Ob Sie sie bauen oder kaufen – IoT-Gerätesicherheit geht uns alle an
Das Internet der Dinge (IoT) bietet viele Attraktionen für kleine und mittelständische Hersteller (SMMs), die IoT in ihre Einrichtungen und ihren Betrieb integrieren möchten oder mit innovativen Produkten in den IoT-Markt eintreten möchten. Das Spektrum der verfügbaren IoT-Produkte ist breit gefächert und wächst stetig. Wenn Sie sich in das IoT-Gewässer wagen, ist es hilfreich, auf potenzielle Fallstricke der Cybersicherheit vorbereitet zu sein, sei es in Form von Auswirkungen auf das organisatorische Risikomanagement bei der Einführung des IoT in der Umgebung oder Überlegungen zu Produktdesign und -support beim Markteintritt als Produktanbieter. Das NIST-Programm Cybersicherheit für das Internet der Dinge arbeitet daran, die Informationen bereitzustellen, die SMMs benötigen, um in diesen potenziell turbulenten Gewässern zu navigieren.
IoT und Risikomanagement
Bevor Sie intelligente Thermostate installieren, damit sich Ihre Mitarbeiter wohl fühlen, intelligente Kaffeekannen in Pausenräumen hinzufügen, um sie koffeinfrei zu halten, oder die neueste und beste Industrial Control System (ICS)-Technologie in Ihrer Produktionsumgebung einsetzen, ist es wichtig, die möglichen Auswirkungen zu erkennen. Möglicherweise verfügen Sie über ein robustes Informationssicherheitsprogramm für Ihre traditionelle IT, aber diese Tools, Prozesse und Verfahren müssen bei der Einführung des IoT wahrscheinlich angepasst werden. Einige der Unterschiede im IoT sind:
- Interaktion mit der physischen Welt. IoT-Geräte sind entweder mit Sensoren ausgestattet, die Informationen aus ihrer Umgebung sammeln, oder Aktoren, die bewirken, dass sich Objekte der „realen Welt“ bewegen oder verändern. Sensing kann viele potenziell sensible Daten generieren, daher ist es wichtig zu wissen, was gesammelt wird und wohin es geht. Ein kompromittierter Aktor könnte es einem Gegner ermöglichen, erhebliche Störungen zu verursachen. Denken Sie daran, was passieren könnte, wenn Sie nicht wissen, wer Ihre intelligenten Schlösser steuert.
- Herkömmliche IT-Managementpraktiken herausfordern. IoT-Geräte sind oft „Black Boxes“, die sowohl ihr internes Geschehen verschleiern als auch nicht wie Server, Desktops oder Firewalls mit Agenten ausgestattet oder abgefragt werden können. Infolgedessen können sich gängige IT-Managementpraktiken beim IoT als ineffektiv erweisen. Diese Verwaltungsherausforderungen können sich schnell vervielfachen, wenn Sie IoT-Geräte „in großem Maßstab“ bereitstellen.
- Mangelnde allgemeine Cybersicherheits- und Datenschutzfunktionen. IoT-Geräten fehlt oft die Unterstützung für Protokollierung und Überwachung, Unterstützung für die Aktualisierung von Geräten, um neu identifizierte Schwachstellen zu beheben, oder kryptografische Fähigkeiten, die zum Schutz sensibler Informationen, die sie generieren oder verarbeiten, erforderlich sind. Es kann nicht davon ausgegangen werden, dass diese Geräte über dieselben Cybersicherheitsfunktionen verfügen wie IT-Geräte im selben Netzwerk.
SMMs, die IoT in ihre Umgebungen integrieren, müssen auf diese Herausforderungen vorbereitet sein. Wenn Sie als Anbieter in den IoT-Markt eintreten, kann das Verständnis dieser Herausforderungen eine Gelegenheit sein, ein Produkt zu entwickeln, das ein besseres Kundenerlebnis bietet.
