English

Geprüfte IoT-Sicherheit durch den TÜV?

von VPNHaus | 10.04.2019 |Certificates, Data Security, Internet of Things

Vor lauter Begeisterung für die Möglichkeiten des Internet der Dinge oder Industrie 4.0 wurden mögliche Sicherheitsrisiken in den Anfangstagen der beiden Konzepte gerne ignoriert. Nach zahlreichen Vorfällen mit ungesicherten IoT-Geräten wie IP-Kameras und Routern sind Schwachstellen und der Umgang mit ihnen in den Fokus gerückt. Wie in vielen Bereichen, die etwas mehr IT- und Informationssicherheit vertragen könnten, krankt auch IoT und Industrial IoT (IIoT) an der fehlenden Regulierung. Auch wenn jeder weiß, dass diese Geräte abgesichert werden müssen, gibt es keinen allgemeingültigen Ansatz dafür, geschweige denn eine gesetzliche Pflicht.

Zwar soll ein Entwurf der geplanten EU-Verordnung zur „Zertifizierung der Cybersicherheit“ das Augenmerk auf mehr Sicherheit im Internet der Dinge legen Doch der Vorschlag gilt unter Fachleuten als zahnloser Tiger, der den aktuellen Missständen und zukünftigen Herausforderungen in puncto Verbraucherschutz und Sicherheit im Internet der Dinge nicht gerecht wird. So fordert die Neuregelung eine Sicherheitszertifizierung von vernetzen Produkten, allerdings wird diese nur für Produkte in kritischen Infrastrukturen verpflichtend sein. Für alle anderen Produkte gilt eine freiwillige Sicherheits-Zertifizierung in drei Stufen "niedrig“, "mittel oder "hoch“. Fällt das Produkt in die Kategorie niedrig, dürfen die Hersteller die Konformitätsbewertung selbst durchführen. Bei ähnlichen Initiativen, in denen auf eine freiwillige Selbstverpflichtung gesetzt wurde, führte das nicht zum gewünschten Effekt.

Derzeit, mit der Hannover Messe Industrie als Rahmen, gibt es einen weiteren Ansatz, das Thema auf einer breiteren Ebene anzugehen. Der TÜV-Verband hat eine neue Sicherheitsarchitektur für das Internet der Dinge und vernetzte industrielle Produkte angeregt. Angesichts der anhaltenden Bedrohungen durch Cyberattacken sei die Politik in Berlin und Brüssel gefordert, sagte Joachim Bühler, Geschäftsführer der Prüforganisation. »Aus funktional sicheren Maschinen, Anlagen oder Geräten können mit der Vernetzung hochgradig unsichere Produkte werden.« Darauf gebe es hierzulande und aus der Europäischen Union noch keine ausreichenden Antworten. Die werden aber dringend benötigt. Für das Jahr 2017 wird die Zahl der weltweit vernetzten Objekte auf ca. 27 Milliarden geschätzt. Bis ins Jahr 2030 soll diese auf 125 Milliarden steigen. Laut einem Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) existieren mehr als 800 Millionen Schadprogramme weltweit, zu denen jeden Tag 390.000 weitere Varianten hinzukommen. 

Obwohl der europäische Gesetzgeber verpflichtet ist, ein hohes Schutzniveau der IoT-Produkte für die Verbraucher sicherzustellen, ist der aktuelle regulative Rahmen für die Produktsicherheit in Bezug auf Informationssicherheit lückenhaft. Der TÜV-Verband glaubt, dass der Produktsicherheitsbegriff im europäischen Regulierungsrahmen (Produktsicherheitsrichtlinie, 2001/95/EG) nur den Aspekt der potenziellen Auswirkungen des Produkts (Produktsicherheit, Safety) umfasst. Was den notwendigen Schutz vor potenziellen Einwirkungen auf das Produkt durch Dritte (Informationssicherheit, Security) betrifft, gibt es zahlreiche Lücken. Und ohne eine ganzheitliche Sichtweise ist es praktisch unmöglich, eine umfassende Risikoanalyse durchzuführen und zu einem hinreichend hohen Sicherheitsniveau der Produkte zu kommen.

Wenig überraschend regt Joachim Bühler an, die Rolle der herstellerunabhängigen Prüforganisationen zu stärken. Seine Idee hat tatsächlich einige interessante Aspekte parat. Der TÜV ist keinem Hersteller verpflichtet, hat eine sehr hohe Verbreitung und gilt auch in Ländern außerhalb Deutschlands als Gütesiegel. Technische Expertise ist entweder vorhanden oder kann innerhalb der Organisation aufgebaut werden. Eine TÜV-Plakette für IoT-Sicherheit klingt ebenfalls charmant, allerdings wird auch der TÜV zunächst eine allgemein akzeptierte Richtlinie für IoT-Sicherheit festlegen müssen. Und wie sich so eine Richtlinie auf die Hunderten verschiedener IoT-Geräteklassen anwenden lässt, ist ebenfalls offen.

Generell ist der Vorstoß des TÜV lobenswert. Und generell sollte sich langsam wirklich jemand mit Richtlinienkompetenz dieses Themas annehmen, bevor wirklich Hunderte Milliarden von IoT-Geräten mit unbekannter und möglicherweise unsicherer Konfiguration im Umlauf sind. Aber da könnten Initiativen wie das IoT Security Forum (IoTSF) eine bessere Alternative darstellen. Dort sind bereits mehrere Guidelines für sichere IoT-Geräte in Arbeit oder verabschiedet. Sie behandeln vom Entwicklungszyklus über Test und Lifecycle-Management fast alle relevanten Aspekte für die ganzheitliche IoT-Informationssicherheit. Es fehlt eigentlich nur noch ein europaweit agierendes Gremium, dass dieses Material in eine Vorgabe umwandelt.

zurück zur Übersicht

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK