Der ETSI-IoT-Standard:Tun die Regulierungsbehörden genug, um IoT-Geräte zu schützen?

Die Ankündigung eines neuen Standards für die Sicherheit des Internets der Dinge (IoT) durch das ETSI Fachausschuss im Juni 2020 war in der infosec-Branche sehr willkommen. ETSI EN 303 645 legt eine Sicherheitsgrundlage für Produkte mit Internetverbindung fest und legt 13 Bestimmungen fest, die die Schritte beschreiben, die Hersteller ergreifen können, um Geräte zu schützen und deren Einhaltung sicherzustellen. Alan Grau, Vizepräsident für IoT und eingebettete Lösungen, Sectigo Berichte.

Die neue Verordnung folgt einem wachsenden Trend von Gesetzgebern und Aufsichtsbehörden, sich dem dringenden Thema Cybersicherheit im Internet der Dinge bewusst zu werden. Nach dem Anfang 2020 in Kraft getretenen kalifornischen SB-327 und dem australischen Rahmenwerk „Draft Code of Practice:Securing the Internet of Things for Consumers“ aus dem Jahr 2019 wurde deutlich, dass Regierungen und internationale Gremien damit begannen, die Herausforderung frontal.

Als Großbritannien im Januar 2020 sein neues IoT-Framework ankündigte, unterstützte der Schritt das Argument, dass die IoT-Sicherheit seit Jahren unzureichend war, und die Aufsichtsbehörden waren bereit, dies zu ändern.

Es bleibt jedoch die Frage:Reichen diese Gesetze und Standards aus, um die Sicherheit von IoT-Geräten zu verbessern?

Die Rolle der Gesetzgebung bei der Sicherung des IoT

Viele Jahre lang arbeiteten Geräte in geschlossenen, proprietären Netzwerken, die mit einem verteidigungsfähigen Perimeter gesichert waren. Mit dem Aufkommen des Internets wurden diese Systeme zunehmend über TCP/IP miteinander verbunden. Die Vorteile davon wurden viel diskutiert, da IoT-Geräte ein zentraler Bestandteil des Lebens der Verbraucher sowie der Netzwerke von Unternehmen sind. Und ihr Wachstum bleibt unaufhaltsam:Analystenhaus IDC prognostiziert, dass bis 2025 41,6 Milliarden vernetzte IoT-Geräte im Einsatz sein werden.

Allerdings konnte der gesetzgeberische Konsens mit diesem Wachstum nicht Schritt halten. Im Zuge der Marktexpansion haben neue Anbieter und Hersteller die Preise oft unterboten, um ein beliebtes und zugängliches Go-to-Market-Angebot zu schaffen. Durch Kostensenkung können Lösungen schnell auf den Markt gebracht werden, aber viel zu wenige investieren genug Zeit und organisatorischen Fokus, um angemessene Authentifizierungs- und Sicherheitsstufen zu integrieren.

In Ermangelung eines wirksamen IoT-Rechtsrahmens haben Hersteller Jahrzehnte damit verbracht, Geräte mit wenig oder gar keiner integrierten Sicherheit herzustellen, wobei oft nur statische Anmeldeinformationen als Barriere für Cyberkriminelle dienen. Solange die Sicherheit nicht vorgeschrieben wird, werden die Hersteller auf Kosten der Sicherheit weiterhin Abstriche machen. Nur Gesetze und eine gründliche Governance können sicherstellen, dass die IoT-Sicherheit durch das Design, zum Zeitpunkt der Herstellung und während des gesamten Gerätelebenszyklus implementiert wird.

Die kleinen Schritte in Richtung Sicherheit

Auf der einen Seite ist es großartig zu sehen, wie fortschrittliche Schritte zur Sicherung von IoT-Geräten unternommen werden. Andererseits ist klar, dass noch weitere Änderungen vorgenommen werden müssen und ein breiter Konsens erzielt werden muss.

Mit Blick auf die USA beispielsweise hat SB-327 einen klaren Rahmen für Hersteller geschaffen, um Sicherheits- und Authentifizierungstools der nächsten Generation zu verwenden. Dies war ein wichtiger Schritt, der auf Botnets abzielte, die schwerwiegende Unzulänglichkeiten bei früheren Sicherheitspraktiken aufgedeckt hatten. Leider handelte es sich um eine isolierte Gesetzgebung, die spezifisch für den Bundesstaat Kalifornien und nicht landesweit bindend war.

Ein Blick durch die Linse der ETSI EN 303 645 kann zu einem ähnlichen Ergebnis kommen. Dies ist das Ergebnis der Zusammenarbeit zwischen Vertretern der Industrie, Wissenschaftlern und Regierungen, und dennoch ist der neue Standard nicht durchsetzbar und rechtlich bindend.

Obwohl es ein einziges Ziel für Hersteller und IoT-Stakeholder darstellt, wird es dennoch einige in der Branche geben, die dazu neigen, laxe Sicherheitsprozesse zu implementieren, weil es billiger ist und oft einfach, weil sie es können, ohne zur Rechenschaft gezogen zu werden.

Es ist wichtig, zukunftsweisende Standards zu schaffen, die die Herausforderung der Sicherheit im gesamten IoT angehen, aber dies muss durch eine Gesetzgebungsagenda ergänzt werden, die sicherstellt, dass Hersteller bei der Entwicklung von Geräten einen Cybersicherheitsrahmen einhalten.

Warum integriert ist am besten

Es ist klar, dass Regierungen und Branchengremien aktiver bei der Schaffung eines IoT-Sicherheitskonsens sein müssen, aber es gibt einige Diskussionen über die besten Praktiken zum Schutz dieser Geräte. Was heute allgemein bekannt ist, ist die Bedeutung der integrierten Sicherheit und der PKI-Authentifizierung am Herstellungsort. Bei immer komplexer werdenden Lieferketten liegt der Schwerpunkt auf dem OEM, um sicherzustellen, dass das Gerät in dem Moment, in dem es hergestellt wird, sicher ist.

Um das Gerät zu authentifizieren und zu verschlüsseln, muss die PKI integriert sein, damit sie nicht weiter entlang der Lieferkette von böswilligen Akteuren manipuliert werden kann. Nur wenn der Chipsatz authentifiziert und durch Zertifikate aus der Foundry-Herstellung geschützt ist, bleibt er über den gesamten Gerätelebenszyklus sicher.

Globale Lieferketten – Zeit für globale Standards?

Das IoT bringt beispiellose Konnektivität zwischen Geräten, Menschen und Unternehmen, birgt aber auch Risiken für Heim- und Unternehmensnetzwerke. Das enorme Wachstum der Branche hat den Herstellungsprozess erschwert, sodass heute Geräte über Lieferketten von enormer Komplexität und über internationale Grenzen hinweg hergestellt werden.

Um diese problematische Herausforderung anzugehen, ist es an der Zeit, dass die Gesetzgeber zusammenarbeiten, um einen globalen Konsens zu schaffen, der Geräte in jeder Phase ihres Lebenszyklus schützt. Nur so bleiben Lieferketten und Endprodukte sicher und Gefahren für Eigentum, Leben und Daten werden in Schach gehalten.

Der Autor ist Alan Grau, Vice President of IoT and Embedded Solutions, Sectigo.