Das Gesetz zur Verbesserung der IoT-Cybersicherheit:Was bedeutet es und wie bereiten wir uns darauf vor?

Das Ziel des IoT Cybersecurity Improvement Act von 2017 ist es, „minimale Cybersicherheitsbetriebsstandards für von Bundesbehörden gekaufte Geräte mit Internetverbindung und für andere Zwecke bereitzustellen.“

Nach der vorgeschlagenen Gesetzgebung müssen Anbieter eine Reihe von Anforderungen erfüllen, bevor sie mit Regierungsbehörden Verträge schließen können, darunter:

• Geräte müssen frei von bekannten Schwachstellen und Defekten sein
• Geräte müssen in der Lage sein, regelmäßige Software-Updates zu erhalten
• Geräte dürfen keine festen oder hartcodierten Anmeldeinformationen enthalten, die für die Fernverwaltung, die Bereitstellung von Updates oder die Kommunikation verwendet werden

Angesichts der sicherheitstechnischen und wirtschaftlichen Auswirkungen privater IoT-Netzwerke ist es jedoch durchaus wahrscheinlich, dass solche Vorschriften über staatliche Aufträge hinaus ausgeweitet werden. Ted Koppel hat gewarnt, dass ein IoT-Angriff auf das US-Stromnetz einen massiven Ausfall verursachen könnte .

Für Unternehmen können solche Angriffe eine existenzielle Bedrohung darstellen – DNS-Anbieter Dyn einen DDoS-Angriff erlebt, der 8 % seines Geschäfts gekostet hat. Auch wenn wir sicherlich mehr Vorschriften und Industriestandards erwarten können, sollten Unternehmen ihre eigenen proaktiven Schritte unternehmen, um ihre Systeme zu schützen.

Schritte, die jedes Unternehmen unternehmen sollte

Es sollte klar sein, dass die Standardansätze zur Sicherung eines Netzwerks – Patches, Firewalls, Spyware-Erkennung, Schulung der Mitarbeiter usw. – nicht ausreichen, um IoT-Bedrohungen einzudämmen. Die Kombination aus Software-Infrastruktur und remote bereitgestellten Geräten fügt der Sicherheit neue Dimensionen hinzu, die eine neue Denkweise erfordern.

Es gibt jedoch einige Schritte, die Unternehmen unternehmen sollten, um sicherzustellen, dass sie nicht nur Angriffe verhindern, sondern auch die kommenden Gesetze einhalten:

• Verschlüsseln Sie die Schlüssel auf jedem einzelnen Gerät für mehr Kontrolle über das Netzwerk, da jedes einzelne Gerät überwacht und verwaltet werden kann (im Gegensatz zu einem Gateway, das einen bestimmten Bereich/eine bestimmte Region kontrolliert)
• Nur Derivate von Verschlüsselungsschlüsseln für bestimmte Funktionen verwenden
• Drehen Sie die Schlüssel regelmäßig, damit ein Gerät, selbst wenn es kompromittiert wird, nur für kurze Zeit von einem Hacker verwendet werden kann
• Zentralisieren Sie die Transparenz und Kontrolle über das System, damit Sie verdächtige Geräte direkt unter Quarantäne stellen und deaktivieren können
• Die Nutzung hardwarebasierter Sicherheit oder des Schutzes, der von einem physischen Gerät und nicht von Software erzeugt wird, die auf einem Computersystem installiert ist, eine Taktik, die laut Analyst Patrick Moorhead sicherer ist als Software, da sie nicht geändert werden kann und verhindern, dass Malware das Betriebssystem und die Virtualisierungsebene infiltriert

Laut IDC , IoT-Investitionen werden bis 2021 voraussichtlich 1,4 Billionen US-Dollar (1,17 Billionen Euro) betragen. IoT-Systeme haben bereits rund 25 Milliarden Geräte online gebracht  und laut einem Hewlett Packard Studie kann es 70 bis 80 % an Verschlüsselung und ausreichendem Passwortschutz mangeln.

Dies sind Hauptziele für einige der schlimmsten Arten von Cyberangriffen, die man sich vorstellen kann, und Unternehmen müssen jetzt Maßnahmen ergreifen, um sicherzustellen, dass sie geschützt sind. Mit dem richtigen Ansatz können Unternehmen jedoch hochsichere IoT-Netzwerke aufbauen, um sicherzustellen, dass das enorme wirtschaftliche Potenzial des IoT zum Tragen kommt.

Der Autor dieses Blogs ist Amir Haleem, CEO von Helium