Absicherung von IoT Vernetzte Geräte trotz Standardi­sierungs­wahn absichern

Von Asaf Karas

In Unternehmensnetzwerken und Industrieanlagen finden sich immer öfter IoT- und OT Geräte. Die eingebaute Konnektivität ermöglicht es Verbrauchern und Herstellern, Produkte aus der Ferne zu überwachen und mit ihnen zu interagieren. Remote lassen sich Daten sammeln, die Leistung beobachten, die Geräte konfigurieren und auch ein- und ausschalten. Zunehmend sind vernetzte Geräte in der Lage ganz ohne menschliches Zutun miteinander zu kommunizieren.

Anbieter zum Thema

Die Absicherung von IoT und OT braucht eine enge Zusammenarbeit zwischen Regulierungsbehörden und Herstellern, einschließlich der Bereitschaft der führenden Anbieter in den jeweiligen Bereichen, Standards, Erfahrungen und Wissen miteinander zu teilen.
Die Absicherung von IoT und OT braucht eine enge Zusammenarbeit zwischen Regulierungsbehörden und Herstellern, einschließlich der Bereitschaft der führenden Anbieter in den jeweiligen Bereichen, Standards, Erfahrungen und Wissen miteinander zu teilen.
(© metamorworks - stock.adobe.com)

Die zunehmende Anzahl vernetzter Geräte verspricht einerseits zwar sehr vielversprechende Möglichkeiten, setzt andererseits aber die Verantwortlichen für die Produktsicherheit unter großen Druck. Viele Produkte der ersten Generation unterlagen herstellerspezifischen Standards, die oftmals nicht den grundlegenden Sicherheitsprinzipien entsprachen oder diese sogar ignorierten. Nun müssen sich die Hersteller jedoch an den zahlreichen nationalen und globalen Standards orientieren, die immer anspruchsvollere Grundvoraussetzungen für die Sicherheit in jeder Produktkategorie festlegen.

Verwirrung bei Auslegung der Standards

Bessere Sicherheitsstandards sind an sich eine positive Entwicklung, die jedoch unter realen Bedingungen mit einer erhöhten Komplexität und wachsender Verwirrung einhergeht. Bei der Herstellung eines Produkts müssen bis zu 80 relevante Normen beachtet werden - eine große Herausforderung, die Verantwortlichen zunehmend Kopfschmerzen bereitet. Diese Normen können außerdem je nach Branche oder Marktsegment, unübersichtlich und sehr unterschiedlich sein, wodurch sich die Expansion in neue Bereiche oder Regionen für jedes Unternehmen als eine anspruchsvolle Herausforderung gestaltet.

Für die verschiedenen Branchen gelten eine Vielzahl an Normen, z. B. IEC 62443 für industrielle Systeme und WP 29 für die Automobilindustrie. Weitere wichtige Standards für IoT- und OT-Geräte sind:

  • ISASecure Component Security Assurance (CSA) IEC62334-Normen
  • Technische Ausschuss für Cybersicherheit (TC CYBER) ETSI 103 645 2019
  • NIST-Rahmen für bewährte Verfahren und die IoT Capabilities Baseline
  • ISO/IEC 21823-1 (2019)
  • UL IoT-Geräte-Sicherheitszertifizierung
  • US Cybersecurity Improvement Act (Gesetz zur Verbesserung der Cybersicherheit)
  • EU-Gesetz zur Cybersicherheit
  • UNECE WP.29
  • ISO/SAE 21434

Diese Normen haben zwar den Anspruch eindeutig und auch umsetzbar zu sein, aber in einigen Fällen kam es bei der Auslegung immer wieder zu Verwirrung. Bestimmte Normen sind sehr allgemein formuliert - sie verweisen auf „Integrität“ oder „Verschlüsselung“ - , ohne dass der Hersteller oder Benutzer praktische Informationen darüber erhält, was dies für die Umsetzung bedeutet. Andere wiederum sind übermäßig technisch und enthalten etliche Regeln für Geräte in einem einzigen Branchenbereich. Zudem sind diese Normen geografisch begrenzt und oftmals nicht wirksam, was zur Folge hat, dass die Einhaltung der Normen nicht gleichmäßig und nicht sehr konsequent verläuft.

