. Viele verschiedene Spezifikationen erschweren die Vergleichbarkeit und Interpretation der IoT-Sicherheit.

Die EU-Agentur für Cyber-Sicherheit ENISA hat sich IoT-Sicherheitsstandards angesehen und kam zu dem Schluss:

  • Eine ENISA-Analyse, bei der die bestehenden Standards mit den Anforderungen an Sicherheit und Datenschutz im Bereich des Internet der Dinge abgeglichen wurde, ergab, dass keine signifikante Standardlücke besteht - jede Anforderung kann von einem bestehenden Standard erfüllt werden. Während Standards für viele verschiedene Elemente existieren, um ein Gerät oder einen Dienst sicher zu machen, bezieht sich der Begriff IoT auf ein Ökosystem, das nicht nur Geräte und Dienste umfasst. Darüber hinaus erfordern der Anwendungskontext von IoT, seine hohe Skalierbarkeit und andere Merkmale weitere flexible Ansätze.
  • Die Sicherheitslücke bei IoT-Gerätestandards besteht darin, dass die Standards nicht ganzheitlich behandelt werden. Daher ist es möglich, ein Gerät auf den Markt zu bringen, das seinen Benutzer authentifizieren, gesendete und empfangene Daten verschlüsseln und entschlüsseln, den Integritätsnachweis liefern oder verifizieren kann, das jedoch weiterhin unsicher ist und bleibt.

Worauf es bei IoT-Sicherheitszertifizierungen ankommt

Die Sicherung des Internets der Dinge ist mit einem einheitlichen Ansatz nicht möglich - und jede Art von vernetztem Objekt muss individuell bewertet werden, erklärte ein Vertreter der Trusted Computing Group (TCG).

Das IoT erscheint also als zu komplex und vielschichtig für eine einheitliche Sicherheitsempfehlung und Sicherheitszertifizierung. Dann aber wäre es wichtig, einen Basisschutz für IoT-Geräte zu definieren, was bereits mehrfach erfolgt ist, diesen Basisschutz aber auch auf alle IoT-Geräte anzuwenden, die Einhaltung zu zertifizieren und ganz deutlich zu machen, dass weitere Sicherheitsmaßnahmen je nach IoT-Lösung erforderlich sein können.

Betrachtet man nämlich die Schwachstellen und Mängel in der IoT-Sicherheit, sind dies oftmals Punkte, die unter das Thema Basisschutz fallen. Mit Zertifikaten, die diesen nachweisen, wäre also der Transparenz im Internet of Things deutlich geholfen, die IoT-Sicherheit braucht allerdings je nach Schutzbedarf und konkretem Anwendungsgebiet noch weitere Maßnahmen, also zum Beispiel auch weitere Zertifizierungsstufen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46031100)