IoT für Hersteller

Das U.S. National Institute of Standards and Technology (NIST) veröffentlichte vor kurzem einen zweiten Entwurf der Recommendations for IoT Device Manufacturers: (Empfehlungen für iOT-Gerätehersteller)Foundational Activities and Core Device Cybersecurity Capability Baseline, oder abgekürzt NISTIR 8259. Der Entwurf enthält freiwillige und empfohlene Tätigkeiten im Zusammenhang mit der Cybersicherheit, die von den Herstellern berücksichtigt werden sollten, bevor ihre IoT-Geräte an Kunden verkauft werden. Diese Tätigkeiten sollen den Herstellern helfen, die von den Kunden der IoT-Geräte zu erbringenden Bemühungen im Bereich der Cybersicherheit zu verringern, was wiederum die Häufigkeit und den Schweregrad der Gefährdung von IoT-Geräten und die Angriffe auf gefährdete IoT-Geräte verringern kann.

Den Entwurf finden Sie hier.

Die Internet of Things Security Foundation (IoTSF), eine kollaborative, gemeinnützige, internationale Initiative, die als Reaktion auf die komplexe Realität der Cybersicherheit in der hypervernetzten IoT-Branche ins Leben gerufen wurde, hat zahlreiche Veröffentlichungen über bewährte Praktiken herausgegeben, die von den Herstellern berücksichtigt werden sollten, wie z. B. die Offenlegung von Schwachstellen, Leitfäden für bewährte Praktiken für eine sichere Konstruktion und andere Ressourcen, die für Hersteller nützlich sein können. 

Die vollständigen Berichte und Empfehlungen finden Sie hier. 

Das European Telecommunications Standards Institute (ETSI) veröffentlichte die ETSI Technical Specification on Cyber Security for Consumer Internet of Things. Dieses Dokument enthält dreizehn ergebnisorientierte Sicherheitsrichtlinien, die von den Herstellern von IoT-Verbrauchergeräten umgesetzt werden sollen. Dazu gehören die Vermeidung der Verwendung von Standardkennwörtern, die Einführung einer Politik der Offenlegung von Schwachstellen, die Aktualisierung der Software und die sichere Speicherung sensibler Daten bei der Herstellung von Konsumgütern. Das Dokument vergleicht die Richtlinien mit etablierten Standards nationaler und internationaler Cybersicherheits-Regulierungsbehörden und hilft Entwicklern, auf bewährten Praktiken aus der gesamten Branche aufzubauen. 

Weitere Informationen zu den ETSI Consumer IoT Standards finden Sie hier.

Im Mai 2019 startete die britische Regierung eine Konsultation zu Regulierungsvorschlägen für die IoT-Sicherheit der Verbraucher, die im Juni 2019 abgeschlossen wurde. Die Konsultation ergab, dass es notwendig ist, die Transparenz auf dem Markt wiederherzustellen, wobei der Schwerpunkt darauf liegt, dass die Hersteller hinsichtlich der in den IoT-Geräten eingebauten Sicherheitsanforderungen transparenter sein müssen. Im Februar 2020 legte die britische Regierung ihre Reaktion auf die Konsultation in Form eines Gesetzes vor, das drei wichtige Sicherheitsanforderungen für IoT-Hersteller umfasst: Die Passwörter von IoT-Geräten müssen eindeutig sein und dürfen nicht auf eine universelle Werkseinstellung zurücksetzbar sein, die Hersteller von IoT-Produkten müssen im Rahmen einer Politik der Offenlegung von Schwachstellen einen öffentlichen Ansprechpartner zur Verfügung stellen und schließlich ausdrücklich angeben, für welche Mindestdauer das Gerät Sicherheitsupdates erhält. Die Einhaltung dieser drei Standards stellt sicher, dass die Verbraucher einen wichtigen Schutz gegen die elementarsten Schwachstellen von IoT-Geräten erhalten.

Die Antwort der britischen Regierung auf die Konsultation finden Sie hier. 

Consumers International hat eine Reihe von Prinzipien und Richtlinien veröffentlicht, die den Herstellern helfen sollen, sichere und vertrauenswürdige IoT-Geräte für Verbraucher zu entwickeln. Die „Trust by Design”-Grundsätze und die begleitenden Richtlinien legen Anforderungen in sechs Bereichen fest, um die Sicherheit, den Datenschutz, die Transparenz, die Benutzerfreundlichkeit und die ethische Natur intelligenter Geräte zu gewährleisten. Die Richtlinien enthalten eine Checkliste, mit Hilfe derer die Hersteller sicherstellen können, dass ihre Verbrauchsgüter von „Trust by Design” zugelassen sind, sowie nützliche Fallstudien, die den Herstellern bei der Umsetzung helfen können.

