IoT-Sicherheitsgesetz fordert Standards

Für viele IoT-Entwicklungsteams bleibt Sicherheit ein Wunschlistenpunkt, der die Kosten und den Aufwand für die Implementierung in ein Verbraucherprodukt nicht wert ist. Verbraucher scheinen nicht bereit zu sein, für verbesserte Cybersicherheitsfunktionen extra zu zahlen oder Produkte ohne solche Funktionen zu vermeiden. Gesetzgeberische Aktivitäten beginnen jedoch, Sicherheit zu einer gesetzlichen Anforderung für Verbraucher-IoT-Designs zu machen.

Die Programmmanagerin des US National Institute of Standards and Technology (NIST) Katerina Megas wies auf dem IoT World Today's IoT Security Summit darauf hin, dass Gesetze, die die Integration von IoT-Geräten in Sicherheit verlangen, in einigen Bundesstaaten bereits in den Büchern stehen und noch ergänzt werden auch Bundesrecht. Im Januar 2020, so Megas, haben sowohl Kalifornien als auch Oregon Gesetze erlassen, die die Hersteller vernetzter Geräte in ihren Bundesstaaten verpflichten, ihre Geräte mit „angemessenen Sicherheitsfunktionen“ auszustatten. Darüber hinaus sind in mehreren weiteren Bundesstaaten – darunter Illinois, Massachusetts, New York und Virginia – ähnliche Gesetze anhängig oder werden geprüft.

Megas stellte auch fest, dass die US-Regierung damit beginnt, Gesetze zu erlassen, die die IoT-Sicherheit vorschreiben. Das US-Repräsentantenhaus beispielsweise hat im März H.R. 1668 – The Internet of Things Cybersecurity Improvement Act of 2020 – eingeführt. Das Gesetz fordert die Schaffung von „Standards und Richtlinien für die Bundesregierung zur angemessenen Nutzung und Verwaltung von Geräten des Internets der Dinge, die sich im Eigentum einer Behörde befinden oder von dieser kontrolliert werden und die mit Informationssystemen verbunden sind, die sich im Eigentum einer Behörde befinden oder von einer Behörde kontrolliert werden, durch Behörden, einschließlich einer Mindestinformationssicherheit“. Anforderungen für das Management von Cybersicherheitsrisiken im Zusammenhang mit solchen Geräten.“ Es passierte sowohl das Repräsentantenhaus als auch den Senat und wurde am 4. Dezember in Kraft gesetzt; Standards und Richtlinien müssen innerhalb von 90 Tagen veröffentlicht werden.

Gesetze, die die Implementierung von Sicherheitsfunktionen in IoT-Geräten vorschreiben, werden jetzt in Kraft gesetzt.

H.R. 1668 gilt zwar nur für IoT-Systeme, die die US-Regierung verwendet, markiert jedoch den Beginn von Cybersicherheitsvorschriften, die letztendlich auch für Industrie- und Verbrauchersysteme in den USA gelten werden. Im Jahr 2019 gründete der Kongress die Cyberspace Solarium Commission, um einen strategischen Ansatz für die USA zu entwickeln, um sich im Cyberspace zu verteidigen. Der erste Bericht dieser Kommission enthielt mehr als 80 Empfehlungen, darunter mehr als 50 Legislativvorschläge zur Umsetzung der mehrschichtigen Verteidigungsstrategie der Kommission. Viele dieser Vorschläge betreffen nicht nur die Systeme der Regierung, sondern gelten auch für Industrie- und Verbrauchersysteme.

Drei konkrete Vorschläge verdienen besondere Aufmerksamkeit von IoT-Entwicklungsteams. Einer fordert, dass die USA ein IoT-Sicherheitsgesetz verabschieden, das „angemessene Sicherheitsmaßnahmen“ in Übereinstimmung mit NIST-Empfehlungen wie NISTIR 8259 – Foundational Cybersecurity Activities for IoT Device Manufacturers – vorschreibt. Ein weiterer Vorschlag sieht die Einrichtung einer Nationalen Behörde für die Zertifizierung und Kennzeichnung von Cybersicherheit vor, die die Einhaltung der Anforderungen durch IoT-Geräte überprüft. Darüber hinaus fordert dieser Vorschlag, dass diese Behörde ihren Geltungsbereich über föderale und industrielle IoT-Systeme hinaus auf persönliche und Unterhaltungselektronik ausdehnt.

Der dritte Vorschlag, der Aufmerksamkeit verdient, hat das Potenzial, alle verbleibenden wirtschaftlichen Einwände gegen die Implementierung von IoT-Sicherheit im Design außer Kraft zu setzen. Dieser Vorschlag sieht die Einführung einer Haftung für Endabnehmer vor. Im Falle einer Implementierung haften Hersteller von zum Verkauf stehenden IoT-Geräten für Schäden, falls ihre Geräte nicht vor bekannten Schwachstellen schützen. Mit anderen Worten, IoT-Sicherheit wird zu einem „Must-Have“-Feature, unabhängig davon, ob es die Verbraucher dazu verleitet, mehr auszugeben oder nicht. Das Risiko, keine Sicherheit zu implementieren, ist einfach zu hoch.

Die „angemessenen Sicherheitsmerkmale“, die all diese Gesetze verlangen, sind noch immer nur vage definiert. In den Gesetzen von Kalifornien und Oregon fordert Megas die Definition von „angemessen“ lediglich Maßnahmen, die der Funktion des Geräts und den verarbeiteten Informationen angemessen sind und versuchen, den unbefugten Zugriff, die Offenlegung, die Verwendung, die Änderung oder die Zerstörung von zu verhindern diese Informationen. Spezifische Maßnahmen sind nicht definiert.

Wahrscheinlich sind sie es auch nicht. Wie Megas in der Präsentation betonte, ist eine Leitphilosophie für NIST bei der Empfehlung von Cybersicherheitsmaßnahmen, dass eine Größe nicht für alle passt. Spezifische Maßnahmen werden daher in diesen Gesetzen nicht verankert. Stattdessen verfolgen die Bemühungen einen ergebnisorientierten Ansatz. Die kommenden Gesetze, die IoT-Designs zur Implementierung von Cybersicherheit erfordern, werden nicht festlegen, wie dies zu bewerkstelligen ist. Diese Entschlossenheit wird weiterhin bei den Entwicklungsteams liegen. Aber der Bedarf an IoT-Sicherheit und der Funktionalität seiner Implementierung ist auf dem besten Weg, sich von einem gesunden Menschenverstand zu einer gesetzlichen Anforderung zu entwickeln.

>> Dieser Artikel wurde ursprünglich veröffentlicht am unsere Schwesterseite EDN.