IoT-Richtlinie in den USA

Weckruf von höchster Stelle

23.12.2016
Von 
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis einschließlich 2018 CEO der Utimaco-Gruppe. Anfang Janar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Das US-Ministerium für Innere Sicherheit hat aktuell eine Sicherheitsrichtlinie für das Internet of Things herausgegeben. Geht uns nichts an? Doch!

Das Internet of Things (IoT) als globales Ökosystem hat einen entscheidenden Makel: Es ist primär auf den Nutzen und das Geschäftspotenzial ausgerichtet. Sicherheitsaspekte rücken, wenn überhaupt, erst viel zu spät ins Blickfeld. Somit fehlt ein konsistenter globaler Sicherheitsansatz. Die Folgen: Es bestehen unterschiedliche Standards für die einzelnen Regionen, eine einheitliche Regelung ist schwierig. So finden Angreifer, die ein System für kriminelle Ziele missbrauchen wollen, auch meistens schnell ein Schlupfloch.

Richtungsweisende Guidelines für die Sicherheit des IoT kommen nun von höchster US-Instanz - ein eindeutiges Indiz dafür, dass das Thema langsam ernst genommen wird. Die sechs in der US-Richtlinie "Strategic Principles for Securing the Internet of Things (IoT)" des U.S. Department of Homeland Security genannten Prinzipien sind zwar für die weltweiten Akteure nicht verbindlich. Sie liefern aber eine empfehlenswerte Anleitung, um die IT-Sicherheit im IoT zu erhöhen.

Zertifizierter Datenaustausch

Die aus unserer Sicht wichtigste Empfehlung steht ganz oben auf der Liste: Das Thema Sicherheit in die Riege der wichtigsten Designkriterien aufzunehmen. Gerade in Deutschland besteht durchaus Potenzial, um dieser Forderung nachzukommen. Insbesondere die Maschinenbau- und Automobil-Branche verfügen schon heute über das Know-how, Komponenten mit Sicherheitsmechanismen wie kryptografischen Schlüsseln in die Geräte zu integrieren. Auch das US-Ministerium empfiehlt den Einsatz von Hardware mit integrierten Sicherheitsfunktionen wie Verschlüsselung und Anonymisierung.

Eine abgesicherte Gerätekommunikation könnte in der Praxis so aussehen: Über eine sichere Verbindung statten Hersteller während des Produktionsvorgangs alle Geräte mit einer eindeutigen Identität, zum Beispiel in Form von Zertifikaten, aus. Die Geräte sind so in der Lage, sich jederzeit zu authentifizieren und über verschlüsselte Kanäle sicher zu kommunizieren. Besonders sicher und hochverfügbar ist diese Lösung, wenn das Backend mehrere Server umfasst - Stichwort "Defense in Depth". Hardware-Sicherheitsmodule gewährleisten hier, dass alle Schlüssel sicher gespeichert, verwaltet und angewendet werden.

Branchenweite Lösungen statt punktuelle Eigenentwicklungen

Ebenfalls relevant ist die Aufforderung, branchenspezifische Vorgaben als Basis für die Sicherheitspraxis zu schaffen. In vielen Bereichen fehlen noch verbindliche Security-Standards, sei es beim Industrial Internet of Things (IIoT), im Umfeld Connected Car oder Smart Home. Hier handelt es sich bei Security-Implementierungen meist um punktuelle Eigenentwicklungen, die stets der Funktionalität untergeordnet sind. Vorreiter wie der Energiesektor, für den das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der technischen Richtlinie eine verbindliche Grundlage für den Umgang mit kritischen Daten im Smart-Metering-Umfeld geschaffen hat, können hier als Vorbild dienen.

Eines kommt in der US-Richtlinie allerdings zu kurz: Der Schutz von Kundendaten. Hier gelten in Deutschland und Europa schon immer andere Maßstäbe. Diese Kluft zeigt sich auch beim EU-US-Privacy Shield, über dessen Zukunft 2017 der Europäische Gerichtshof (EuGH) entscheiden wird. Umso wichtiger ist es, dass der Gesetzgeber im Rahmen von verbindlichen Branchenrichtlinien klare Vorgaben schafft.

Wer nicht hören will...

Eine besonders brisante Frage in diesem Kontext wird angesichts der jüngsten Hacker-Angriffe auf Telekom-Router oder große Internetdienste diskutiert: Sollten Hersteller unzureichend gesicherter IT-Produkte zur Rechenschaft gezogen werden? Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) fordert spürbare Strafen bei Verwendung unsicherer IT.

Dem können wir nur zustimmen: Jeder Betreiber kritischer Infrastrukturen und Verwalter wichtiger Daten muss lückenlos und detailliert nachweisen, dass er seine Systeme umfassend und nach dem jeweiligen Stand der Technik schützt. Hersteller eingesetzter Sicherheitsprodukte sollten sich wiederum durchaus mit Strafen auseinandersetzen müssen, wenn sie ihr Versprechen von Sicherheit nur als Feigenblatt vor sich hertragen und keine durchgängigen Vertrauensketten garantieren können. Das betrifft natürlich auch Produkt- und Gerätehersteller: Jeder, der Infrastruktur zur Verfügung stellt oder Endgeräte entwickelt und produziert, muss seine Hausaufgaben in Sachen Sicherheit machen und ein ganzheitliches Sicherheitskonzept von Anfang an mit einbinden.

Fazit: IoT nur mit Netz und doppeltem Boden

Security by Design lautet das Credo. Noch ist es nicht zu spät, ein Sicherheitsnetz um das IoT zu spannen - und zwar mit einheitlichen, fest verankerten Sicherheitsstandards. Die US-Richtlinie ist ein erster Schritt. Hoffen wir, dass 2017 weitere folgen. (fm)