Skip to Main Content

Smarte Standards: Neue Sicherheitsrichtlinien für IoT-Geräte

Dank der Zusammenarbeit der britischen Regierung, des Europäischen Komitees für Normung sowie eines Branchenverbandes – und wahrscheinlich jeder Menge Kaffee – sieht es so aus, als würden smarte Geräte endlich eine Reihe grundlegender Sicherheitsrichtlinien erhalten.

Angesichts aktueller Bedrohungen wie der neuen, verbesserten Varianten des Mirai-Botnetzes, die auf die Schwachstellen einer noch größeren Zahl und weiterer Kategorien von smarten Geräten abzielen, wird es dafür auch allerhöchste Zeit.

Die neu vereinbarten Standards enthalten 13 Richtlinien, um vernetzte IoT-Geräte durch Vorgaben wie „Keine Standardpasswörter verwenden“ und „Sicher kommunizieren“ sicherer zu machen.

„Die neuen Richtlinien bewegen sich auf eher niedrigem Niveau, sind aber definitiv ein Schritt in die richtige Richtung auf dem Weg zu mehr Verbrauchersicherheit im Internet of Things”, sagt Andrei Petrus, Leiter der IoT-Abteilung bei Avira. „Im Bestreben, die innovativsten und wettbewerbsfähigsten Produkte schnellstmöglich auf den Markt zu bringen, lassen die Gerätehersteller häufig die grundlegendsten Sicherheitsprinzipien außer Acht. Es wird sich allerdings erst noch zeigen müssen, ob sich die Hersteller freiwillig an die ETSI-Richtlinien halten werden.”

Ein organisatorischer Kraftakt

Um an diesen Punkt zu kommen, war die übergreifende Zusammenarbeit mehrerer Organisationen erforderlich, bei der die britische Regierung federführend war. Deren Code of Practice wurde im März 2018 erstmals als Entwurf veröffentlicht und im Oktober desselben Jahres finalisiert. An der Entwicklung dieses Leitfadens für mehr IoT-Sicherheit war gleich ein ganzes Konglomerat an Behörden beteiligt, darunter das Department for Digital, Culture, Media and Sport (DCMS) und das National Cyber Security Centre (NCSC), unter enger Einbeziehung der Industrie, von Verbraucherverbänden und Hochschulen.

Der Code of Practice wurde anschließend vom ETSI Technical Committee on Cybersecurity in den 16 Seiten umfassenden Leitfaden für IoT-Verbrauchersicherheit ETSI TS 103 645 überführt. ETSI steht für das European Telecommunications Standards Institute, eine unabhängige Non-Profit-Organisation, die bei der Entwicklung von technischen Standards in der IT- und Telekommunikationsbranche hilft. Auch wenn wahrscheinlich kaum jemand je von dieser Organisation gehört hat, trägt sie doch maßgeblich zur Gestaltung der modernen Welt bei.

Zu guter Letzt gibt es noch den Cybersecurity Tech Accord, ein Verband aus IT-Unternehmen, Entwicklern und Sicherheitsfirmen. Gerade wurde bekanntgegeben, dass deren Mitglieder ETSI TS 103 645 ebenfalls unterstützen. 

Und wie geht’s jetzt weiter?

Kurz zusammengefasst scheint es sich bei ETSI TS 103 645 um ein „Gentlemen’s Agreement“ zu handeln – von der EU-Regierung entwickelt, von einem offiziellen EU- Normentwickler kodifiziert und von der Branche mit wohlwollendem Applaus bedacht.

Das ist schon mal ein guter Anfang, aber nur die erste Etappe einer langen Reise. ETSI TS 103 645 wird wahrscheinlich als Grundlage für ein IoT-Zertifizierungsverfahren dienen. Ob die Produktherstellung auf Basis dieser Standards verpflichtend wird, bleibt abzuwarten.

Die 13 Richtlinien im Überblick:

  1. Keine Standardpasswörter verwenden
  2. Richtlinie zur Offenlegung von Schwachstellen implementieren
  3. Software auf dem aktuellen Stand halten
  4. Zugangsdaten und sicherheitsrelevante Daten sicher speichern
  5. Sicher kommunizieren
  6. Angriffsflächen minimieren
  7. Software-Integrität gewährleisten
  8. Den Schutz von personenbezogenen Daten gewährleisten
  9. Systeme ausfallsicherer gestalten
  10. System-Telemetriedaten überwachen
  11. Verbrauchern die einfache Löschung personenbezogener Daten ermöglichen
  12. Installation und Wartung von Geräten vereinfachen
  13. Eingabedaten überprüfen

 

 

Avira ist mit rund 100 Millionen Kunden und 500 Mitarbeitern ein weltweit führender Anbieter selbst entwickelter Sicherheitslösungen für den professionellen und privaten Einsatz. Das Unternehmen gehört mit mehr als 25-jähriger Erfahrung zu den Pionieren in diesem Bereich.