Security-Standardisierung

Es reicht allerdings nicht, gesetzlich oder vertraglich Security by Design im Internet of Things zu verlangen. Genau geklärt werden muss auch, was darunter zu verstehen ist. Nur dann können Spezifikationen eingehalten werden und nur dann lassen sich Zertifizierungen auf Basis von Spezifikationen auch nachvollziehen. Beispiele für solche Spezifikationen gibt es reichlich:

Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich wie IP-Kameras, Smart TVs oder Smart Speaker. Konkret fordert die DIN SPEC 27072 unter anderem eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle, und sie verbietet die Nutzung von Standardpasswörtern im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptografischer Verfahren nach dem Stand der Technik.

Die IoT Security Foundation hat im November 2019 ein Release 2 ihrer Best-Practice-Richtlinien für IoT-Sicherheit veröffentlicht.

Die TCG (Trusted Computing Group) bietet eine „Guidance for Secure Update of Software and Firmware on Embedded Systems“.

Das ETSI (Europäisches Institut für Telekommunikationsnormen) Technical Committee on Cybersecurity hat mit ETSI TS 103 645 einen Standard für Cyber­sicherheit im Internet der Dinge veröffentlicht, um eine Sicherheitsgrundlage für mit dem Internet verbundene Verbraucherprodukte zu schaffen und eine Basis für zukünftige IoT-Zertifizierungssysteme zu haben.

Von NIST (National Institute of Standards and Technology) gibt es die „Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks“.

GSMA (Organisation der Mobilfunk-Provider) bietet ebenfalls „IoT Security Guidelines“ und ein „IoT Security Assessment“.

Von der EU-Agentur für Cybersicherheit ENISA schließlich gibt es die „Good Practices for Security of IoT - Secure Software Development Life­cycle“ sowie die „Baseline Security Recommendations for IoT“. Dazu der ENISA Execu­tive Director Juhan Lepassaar: „Die Motivation ist klar: Bei Sicherheit geht es nicht nur um das Endprodukt, sondern auch um die Prozesse, die zur Entwicklung des Produkts befolgt werden müssen.“

ENISA macht aber auch auf einen anderen Punkt aufmerksam: Während Standards für viele verschiedene Elemente existierten, um ein Gerät oder einen Dienst sicher zu machen, beziehe sich ein Sicherheitsstandard, bei dem es um IoT geht, auf ein Ökosystem, das nicht nur aus Geräten und Diensten bestehe. Die bisherige Lücke in den Sicherheitsstandards für IoT-Geräte sei dadurch charakteri­siert, dass die Standards nicht ganzheitlich behandelt werden, so ENISA. Daher ist es möglich, ein Gerät auf den Markt zu bringen, das zwar seinen Benutzer authentifizieren, übertragene und empfangene Daten verschlüsseln und entschlüsseln, den Integritätsnachweis liefern oder verifizieren kann, das aber immer noch unsicher ist. Offensichtlich ist die Arbeit an ganzheitlichen IoT-Sicherheitsstandards noch lange nicht abgeschlossen.