Bei dem kompetenzgruppenübergreifenden Event „Sicherheit im IoT: IoT-Sicherheitskennzeichen, Sicherheitslücken, Einfallstore – Wie können neue Standards helfen?“ ist der eco mit verschiedenen Experten aus dem IoT-Security-Umfeld in die Diskussion rund um Sicherheitsstandards und Normen eingestiegen. Dabei entstand ein deutliches Bild, was tatsächlich notwendig ist, um die Sicherheit von IoT-Geräten zu steigern. Dabei wurden die die Expertenaussagen durch die Ergebnisse von Kurzumfragen unter den Teilnehmenden untermauert bzw. spiegelten die Probleme im Bereich Sicherheit größtenteils wider.
Status Quo
Das Internet of Things (IoT) wächst rasant und immer mehr Alltagsgegenstände sind mit dem Internet und untereinander vernetzt. Vollgestopft mit Sensoren und Funkschnittstellen bleibt vor allem die Datensicherheit sowie der Schutz von Nutzerdaten auf der Strecke. Ausgestattet mit unterschiedlichen Sicherheitsniveaus und dies häufig auch in sicherheitskritischen Positionen, sorgt das auf Hersteller- und Anwenderseite für Verwirrung und Ratlosigkeit.
Dabei bildet die schiere Masse an IoT-Geräten mit unterschiedlichen Betriebssystemen das Problem, denn Schätzungen zufolge wird die Anzahl von IoT-Geräten bis 2030 auf über 25 Milliarden steigen. Daraus ergibt sich eine enorme Komplexität. Schon längst handelt es sich nicht mehr um die klassische Hardware mit beispielsweise einem Rechner, der abgesichert werden muss. Bereits jetzt haben wir verschiedene Bauarten von Geräten mit unterschiedlichen Eigenschaften, die in vielfältigen Bereichen eingesetzt werden. Diese können nicht mehr mit einer klassischen Firewall abgesichert werden. Im IoT gibt es mittlerweile neue Herausforderungen, die es zu lösen gilt.
Bedrohungslage und Testings
Die Bedrohungslage im IoT ist stetig gestiegen, laut AV-TEST GmbH hat sich die Bedrohungslage von 2020 bis 2021 fast verdoppelt, dabei macht der klassische Trojaner das größte Problem aus. IoT-Geräte, die mit dem Internet verbunden sind, können in einem Zeitraum von 14 Tagen mehreren Millionen Angriffen ausgesetzt sein.
Grundsätzlich gilt, dass je mehr Daten übertragen werden, desto größer die Wahrscheinlichkeit, dass Daten abgegriffen werden. Daher sollten Hersteller und Anbieter darauf achten nur Daten zu erfassen, die tatsächlich notwendig sind.
Generell sind Produkte, die zertifiziert werden sollen beim Faktor Sicherheit deutlich besser aufgestellt. Jedoch können manuelle Sicherheitsanalysen enorm viele Ressourcen verbrauchen und dadurch werden oftmals nur die dringenden Sicherheitsprobleme angegangen und andere Schwachstellen können schnell unter den Tisch fallen. Um IoT-Risiken und Sicherheitslücken aufzufinden, kann Automatisierung hilfreich sein, hierzu zählen beispielsweise automatisierte Pentests.
Security-by-Design und die ETSI EN 303 645
Um Preise niedrig zu halten wird oft an der Sicherheit gespart. Jedoch lassen sich viele Schwachstellen durch den Security-by-Design-Ansatz vermeiden. Der Faktor Sicherheit sollte gerade bei IoT-Geräten von Beginn an in den Design-Prozess eingebunden und über die Sprints hinweg immer überprüft werden.
Durch den Prüfstandard ETSI EN 303 645 soll der Ansatz Security by Design / by Default etabliert werden. Darauf aufbauend soll die Testspezifikation 103 701 als Framework in Europa ein harmonisiertes Prüfverfahren und einheitliches Kennzeichen einzuführen.
