NIST veröffentlicht Entwürfe von Sicherheitsempfehlungen für IoT-Hersteller

Neue NIST-Empfehlungen bieten freiwillige Aktivitäten im Zusammenhang mit Cybersicherheit, die Hersteller in Betracht ziehen sollten, bevor ihre IoT-Geräte an Kunden verkauft werden.

Das National Institute of Standards and Technology (NIST) hat einen zweiten Entwurf seiner Empfehlungen für Hersteller von Internet of Things (IoT)-Geräten veröffentlicht.

Darin stellt die Bundesbehörde eine Reihe von Fragen und Bewertungen, die vor der Kommerzialisierung durchgeführt werden müssen, um „die Prävalenz und Schwere von IoT-Gerätekompromittierungen zu verringern“.

Zu den wichtigsten Highlights gehören:

• Identifizieren Sie erwartete Kunden und definieren Sie erwartete Anwendungsfälle für IoT-Geräte: Dies ist der erste Punkt, der von NIST angesprochen wird, und er ist sehr wichtig. Indem der Hersteller herausfindet, wofür das Gerät verwendet wird, wo es verwendet wird und womit es verbunden wird, kann der Hersteller möglicherweise die Schwachstellen identifizieren und vor dem Verkauf absichern.

• Untersuchen Sie die Cybersicherheitsziele der Kunden: Dies knüpft an den ersten Punkt an, Schwachstellen zu identifizieren, bevor das Gerät ausgeliefert wird. NIST fragt, wie das Gerät mit der physischen Welt interagieren wird, wie darauf zugegriffen wird, wer es überwacht, welche Daten es enthält und welche Vorschriften es befolgen muss. Kalifornien hat kürzlich ein staatliches Gesetz für IoT-Sicherheit erlassen, wir können davon ausgehen, dass weitere Bundesstaaten und Länder in diesem Jahr dasselbe tun werden.

• Bestimmen Sie, wie Kundenziele erreicht werden sollen: Nachdem Gerätehersteller externe Bedrohungen ermittelt haben, sollten sie sich mit der Verbesserung der Onboard-Sicherheit befassen, indem sie Geräteidentifikation, Konfiguration, Datenschutz, logische Zugriffsbeschränkungen, Software- und Firmware-Updates herausfinden.

• Ansätze für die Kommunikation mit Kunden definieren: Sobald ein Produkt zum Verkauf steht, müssen Hersteller in der Lage sein, mit Kunden über alle Probleme zu kommunizieren. NIST empfiehlt den Herstellern, die Informationen so einfach wie möglich zu verstehen und zugänglich zu machen.

• Entscheiden Sie, was Sie Ihren Kunden mitteilen möchten und wie Sie es kommunizieren: Eine der größten Sorgen, die Käufer haben, ist, dass ihr Gerät alle Funktionen verliert, sobald der Hersteller den Support beendet. NIST empfiehlt, dass der Hersteller mit dem Kunden klarstellt, wie lange er beabsichtigt, Support bereitzustellen und welche Funktionen das Gerät nach Ablauf des Supports haben wird.