Aktuelles, Experten - geschrieben von dp am Dienstag, März 30, 2021 17:55 - noch keine Kommentare
Internet der Dinge: eco fordert höhere Sicherheits-Standards
eco plädiert für europäisches IoT-Prüfverfahren und ein darauf aufbauendes deutsches Sicherheitssiegel
[datensicherheit.de, 30.03.2021] Der eco – Verband der Internetwirtschaft e.V. geht nach eigenen Angaben davon aus, dass ein deutsches Sicherheitssiegel für IoT-Geräte auf der Basis der Norm ETSI EN 303 645 die Sicherheit im Internet der Dinge (IoT) und die Transparenz für die Verbraucher verbessern könnte. eco-Experten haben in diesem Zusammenhang fünf Forderungen formuliert.
Markus Schaffrin: eco begrüßt den IoT-Sicherheitsstandard ETSI EN 303 645
eco warnt vor Missbrauch: Bot-Netze könnten DDoS-Angriffe oder Zugriff auf private Daten ermöglichen
Ob smarte Türschlösser, Steckdosen, Kühlschränke oder Heizungen – Milliarden Geräte sind bereits im Internet of Things (IoT) vernetzt. Doch während Sensoren und Funkschnittstellen praktische Funktionen ermöglichten, „bleibt die Sicherheit häufig auf der Strecke“, warnt der eco.
Auch viele sicherheitskritische Geräte wie Überwachungskameras oder Router seien zu schlecht geschützt und böten keine Möglichkeit, die Sicherheit mittels Firmware-Update zu verbessern. „Gelingt es Hackern, auf solche Geräte zuzugreifen, dann können sie diese in Bot-Netzen für DDoS-Angriffe missbrauchen oder auf private Daten zugreifen.“ Daher begrüßt der eco „den IoT-Sicherheitsstandard ETSI EN 303 645, den das ETSI Technical Committee on Cybersecurity (TC CYBER) im Juni 2020 veröffentlicht hat“. Diese Norm definiere weltweit verpflichtende Sicherheitsanforderungen und Empfehlungen, Teststandards und Zertifizierungsschemata.
Security-by-Design im IoT laut eco noch nicht selbstverständlich
„Hersteller müssen Sicherheitsaspekte schon bei der Entwicklung und beim Design neuer IoT-Geräte mitdenken“, fordert Markus Schaffrin, IT-Sicherheitsexperte und Geschäftsbereichsleiter „Mitglieder Services“ im eco-Verband. Er führt aus: „,Security by Design‘ und ,Security by Default‘ gibt es noch in zu wenigen Consumer-IoT-Geräten, vom Smart-TV bis zur Heizungsanlage.“ Zudem sei es für Verbraucher kaum nachvollziehbar, wie sicher oder unsicher ihre IoT-Geräte sind.
Nutzer-Authentisierung, Software-Update-Mechanismen, Absicherungen der Kommunikation und Datenschutz müssten selbstverständlich werden. Dies sei auch das Ziel der auf der EN 303 645 aufbauenden Testspezifikation 103 701, welche die Norm um Testfälle erweitere für ein harmonisiertes Prüfverfahren und ein einheitliches Kennzeichen. Die Testspezifikation diene als Framework zur Konformitätsbewertung der neuen Norm. Aktuell befinde sich das Dokument zur TS 103 701 bis Ende April 2021 noch in der Kommentierungsphase und könne um Verschläge erweitert werden.
eco: IT-Sicherheitsgesetz 2.0 soll auch IoT-Sicherheit erhöhen
Auf diese Normen aufbauend solle zukünftig auch ein deutsches Sicherheitssiegel für IoT-Geräte die Transparenz für die Verbraucher verbessern. Die gesetzliche Grundlage und den rechtlichen Rahmen dafür werde das kommende IT-Sicherheitsgesetz 2.0 bilden. Seitens des BSI (Bundesamts für Sicherheit in der Informationstechnik) sollten die Produkte und Services mit IT-Sicherheitskennzeichen regelmäßig geprüft werden, um zu verifizieren, dass die Anforderungen auch tatsächlich erfüllt sind.
Um diesen Prozess fair und transparent zu gestalten, hätten die IoT-Sicherheits-Experten des eco im März 2021 im Rahmen eines Roundtables der Kompetenzgruppen „IoT“ und „Sicherheit“ fünf Forderungen formuliert:
- Bestehende Siegel und Zertifizierungen einbeziehen
Es müsse sichergestellt werden, „dass die Zertifizierungsmaßnahmen, welche sich bereits etabliert haben, durch die neue Norm und das geplante IT-Sicherheitskennzeichen nicht auf der Strecke bleiben“. Die Anbieter müssten in den Prozess stärker eingebunden werden, um das Ziel eines klaren und einheitlichen Prüfstandards zu erreichen. - Nachvollziehbarkeit des Siegels
Das IT-Sicherheitskennzeichen für Deutschland brauche einen hohen Praxisbezug und müsse für Hersteller und Verbraucher nachvollziehbar sein. So könne sich dieses Siegel zu einem Wettbewerbsvorteil entwickeln und am Markt etablieren – und Anwendern ein sicheres Gefühl beim Kauf von IoT-Geräten vermitteln. - Unabhängige Prüfungen
Gerade mit Blick auf das nationale IT-Sicherheitskennzeichen müssten unabhängige Prüfstellen IoT-Geräte entsprechend der festgelegten Sicherheitsanforderungen testen. Dies gewährleiste Transparenz für die Verbraucher und stelle die Wertigkeit des Kennzeichens und die tatsächliche Erfüllung der Sicherheitsstandards sicher: „Das stärkt das Vertrauen auf Hersteller- und Anwenderseite.“ - Betrachtung des gesamten Lebenszyklus von IoT-Geräten
Sicherheit müsse von Anfang an mitgedacht und bereits in die Entwicklung von IoT-Geräten einfließen. „Mittels Updates muss Sicherheit über den gesamten Produktlebenszyklus hinweg gewährleistet werden.“ Der Security-by-Design-Gedanke müsse prozessual stärker nach vorne gebracht werden. Um ein Grundverständnis für die Security-by-Design-Gestaltungsprinzipien zu erlangen, empfehle sich die Handreichung „Security by Design – Ein Leitfaden für Entscheider“ von TeleTrust. - Erhöhung der Nachhaltig
Security-by-Design zahle auf die Nachhaltigkeit von IoT-Geräten enorm ein. Mit der Verfügbarkeit von Sicherheits-Updates und der Möglichkeit von „Bug Fixes“ für einen deutlich längeren Zeitraum, als dies aktuell bei vielen Geräten der Fall sei, müssten die Geräte nicht frühzeitig abgewrackt werden. Altgeräte würden so kein Sicherheitsrisiko mehr darstellen und Verbraucher könnten ihre Geräte viel länger und vor allem sicher nutzen.
eco möchte Umsetzung und praktische Anwendung am Markt beobachten
„Auch wenn mit der Norm EN 303 645, der TS 109 701 und einem darauf aufbauenden deutschen IT-Sicherheitskennzeichen der richtige Weg eingeschlagen wird, bleibt es abzuwarten, wie sich die Umsetzung und praktische Anwendung am Markt gestalten wird“, betont Schaffrin.
Noch befänden sich die entsprechenden Dokumente in der Abstimmung und könnten eingesehen und um Kommentare erweitert werden, bevor es voraussichtlich Mitte 2021 zur Ratifizierung komme.
Weitere Informationen zum Thema:
datensicherheit.de, 20.05.2019
Sicherheit im Industrial Internet of Things
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren