Die britische IoT-Sicherheitsverordnung ermutigt Verbraucher zu mehr Bewusstsein

Die britische Regierung treibt ihre Pläne zur Regulierung von IoT-Geräten voran. Der Schritt folgt einem breiten globalen Trend, die aufkeimende, aber unsichere Welt des IoT einzudämmen, sagt Mike Nelson, Vice President of IoT Security bei DigiCert .

Schon zu lange werden Internet-of-Things-Geräte (IoT) mit Schwachstellen auf den Markt geworfen, die den Benutzern seltsame neue Arten von Katastrophen drohen. Von Angriffen, die die eigentliche Funktionalität eines IoT-Geräts ausnutzen – wie ein hackbares Auto oder eine Puppe, die in ein Fernüberwachungsgerät verwandelt werden kann – bis hin zu Ereignissen wie den Mirai-Angriffen, die die Internetinfrastruktur im großen Stil bedrohten. Aus diesen Gründen hat sich die britische Regierung verstärkt.

Die Vorschriften sollen auf dem Verhaltenskodex von 2018 aufbauen – Secure by Design – die sowohl Herstellern von IoT-Geräten als auch Verbrauchern eine Reihe von Richtlinien zum sicheren Erstellen und Verwenden von IoT-Geräten anbot. Sie enthalten Vorschläge zur sicheren Speicherung von Anmeldeinformationen und anderen Sicherheitsdaten, zur Minimierung exponierter Angriffsflächen, zur Gewährleistung der Integrität und fortlaufenden Aktualisierung der Software auf IoT-Geräten sowie zur Gewährleistung einer sicheren Kommunikation zu und von den Geräten.

Der Verhaltenskodex fügte hinzu, dass er in der Hoffnung eingeführt wird, dass die Menschen sich daran halten, und wenn dies nicht der Fall ist, würde die Regierung damit beginnen, diese Richtlinien verbindlich zu machen. Es scheint, dass dies endlich geschehen ist und die Aufsichtsbehörden jetzt mindestens drei dieser Richtlinien verpflichtend machen werden.

Drei Richtlinien

Erstens müssen IoT-Passwörter eindeutig sein und dürfen nicht auf die Werkseinstellungen zurückgesetzt werden, sodass ein Angreifer dieses Passwort lediglich nachschlagen kann.

Zweitens müssen Hersteller einen öffentlich ausgeschriebenen Kontakt für die Offenlegung von Schwachstellen haben, damit Fehler rechtzeitig gemeldet und behoben werden können.

Drittens müssen die Hersteller die Mindestdauer für den Erhalt von Sicherheitsupdates für das Gerät klar angeben, damit die Verbraucher auf dieser Grundlage das Offboarding planen oder andere Sicherheitsentscheidungen treffen können.

Die Geräte, die die Anforderungen erfüllen, können stolz einen Stempel tragen, der eine staatliche Bestätigung der Sicherheit dieses bestimmten Produkts bedeutet. Es mag wie ein einfacher Schritt erscheinen, aber er verändert die Beziehung zwischen IoT-Sicherheit und dem Verbraucher grundlegend.

IoT-Sicherheit den Herstellern überlassen

Während die IoT-Sicherheit bisher den Herstellern und dann möglicherweise den Sicherheitsteams von Unternehmen überlassen wurde, die sie im Nachhinein beheben müssen, legt das Zertifizierungssystem von Secure by Design diese Sicherheitsentscheidungen endlich in die Hände des Verbrauchers. Jetzt können sie diese Entscheidungen treffen, bevor sie schwach geschützte, anfällige Geräte in ein ansonsten sicheres Netzwerk einführen.

Da Verbraucher nun beim Kauf von IoT-Geräten auf Sicherheit achten können, kann dies zu einem Wettbewerbsunterscheidungsmerkmal werden. Bisher haben Hersteller unsichere Geräte hauptsächlich deshalb entwickelt, weil dies für sie billiger war. Es gab keine Marktnachfrage, sichere Geräte herzustellen, und es gab nicht viel, was dies rentabel machen würde.

Die Kennzeichnung von Geräten und die Einführung von Sicherheit als Wettbewerbsunterscheidungsmerkmal für Verbraucher werden Hersteller dazu zwingen, darüber nachzudenken, wie sie weniger verlieren und mehr verdienen können, indem sie bereits in der Designphase an Sicherheit denken. Sobald sich die Verbraucher darum kümmern, werden sich auch die Hersteller darum kümmern.

Berechnung zu spät

Es ist eine einfache Rechnung, die viel zu spät gemacht wurde. Viel zu lange wurde den Herstellern das Geld zur Sicherung ihrer IoT-Produkte überlassen, ohne dass sie mit Zuckerbrot oder Peitsche vorangetrieben wurden. Es wird nicht alle Sicherheitsprobleme lösen, aber es ist eine lobenswerte Antwort auf ein Problem, das dieses Feld schon lange beschäftigt. Regierungen auf der ganzen Welt fangen an, Sticks herzustellen, aber das Clevere an Secure by Design und seinem Zertifizierungssystem ist, dass es auch eine Karotte enthält.

Der Autor ist Mike Nelson, VP of IoT Security, DigiCert

Über den Autor

Mike Nelson ist VP of IoT Security bei DigiCert, einem globalen Anbieter für digitale Sicherheit. In dieser Funktion beaufsichtigt Mike die strategische Marktentwicklung des Unternehmens für die verschiedenen kritischen Infrastrukturbranchen, die hochsensible Netzwerke und Geräte des Internet der Dinge (IoT) sichern, einschließlich Gesundheitswesen, Transport, Industriebetrieb sowie Smart Grid- und Smart City-Implementierungen. Mike berät sich häufig mit Organisationen, trägt zu Medienberichten bei, nimmt an Industrienormungsgremien teil und spricht auf Branchenkonferenzen darüber, wie Technologie zur Verbesserung der Cybersicherheit für kritische Systeme und die darauf angewiesenen Personen eingesetzt werden kann.

Mike hat seine Karriere in der Gesundheits-IT verbracht, unter anderem beim US-amerikanischen Department of Health and Human Services, GE Healthcare , und Leavitt-Partner – ein Boutique-Beratungsunternehmen für das Gesundheitswesen. Mikes Leidenschaft für die Branche beruht auf seiner persönlichen Erfahrung als Typ-1-Diabetiker und seinem Einsatz vernetzter Technologien bei seiner Behandlung.