Teil 6: Orientierungshilfe im Dschungel der IoT-Sicherheitsstands

Zunächst muss berücksichtig werden, dass der Fokus bei den hier genannten Standards der IoT-Gerätemarkt für Endanwender ist. Orientierungshilfe für z. B. industrielle IoT bieten sie nur bedingt. Auch liegt das Hauptaugenmerkt auf dem Endgerät, obwohl zu einem sicheren IoT-System genauso die Backend-Infrastruktur zählt. Hierzu zählt beispielsweise die Cloud-Technologie, für die gesonderte Standards zu berücksichtigen sind. Hier geben wir eine Orientierungshilfe im deutschen bzw. europäischen Raum.

Einige der Standards fließen in die aktuelle Entwicklung verschiedener Sicherheitszertifizierungen und Prüfstandards für Produkte ein. Ein Beispiel ist das finnische IoT-Sicherheitslabel [1]. Denkbar ist auch, dass diese Standards im Sinne des europäischen Verbraucherschutzes im Consumer-Bereich von IoT über die ENISA (European Union Agency for Cybersecurity) für Hersteller und Anbieter bindend werden könnten.

In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) maßgebend und in enger Abstimmungen mit den europäischen Behörden für Cybersicherheit und Standarisierung, um für Hersteller auf dem deutschen Markt klare Vorgaben an die IT-Sicherheit ihrer Produkte zu machen und gleichzeitig dem Bürger eine transparente und fundierte Kaufentscheidung in Bezug auf Produktsicherheit zu ermöglichen.

Im Folgenden sind die wichtigsten IoT-Sicherheitsstandards bzw. Frameworks aufgeführt:

EUROPEAN STANDARD ETSI EN 303 645 (ETSI)

• Cyber Security for Consumer Internet of Things: Baseline Requirements
• Pressemitteilung, Dokumente

EUROSMART IoT Security Certification Scheme (EUROSMART)

• Eurosmart Cybersecurity Certification Scheme for IoT
• Dokumente

ISO/IEC 30141:2018 (ISO)

• IoT System & Product Security Life Cycle Reference Model
• Dokumente

DIN SPEC 27072 (DIN)

• Mehr Sicherheit im Smart Home
• Pressemitteilung

NISTIR 8259 (NIST)

• Foundational Cybersecurity Activities for IoT Device Manufacturers
• Dokumente

BSI Grundschutz 200-x (BSI)

• SYS.4.4 Allgemeines IoT-Gerät
• Baustein, Hinweise (ab Seite 800)

CSA IoT Security Controls Framework (Cloud Security Alliance)

• IoT Security Controls Framework
• Dokumente

Einleitend sei bemerkt, dass – wie die Diskussion zur sog. „Router-TR“ vom BSI Ende 2018 gezeigt hat [3] – Standarisierung immer von Kompromissen und dem Lobbyismus der Hersteller geprägt ist. Für diese stehen potenziell möglichst weiche Anforderungen im Fokus, deren Umsetzung sich wirtschaftlich abbilden lässt. Sie möchten eine einfache Produkthandhabung für den Endanwender sicherstellen und im Produktentwicklungsprozess weitreichende Flexibilität erhalten.

Dagegen sind harte, technische und organisatorische Anforderungen der IT-Sicherheit zu legen, deren fehlende oder nachlässige Umsetzung das Eindringen von Angreifern in Heimnetze, Haushalte, vernetzte Autos und andere private Bereiche des Lebens ermöglicht. Dazwischen steht der Konsument meist ohne technisches Wissen, der sich auf Herstellerangaben und den Rechtsrahmen für diese Produkte verlassen will. Dieser Umstand ist zu berücksichtigen, gerade wenn von einem „Mindeststandard für Sicherheit“ gesprochen wird: Standards sind oft nur das Minimum an Sicherheit: der kleinste gemeinsame Nenner zwischen Verbrauchervertretung und Industrie.

„Hervorragende IT-Sicherheit“ als Gütemerkmal bei IoT-Produkten hat sich leider noch nicht durchgesetzt.

Abgeleitet von den genannten Standards und Best-Practices ist folgende, sicher nicht umfassende „Top-15-Checkliste für IoT-Sicherheit“ ein guter Anhaltspunkt dafür, ob Ihre IoT-Produktentwicklung in Bezug auf IT-Sicherheit auf einem guten Weg ist:

1. Sie berücksichtigen Sicherheitsanforderungen und Datenschutz bereits im Produktdesignprozess.
2. Auf der Produktpackung ist zu lesen, bis wann der Kunde mindestens Sicherheitsupdates erwarten kann. 
3. Der Installationsprozess ist für den Kunden einfach und Sicherheitseinstellungen sind für Laien verständlich dokumentiert.
4. Funktionen zur Konfiguration oder Administration sind immer verpflichtend mit einer Authentifizierung geschützt.
5. Es werden keine Default- oder Standard-Passwörter verwendet.
6. Wichtige Sicherheitsupdates der Gerätesoftware können automatisch erfolgen.
7. Die Integrität der Gerätesoftware wird bei Updates kryptographisch sichergestellt. 
8. Alle Datenübertragungswege sind verschlüsselt.
9. Sensible Informationen zur Anmeldung oder über den Kunden werden nur verschlüsselt gespeichert.
10. Das Gerät stellt initial nur genau die Schnittstellen (Ports) zur Verfügung, die zum Betrieb unbedingt nötig sind.
11. Die Gerätesoftware verwendet keine veralteten Bibliotheken, Services oder Protokolle, die bekannte Schwachstellen aufweisen.
12. Das Gerät erkennt potenzielle, z. B. „brute-force“ Angriffe und meldet diese aktiv.
13. Der Kunde kann einfach seine persönlichen Daten in Gerät und Plattform löschen.
14. Sie veröffentlichen bekannte Schwachstellen ihres Produktes.
15. Sie informieren Ihre Kunden bei Sicherheitsproblemen proaktiv, z. B. per E-Mail mit Hinweisen zur Behebung.

Wir unterstützten Sie gerne mit unserer Erfahrung in der Absicherung Ihres IoT-Produkts – von der Einführung einer sicheren Entwicklung auf Basis von Methoden wie „Security by Design“ oder agile Vorgehensmodellen in einer „DevSecOps“-Kultur, über Hardware-Security auf Geräteebene bis hin zur Begleitung einer Sicherheitszertifizierung.