Mehr Sicherheit fürs IoT

Sicherheit vertraglich einfordern

Die zweite Möglichkeit scheint auf den ersten Blick eine Binsenweisheit zu sein: Man muss Security by Design für IoT-Geräte vertraglich oder auch gesetzlich einfordern, wenn man das haben will. Tatsächlich gibt es hier Nachholbedarf im rechtlichen Bereich.
Verantwortlich für IoT-Sicherheit: Das Gros der Unternehmen sieht hier die IT-Abteilung in der Pflicht.
Quelle: Deloitte, n = 3.062
«Das Fehlen von Security by Design im IoT beruht auf dem Fehlen spezifischer und strenger Vorschriften», sagt Ruggero Contu, Research Director beim Beratungshaus Gartner. Gartner geht davon aus, dass sich hier etwas ändern wird, insbesondere in stark regulierten Branchen wie dem Gesundheitswesen und der Automobilindustrie. Die Einhaltung von Vorschriften, so die Prognose, wird bis 2021 zum wichtigsten Einflussfaktor für die Verbreitung von IoT-Sicherheit werden. Branchen, die Vorschriften und Richtlinien zur Verbesserung des Schutzes kritischer Infrastrukturen (Critical Infrastructure Protection, CIP) einhalten müssen, sind gezwungen, sich aufgrund des IoT, das die industrielle Welt durchdringt, verstärkt auf die Sicherheit zu konzentrieren, so Gartner.
Noch sind Sicherheitsanforderungen, wie sie das Bundesamt für Sicherheit in der Informationstechnik aufstellt, lediglich Empfehlungen an die Hersteller. Das Beispiel Smart­phone-Sicherheit verdeutlicht das. Anlässlich der Veröffentlichung einer Diskussionsgrundlage zu Sicherheitsanforderungen für Smartphones im Februar dieses Jahres sagte BSI-Präsident Arne Schönbohm: «Hersteller und OEM sind aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg. Unser Anforderungskatalog ist ein Wegweiser zu mehr Security by Design und Security by Default.»
“Hersteller und OEM sind aufgerufen, die Geräte so sicher zu machen wie möglich, und zwar von Anfang an und über eine gewisse Nutzungsdauer hinweg.„
Arne Schönbohm Präsident des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI)
Künftig sollen solche BSI-Anforderungen in Richtlinien für die Erteilung des von der Bundesregierung geplanten IT-Sicherheitskennzeichens einfliessen, das im Rahmen des IT-Sicherheitsgesetzes 2.0 geplant ist. Dann können Security-by-Design-Kriterien verpflichtend gemacht werden, wenn ein Anbieter für sein IoT-Gerät ein entsprechendes IT-Sicherheitskennzeichen haben möchte.
Wie wichtig rechtliche Vorgaben für die IoT-Sicherheit sind, zeigt auch eine Studie der Internet of Things Security Foundation (IoTSF). Die Analyse von 330 IoT-Geräteherstellern für Verbraucher ergab, dass fünf von sechs Unternehmen (86,7 Prozent) keine Meldung von Sicherheitslücken vorsehen. In Zukunft würde dies dazu führen, dass sie gegen neue internationale Standards verstossen, etwa das geplante britische IoT-Sicherheitsgesetz, den vorgeschlagenen australischen Verhaltenskodex und die Empfehlungen des US-amerikanischen Heimatschutzministeriums.
Top-10-Fehler bei IoT-Security
  1. Kein Sicherheits- und Datenschutzprogramm
  2. Mangel an Governance, um Sicherheit und Datenschutz zu fördern
  3. Sicherheit wird nicht in das Design von Produkten und Ökosystemen einbezogen
  4. Unzureichendes Sicherheitsbewusstsein und unzureichende Schulung für Ingenieure und Architekte
  5. Mangel an IoT-/IIoT- und Produktsicherheits- und Datenschutzressourcen
  6. Unzureichende Überwachung von Geräten und Systemen zur Erkennung von Sicherheitsereignissen
  7. Mangel an Sicherheits- und Datenschutzrisikomanagement nach dem Inverkehrbringen beziehungsweise bei der Implementierung
  8. Mangelnde Transparenz bei Produkten
  9. Fehlende Identifizierung und Behandlung von Risiken bei Legacy-Produkten
  10. Unreife Reaktionsprozesse auf Vorfälle
Quelle: Deloitte



Das könnte Sie auch interessieren