Den vollständigen Bericht, seine Richtlinien und Checklisten finden Sie hier. 

Die Infocomm Media Development Unit (IMDA) von Singapur, eine Regierungsbehörde des Stadtstaates Singapur, veröffentlichte einen praktischen Leitfaden für IoT-Entwickler, -Anbieter und -Benutzer, der sich auf die Sicherheitsaspekte der Entwicklung und des Betriebs von IoT-Systemen konzentriert. Der Leitfaden enthält grundlegende Empfehlungen sowohl für die Implementierungs- als auch für die Betriebsphase von IoT-Projekten. Dazu gehören der Einsatz einer starken Kryptographie, der Schutz von Systemdaten, die Modellierung von Bedrohungen, die Durchsetzung angemessener Zugangskontrollen, die Vorbereitung auf und der Schutz vor Angriffen sowie die Durchführung regelmäßiger Bewertungen. Der Leitfaden beinhaltet auch eine praktische Checkliste, die den Anwender in den Prozess der Bedrohungsmodellierung einführen kann.

Den vollständigen Bericht der IMDA finden Sie hier. 

Im Juli 2016 veröffentlichte das japanische Ministerium für Wirtschaft, Handel und Industrie (METI) gegründete IoT Acceleration Consortium (IoT-Beschleunigungskonsortium) eine Reihe von IoT-Sicherheitsrichtlinien, die auf dem „Security by Design”-Prinzip basieren. Die Richtlinien sollten den IoT-Herstellern helfen, proaktive Maßnahmen zur Sicherung der IoT zu ergreifen und eine Umgebung zu schaffen, in der die Benutzer die IoT-Geräte, -Systeme und -Dienste auf sichere Weise nutzen können. Die Richtlinien beruhen auf fünf Grundsätzen: (i) Festlegung einer grundlegenden Richtlinie unter Berücksichtigung der Art der IoT, (ii) Erkennung der Risiken der IoT, (iii) Erwägung eines Entwurfs zum Schutz dessen, was geschützt werden sollte, (iv) Erwägung von Sicherheitsmaßnahmen auf dem Netzwerk, und (v) Aufrechterhaltung eines sicheren und geschützten Zustandes sowie Versand und Austausch von Informationen. Jedes Prinzip enthält eine Liste von 4-5 Sicherheitsmaßnahmen, welche die Hersteller und Benutzer befolgen sollten, um die Cybersicherheit der IoT zu gewährleisten. Die Richtlinien wurden mit einer breit gefächerten Liste von Ziellesern entworfen, darunter Gerätehersteller, Systemanbieter, Dienstanbieter, Unternehmensnutzer sowie allgemeine Benutzer.

Die IoT-Sicherheitsrichtlinien des METI finden Sie hier.

Das australische Innenministerium hat gemeinsam mit dem Australian Signals Directorate und dem Australian Cyber Security Centre einen freiwilligen Code of Practice for manufacturers of IoT devices (Verhaltenskodex für Hersteller von IoT-Geräten) herausgegeben. Der im November 2019 veröffentlichte Richtlinienentwurf soll Industriestandards für australische Hersteller bereitstellen und besteht aus 13 Prinzipien, die die Sicherheit von IoT-Geräten verbessern sollen. Die ersten drei Prinzipien haben höchste Priorität und beinhalten: die Festlegung eindeutiger, unvorhersehbarer, komplexer und nicht zu erratender Passwörter, die Bereitstellung einer öffentlichen Kontaktstelle als Teil einer Richtlinie zur Offenlegung von Schwachstellen, um Probleme zu melden, und die rechtzeitige Aktualisierung der Software. Der Entwurf des Verhaltenskodex durchlief eine Konsultationsperiode, die erst jetzt am 1. März 2020 endete.

Den Entwurf des Verhaltenskodex finden Sie hier.

Die European Union Agency for Cybersecurity (ENISA) veröffentlichte den Bericht Good Practices for Security of IoT (Gute Praktiken für die Sicherheit der IoT) mit dem Ziel, die Sicherheit bereits durch die Konstruktion der IoT-Produkte zu fördern. Der Bericht konzentriert sich insbesondere auf Richtlinien für die Software-Entwicklung, ein Schlüsselaspekt für die Erreichung der Sicherheit durch die Konstruktion der IoT-Geräte, und umreißt die guten Praktiken im Software-Entwicklungs-Lebenszyklus der IoT-Systeme. Dies bedeutet, dass die Sicherheit des gesamten IoT-Ökosystems (Geräte, Kommunikation, Netzwerke, Cloud usw.) gewährleistet werden muss, um die Sicherheit des Entwicklungsprozesses zu erhöhen und somit die Sicherheit der Geräte grundlegend zu verbessern.

Den vollständigen Bericht finden Sie hier.