Aufgrund der rasanten Zunahme an Bedrohungen gegen vernetzte Geräte, besteht dringender Bedarf an Klarheit an diesen Fronten. Jeden Tag entdecken Cyber-Kriminelle neue Schwachstellen in Edge-Geräten. Für Hersteller bedeutet das, dass sie in der Lage sein müssen, ihre Geräte schnellstmöglich zu patchen und zu aktualisieren. Die weltweite Pandemie verstärkt diesen Druck noch, da die Zahl der Cyberangriffe auf Heimanwender, sowie vernetzte Geräte, erheblich gestiegen ist und der Fernzugriff auf sensible Unternehmensressourcen und die Fernverwaltung von Geräten zur Norm geworden sind.

Bedeutung internationaler Zusammenarbeit

In den letzten 12 Monaten wurden Fortschritte bei der Konsolidierung der Standards für Edge-Geräte erzielt, wobei die Automobilindustrie durch die UNECE-Richtlinie WP29 und industrielle Kontrollsysteme durch die ISA/IEC 62443-Normenreihe, die vom ISA99-Ausschuss entwickelt und von der Internationalen Elektrotechnischen Kommission (IEC) angenommen wurde, angeglichen und reguliert wurden. Eine geografische Angleichung zwischen US-amerikanischen, europäischen und japanischen Herstellern fand auch statt. Regulierungsbehörden wie die FDA versuchen branchenweite Standards für vernetzte Geräte zu etablieren.

Eine wichtige Entwicklung stellt der IoT Cybersecurity Improvement Act dar, der es dem National Institute of Standards and Technology (NIST) in den USA ermöglicht, Standards zu formulieren. Sie gelten einheitlich für alle Hersteller, die Verträge mit der US-Bundesregierung abschließen möchten.

Diese regulatorischen Entscheidungen können die Hersteller von vernetzten Geräten dabei unterstützen, die mit vernetzten Industriesystemen verbundenen Standards zu vereinheitlichen und dadurch De-facto-Standards für alle Unternehmen zu etablieren. Die Wachstumsrate der Hersteller von vernetzten Geräten übersteigt jedoch noch immer die Geschwindigkeit, mit der adäquate Vorschriften entwickelt werden, die für die Absicherung von vernetzten Industrieumgebungen gelten.

Fazit

Die Absicherung von IoT braucht eine enge Zusammenarbeit und Austausch zwischen Regulierungsbehörden und Herstellern, einschließlich der Bereitschaft der führenden Anbieter in den jeweiligen Bereichen, Standards, Erfahrungen und Wissen miteinander zu teilen. Die größte Herausforderung auf dem Weg zu allgemein geltenden Standards für Edge-Geräte ist, einfach formuliert, Zeit. Das technologische Repertoire der Angreifer, seien es Kriminelle oder andere Akteure, entwickelt sich permanent mit rasanter Geschwindigkeit weiter und stellt alle Branchen mit IoT vor enorme Herausforderungen.

Über den Autor: Asaf Karas ist CTO bei Security bei JFrog, das kürzlich Vdoo übernommen hat, wo Karas als Mitbegründer und CTO tätig war. Zuvor war Asaf Karas fast 15 Jahre lang Leiter der Sicherheitsforschung bei den israelischen Verteidigungsstreitkräften (IDf), hierbei hat er sich auf Reverse Engineering, Geräte-Debugging, Netzwerk-Forensik, Malware-Analyse, Big Data und Anomalie-Erkennung spezialisiert und leitete ein Team von über 100 Cyber-Spezialisten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:47955626)