Smarte Standards: Neue Sicherheitsrichtlinien für IoT-Geräte

Dank der Zusammenarbeit der britischen Regierung, des Europäischen Komitees für Normung sowie eines Branchenverbandes – und wahrscheinlich jeder Menge Kaffee – sieht es so aus, als würden smarte Geräte endlich eine Reihe grundlegender Sicherheitsrichtlinien erhalten.

Angesichts aktueller Bedrohungen wie der neuen, verbesserten Varianten des Mirai-Botnetzes, die auf die Schwachstellen einer noch größeren Zahl und weiterer Kategorien von smarten Geräten abzielen, wird es dafür auch allerhöchste Zeit.

Die neu vereinbarten Standards enthalten 13 Richtlinien, um vernetzte IoT-Geräte durch Vorgaben wie „Keine Standardpasswörter verwenden“ und „Sicher kommunizieren“ sicherer zu machen.

„Die neuen Richtlinien bewegen sich auf eher niedrigem Niveau, sind aber definitiv ein Schritt in die richtige Richtung auf dem Weg zu mehr Verbrauchersicherheit im Internet of Things”, sagt Andrei Petrus, Leiter der IoT-Abteilung bei Avira. „Im Bestreben, die innovativsten und wettbewerbsfähigsten Produkte schnellstmöglich auf den Markt zu bringen, lassen die Gerätehersteller häufig die grundlegendsten Sicherheitsprinzipien außer Acht. Es wird sich allerdings erst noch zeigen müssen, ob sich die Hersteller freiwillig an die ETSI-Richtlinien halten werden.”

Ein organisatorischer Kraftakt

Um an diesen Punkt zu kommen, war die übergreifende Zusammenarbeit mehrerer Organisationen erforderlich, bei der die britische Regierung federführend war. Deren Code of Practice wurde im März 2018 erstmals als Entwurf veröffentlicht und im Oktober desselben Jahres finalisiert. An der Entwicklung dieses Leitfadens für mehr IoT-Sicherheit war gleich ein ganzes Konglomerat an Behörden beteiligt, darunter das Department for Digital, Culture, Media and Sport (DCMS) und das National Cyber Security Centre (NCSC), unter enger Einbeziehung der Industrie, von Verbraucherverbänden und Hochschulen.

Der Code of Practice wurde anschließend vom ETSI Technical Committee on Cybersecurity in den 16 Seiten umfassenden Leitfaden für IoT-Verbrauchersicherheit ETSI TS 103 645 überführt. ETSI steht für das European Telecommunications Standards Institute, eine unabhängige Non-Profit-Organisation, die bei der Entwicklung von technischen Standards in der IT- und Telekommunikationsbranche hilft. Auch wenn wahrscheinlich kaum jemand je von dieser Organisation gehört hat, trägt sie doch maßgeblich zur Gestaltung der modernen Welt bei.

Zu guter Letzt gibt es noch den Cybersecurity Tech Accord, ein Verband aus IT-Unternehmen, Entwicklern und Sicherheitsfirmen. Gerade wurde bekanntgegeben, dass deren Mitglieder ETSI TS 103 645 ebenfalls unterstützen. 

Und wie geht’s jetzt weiter?

Kurz zusammengefasst scheint es sich bei ETSI TS 103 645 um ein „Gentlemen’s Agreement“ zu handeln – von der EU-Regierung entwickelt, von einem offiziellen EU- Normentwickler kodifiziert und von der Branche mit wohlwollendem Applaus bedacht.

Das ist schon mal ein guter Anfang, aber nur die erste Etappe einer langen Reise. ETSI TS 103 645 wird wahrscheinlich als Grundlage für ein IoT-Zertifizierungsverfahren dienen. Ob die Produktherstellung auf Basis dieser Standards verpflichtend wird, bleibt abzuwarten.

Die 13 Richtlinien im Überblick:

  1. Keine Standardpasswörter verwenden
  2. Richtlinie zur Offenlegung von Schwachstellen implementieren
  3. Software auf dem aktuellen Stand halten
  4. Zugangsdaten und sicherheitsrelevante Daten sicher speichern
  5. Sicher kommunizieren
  6. Angriffsflächen minimieren
  7. Software-Integrität gewährleisten
  8. Den Schutz von personenbezogenen Daten gewährleisten
  9. Systeme ausfallsicherer gestalten
  10. System-Telemetriedaten überwachen
  11. Verbrauchern die einfache Löschung personenbezogener Daten ermöglichen
  12. Installation und Wartung von Geräten vereinfachen
  13. Eingabedaten überprüfen

 

 

Dieser Artikel ist auch verfügbar in: Englisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.