Management Ihres IoT-Sicherheitsrisikos
Bei der Einführung von IoT-Technologie in Ihrem Unternehmen sollten SMMs planen, diese Herausforderungen im Hinblick auf drei Ziele anzugehen:
- Schutz der IoT-Gerätesicherheit, um sicherzustellen, dass das Produkt vollständig unter der Kontrolle des Eigentümers steht und nicht von externen Akteuren ausgenutzt wird, um Zugang zum SMM-Netzwerk zu erhalten oder an einem Botnet teilzunehmen.
- Schutz der Datensicherheit, damit von IoT-Geräten generierte Daten nicht offengelegt oder verändert werden, während sie auf den Geräten gespeichert, über das Netzwerk übertragen oder an einen Cloud-basierten Dienst übertragen werden, der zur Bereitstellung von Aspekten der Produktfunktionen verwendet wird.
- Schutz der Privatsphäre von Einzelpersonen, wachsam gegenüber der Möglichkeit, dass datenschutzrelevante Informationen von IoT-Produkten erfasst oder erstellt werden und wissen, wohin diese Daten gelangen könnten.
Diese Ziele sind in NISTIR 8228, Erwägungen für das Management von Internet-of-Things (IoT)-Cybersicherheits- und Datenschutzrisiken . formuliert , und kann mit derzeit verfügbaren IoT-Produkten schwer zu erreichen sein. Für Organisationen, die das NIST Cybersecurity Framework (CSF) anwenden oder ihre Sicherheitsanforderungen mithilfe von NIST SP 800-53-Steuerelementen definieren, identifiziert NISTIR 8228 eine Reihe von Herausforderungen, die IoT-Geräte mit sich bringen, um die von CSF und SP 800-53 beabsichtigten Ziele zu erreichen. Beispielsweise kann die Kontrolle SI-2, Flaw Remediation, von SP 800-53 nicht von IoT-Geräten erfüllt werden, die keine Möglichkeit für sichere Software-/Firmware-Updates haben. Ebenso können viele IoT-Geräte nicht in einer Weise analysiert werden, die erforderlich ist, um die CSF-Unterkategorie DE.CM-8:durchgeführte Schwachstellenscans zu erfüllen.
Die Berücksichtigung der drei oben genannten Ziele sollte bei der Auswahl von IoT-Produkten sowie deren Verwaltung berücksichtigt werden, da die Sicherheitsfunktionen von IoT-Geräten dazu beitragen, die allgemeinen Sicherheitsanforderungen der Systeme zu erfüllen, in die die Geräte integriert sind.
Verbesserung der Sicherheitslage Ihrer IoT-Produkte
Wenn Sie sich an die Entwicklung von IoT-Produkten wagen, kann Ihnen das Bewusstsein für die Herausforderungen der Cybersicherheit bei der Entwicklung und dem Support Ihres Produkts helfen. Die drei oben beschriebenen Ziele gelten auch für die Entwicklung eines IoT-Produkts. Ein durchdachter Entwicklungsansatz unter Berücksichtigung dieser Ziele führt zu einem leichter zu verwaltenden und sichereren Produkt. Dieser Ansatz umfasst sowohl die Design- und Entwicklungsphase für das Produkt als auch die Supportphase nach der Markteinführung, wie in dieser Abbildung aus NISTIR 8259, Grundlagen der Cybersicherheitsaktivitäten für IoT-Gerätehersteller . dargestellt .