In der ETSI Norm finden sich folgende Empfehlungen zur Sicherheit von IoT-Geräten:
- Keine universellen Standardpasswörter
- Einführung eines Systems zur Verwaltung von Berichten über Sicherheitslücken
- Software auf dem neuesten Stand halten
- Sichere Speicherung sensibler Sicherheitsparameter
- Sicher kommunizieren
- Offene Angriffsflächen minimieren
- Sicherstellung der Software-Integrität
- Sicherstellung der Sicherheit persönlicher Daten
- Systeme gegen Ausfälle widerstandsfähig machen
- Prüfung von Systemtelemetriedaten
- Das Löschen von Benutzerdaten vereinfachen
- Installation und Wartung von Geräten erleichtern
- Validierung der Eingabedaten
Aktuell erfüllen jedoch die meisten IoT-Geräte auf dem Markt gerade einmal drei bis vier der 13 Empfehlungen. Denn oftmals stellen Hersteller die Sicherheit nur in den Fokus, wenn die Umsetzung auch verpflichtend ist und nicht nur empfehlungsbasiert. Ähnliches hat die Einführung der DSGVO gezeigt. Durch die Verpflichtung musste gehandelt werden und es hat sich am Markt einiges bewegt.
Was braucht es nun konkret, um die Sicherheit im IoT zu erhöhen?
Mit der Sicherheit bei IoT-Geräten sieht es bisher noch nicht so gut aus, wie man sich das wünschen würde. Was wären die Punkte, die man als Industrie angehen müsste und welche Forderungen an die Politik könnten einen guten Hebel liefern, um das Problem anzugehen?
Mit rund 70 % der Teilnehmenden der Veranstaltung „Sicherheit im IoT“ sprach sich bei einer Kurzumfrage die Mehrheit für verpflichtende Zertifizierungen aus. Auch die Forderungen und Anregungen der Experten gingen in eine ähnliche Richtung und wurden durch weitere Ideen und Ergänzungen erweitert.
Verpflichtende Norm
Eine empfehlungsbasierte Freiwilligkeit könne langfristig nicht die gewünschte Wirkung erzielen und zu mehr Sicherheit im IoT führen. Der einfachste Weg zur Erfüllung von Mindestanforderungen bei der Sicherheit von IoT-Geräten wäre eine verpflichtende Norm. Jedoch müssten die Sicherheitsanforderungen umsetzbar und wirtschaftlich für die Unternehmen sein.
Norm, Möglichkeit und Kontrolle
Die Hürden zur Umsetzung einer verpflichtenden Norm dürfen nicht zu hoch liegen, es müssten Mittel zur Verfügung stehen die Anforderungen zu erfüllen. Zudem muss es dann auch Möglichkeiten der Prüfung geben. Es sollte also ein ausgewogenes Zusammenspiel von Norm, Möglichkeit und Kontrolle etabliert werden.
Stufenmodell
Die Sicherheitsanforderungen müssten den unterschiedlichen Use Cases angepasst werden. Es sollten beispielsweise an eine Babycam und ein Industriegerät nicht die gleichen Sicherheitsanforderungen gestellt werden. Das wäre für die Hersteller weder umsetzbar noch wirtschaftlich. Ein Stufenmodel, das verschiedene IoT-Geräte gruppiert, könnte sinnvoll sein.
Beidseitige Awareness
Man dürfe das Problem nicht allein an die Hersteller abschieben. Auch auf Anwenderseite müsse stärker sensibilisiert werden. Gerade der Mensch kann auch eine Schwachstelle bei der Sicherheit von IoT-Geräten sein. Von Herstellern bereitgestellte Sicherheitsfunktionen wie beispielsweise der Verzicht auf Standardpasswörter oder die Möglichkeit zur Netztrennung müssen vom Anwender auch genutzt werden. Daher müssen auch in Zukunft immer beide Seiten aktiv werden, um die Sicherheit im IoT zu erhöhen.