Die Sicherheit von Geräten, die den Bereichen IoT (Internet of Things) oder IIoT (Industrial Internet of Things) zugeordnet werden, wird für eine steigende Zahl von Unternehmen immer wichtiger: Die Verschmelzung von IT und Netzwerken mit OT (Operational Technology) bedeutet, dass sich IT-Sicherheitsrisiken auch auf Produktionsanlagen und ganz generell auf die physische Welt auswirken können. Dies kann zu großen finanziellen Schäden oder sogar gesundheitlichen Gefahren für Menschen führen. Im privaten Umfeld können unsichere IoT-Geräte Angreifern als Einstiegspunkt ins Heimnetzwerk dienen oder dazu, die Bewohner in ihren privaten Räumlichkeiten zu überwachen. Folglich ist die Sicherheit von IoT und IIoT von großer Wichtigkeit: Für private Anwender, Unternehmer und für die Hersteller dieser Geräte.
IoT- und IIoT-Sicherheit ist aber auch ein kompliziertes Thema, bei dem viele Dinge beachtet werden müssen. Dies liegt daran, dass bei IoT und besonders bei IIoT eine Vielzahl verschiedener Technologien kombiniert werden, die alle adäquat abgesichert werden müssen: Netzwerkkommunikation, Betriebssystem, Web-Oberflächen, APIs, Hardware und vieles mehr.
Um gewisse Mindeststandards in diesem Bereich zu etablieren und um Hersteller bei diesem komplexen Thema zu unterstützen, wurden verschiedene Standards, Normen, Prüfkataloge und andere Dokumente geschaffen. Diese stellen verschiedene Anforderungen an die Sicherheit von IoT- und IIoT-Geräte.
In diesem Blogpost möchten wir einen Überblick über all diese Publikationen geben – als nützliche Liste für Hersteller und Käufer, die die Sicherheit von IoT- und IIoT-Geräten verbessern oder bewerten möchten.
Liste der Standards für IoT- und IIoT-Sicherheit
- IEC 62443: Diese Normenreihe richtet sich vor allem an IIoT und ICS (Industrial Control Systems). Es handelt sich um eine umfangreiche Norm mit vielen Teilen, die verschiedene Aspekte der Entwicklung, Anforderungen, Betrieb, konkrete Technologien und andere Themen behandelt. Es ist ein umfangreiches Rahmenwerk, welches vor allem für professionelle und industrielle Anwendungen wie IIoT und ICS empfehlenswert ist. Generell können auch Zertifizierungen für IIoT- und ICS-Produkte nach IEC 62443 durchgeführt werden. Eine entsprechende Zertifizierung ist ein Gütesiegel für die Sicherheit solcher Produkte.
- ISO/IEC 27030 oder ISO/IEC 27400: ISO-Norm zu genereller IoT-Sicherheit und Datensicherheit sowie Datenschutz im Bereich IoT. Diese Norm ist bisher noch im Aufbau, aber es gibt bereits einen ersten Entwurf. Geplant ist, die Norm inhaltlich noch weiter auszubauen.
- NIST SP 800-82: NIST ist das US-amerikanische National Institute of Standards and Technology. Special Publication 800-82 behandelt die Sicherheit von ICS (Industrial Control Systems), also industriellen Steueranlagen. Das Dokument ist zu großen Teilen auch auf IIoT anwendbar.
- ETSI EN 303 645(vormals ETSI ST 103 645): Ursprünglich als ETSI TS 103 645 gestartet, hat dieser technische Standard (TS) des EU-Standards- und Normeninstituts ETSI mittlerweile Norm-Charakter (EN) erreicht. Er behandelt eine Baseline für die IT-Sicherheit von Consumer IoT Devices, also IoT-Geräte für Privatanwender. Die Messlatte ist relativ niedrig angesetzt, sodass wirklich jedes IoT-Gerät die Anforderungen von ETSI EN 303 645 erfüllen sollte. Aktuell befindet sich ein zugehöriger Standard für Sicherheitstests von Consumer IoT-Geräten, ETSI TS 103 701, in der Entwicklung.
- Internet of Things Security Compliance Framework (IoTSCF), Release 2: Hierbei handelt es sich um keine Norm oder Standard, sondern um einen umfangreichen Katalog mit Sicherheitsanforderungen für IoT-Geräte, der von einem breiten Konsortium mit Vertretern aus Industrie und Wissenschaft erstellt wurde. Hersteller, denen die IT-Sicherheit ihrer IoT- und IIoT-Geräte wichtig ist und diese ernst nehmen, können diesen umfassenden Katalog als Grundlage nehmen, um Anforderungen für ihre eigene Entwicklung abzuleiten.
- OWASP IoT Top 10: Eine Liste der zehn häufigsten Schwachstellenkategorien, die IoT-Geräte betreffen. Es handelt sich also nicht um eine Liste umzusetzender Maßnahmen, sondern zu vermeidender Fehler und Sicherheitslücken. Hersteller und Penetrationstester können die OWASP IoT Top 10 als Grundlage für Sicherheitstests verwenden. Die Vermeidung von Schwachstellen aus den Top 10-Listen der OWASP gilt allgemein als Minimalanforderung an Sicherheit.
- Weitere OWASP Top 10-Listen: OWASP Web Top 10 und OWASP API Top 10: Die OWASP-Organisation hat auch für andere Technologie-Klassen wie z.B. Web (OWASP Web Top 10) oder APIs (OWASP API Top 10) Listen der jeweils zehn häufigsten Schwachstellenkategorien veröffentlicht, die allgemein vermieden werden sollten. Da die entsprechenden Technologien (Web-Oberflächen und APIs) auch oft bei IoT-Geräten zum Einsatz kommen, sollten diese ebenso beachtet werden, falls die jeweilige Technologie beim zu entwickelnden oder zu testenden IoT-Gerät verwendet wird.
Andere Dokumente
ENISA, die EU-Organisation für IT-Sicherheit und somit das europäische Äquivalent zum deutschen BSI (Bundesamt für Sicherheit in der Informationstechnik), hat ein Übersichtsdokument zum Thema „Good Practices for Security of Internet of Things in the context of Smart Manufacturing“ erstellt. Dieses behandelt das Thema IoT-Sicherheit ganzheitlich und bespricht sowohl technische wie auch organisatorische sowie Policy-, Design- und Architektur-bezogene Maßnahmen. Es geht nicht auf jeden Aspekt im Detail ein, gibt aber einen guten Überblick über das Problemfeld. Es handelt sich um keine Norm oder Standard.