Die grundlegenden Baselines beschreiben die Gerätefähigkeiten und unterstützenden Maßnahmen für ein Spektrum von Anforderungen:
Technische Cybersicherheitsfunktionen
| Geräteidentifikation | Das IoT-Gerät kann logisch und physisch eindeutig identifiziert werden. |
| Gerätekonfiguration | Die Konfiguration der Software des IoT-Geräts kann geändert werden, und solche Änderungen können nur von autorisierten Stellen durchgeführt werden. |
| Datenschutz | Das IoT-Gerät kann die von ihm gespeicherten und übertragenen Daten vor unbefugtem Zugriff und Änderungen schützen. |
| Logischer Zugriff auf Schnittstellen | Das IoT-Gerät kann den logischen Zugriff auf seine lokalen und Netzwerkschnittstellen sowie die von diesen Schnittstellen verwendeten Protokolle und Dienste nur auf autorisierte Einheiten beschränken. |
| Software-Update | Die Software des IoT-Geräts kann von autorisierten Stellen nur mithilfe eines sicheren und konfigurierbaren Mechanismus aktualisiert werden. |
| Staatliche Sensibilisierung für Cybersicherheit | Das IoT-Gerät kann seinen Cybersicherheitsstatus melden und diese Informationen nur autorisierten Stellen zugänglich machen. |
Nicht-technische unterstützende Fähigkeiten
| Dokumentation | Die Fähigkeit des Herstellers und/oder der unterstützenden Einrichtung, für die Cybersicherheit des IoT-Geräts relevante Informationen während der Entwicklung eines Geräts und seines nachfolgenden Lebenszyklus zu erstellen, zu sammeln und zu speichern. |
| Informations- und Abfrageempfang | Die Möglichkeit für den Hersteller und/oder die unterstützende Einrichtung, vom Kunden Informationen und Fragen zur Cybersicherheit des IoT-Geräts zu erhalten. |
| Informationsverbreitung | Die Fähigkeit des Herstellers und/oder der unterstützenden Einrichtung, Informationen zur Cybersicherheit des IoT-Geräts zu übertragen und zu verteilen. |
| Bildung und Bewusstsein | Die Fähigkeit des Herstellers und/oder der unterstützenden Einrichtung, Kunden für Elemente wie Informationen zur Cybersicherheit, Überlegungen und Funktionen des IoT-Geräts zu sensibilisieren und darüber aufzuklären. |
Die Planungsaktivitäten in Kombination mit der Anwendung der technischen und nicht-technischen Baselines werden SMMs helfen, Produkte zu entwickeln, die sowohl sicherer als auch besser unterstützt werden und Ihren Kunden helfen, Ihre IoT-Innovationen zu nutzen und gleichzeitig die Auswirkungen auf ihre Risikomanagement-Herausforderungen zu begrenzen.
Informationen, die helfen können
Das NIST-Programm Cybersecurity for the Internet of Things hat sich in den letzten Jahren intensiv mit der Community beschäftigt und eine umfassende Sammlung von Leitlinien zu den Herausforderungen der IoT-Cybersicherheit entwickelt. Unabhängig davon, ob Sie ein SMM sind, das den Betrieb durch die Integration von IoT verbessern möchte oder mit neuen Produkten auf den Markt kommt, stehen Ihnen viele Ressourcen und Veröffentlichungen zur Verfügung, um Ihre Bemühungen zu unterstützen.
NISTs Cybersecurity for IoT begrüßt den Hersteller iotsec [at] nist.gov (Feedback) zu unseren aktuellen öffentlichen Entwürfen.
Industrietechnik
- Umfrage bietet düstere Sicht auf die Bereitstellung von IoT-Sicherheit
- Anwendungsschwachstellen machen IoT-Geräte angreifbar
- Eine Einführung in das Hacken von eingebetteter IoT-Hardware
- Schutz des industriellen IoT:Eine wachsende Sicherheitsherausforderung – Teil 1
- Was die Einführung von 5G für die IoT-Sicherheit bedeutet
- Warum "Zero Trust" der beste Weg ist, um die Sicherheit von IoT-Geräten zu verbessern
- Was ist IoT-Sicherheit?
- 5 Top-IoT-Herausforderungen bei der Entwicklung Ihres Geräts
- Industrielle IoT-Sicherheit:Herausforderungen und Lösungen
- Was ist ein Edge-Gerät und warum ist es für das IoT unerlässlich?