Rechtliche Rahmenbedingungen hinken der Realität hinterher – Hersteller müssen selber aktiv werden

9efab8_404adbb7355845f78e2e83cc6d34c31b~mv2

Ab 1. Januar 2020 tritt im U.S. Bundesstaat Kalifornien das Gesetz SB-327 in Kraft, welches zukünftig die Sicherheit von smarten Geräten regelt. Kalifornien ist damit der erste amerikanische Staat, der mit einem solchen Gesetz Hersteller in die Pflicht nimmt, ihre Geräte mit “reasonable” also „angemessenen“ Sicherheitsfunktionen auszustatten, um unbefugten Zugriff, Veränderungen am Gerät oder Informationsoffenlegung zu verhindern. Kann auf das Gerät mithilfe eines Passwortes von außerhalb des lokalen Netzwerkes (LAN) zugegriffen werden, muss dieses Passwort außerdem einzigartig sein. Ist dies nicht der Fall, darf das Gerät nicht in Betrieb genommen werden, solange der Nutzer nicht ein eigenes Passwort vergeben hat. Während diese Passwort-Anforderungen wohl zukünftige Attacken wie z.B. die des “Mirai Botnet” erschwert, gehen die gesetzlichen Rahmenbedingungen nicht weit genug.

Die kalifornischen Bemühungen, den Nutzer “Smarter Geräte” umfassend zu schützen, sind in den USA beispiellos und auch die EU hat Ende des vergangen Jahres eine Verordnung auf den Weg gebracht, welche die Cybersicherheit stärken soll. Diese sieht eine Zertifizierung in Abhängigkeit von drei Sicherheitsstufen „niedrig“, „mittel“ und „hoch“ vor, welche an die Hersteller unterschiedliche Anforderungen stellt. Bewertet wird dabei beispielsweise die Abwehrfähigkeit gegenüber einem zufälligen oder böswilligen Verlust von Daten. Für die beiden nächsten Stufen „mittel“ und „hoch“ werden externe Audits gefordert.

Allerdings bleibt die Zertifizierung für die Hersteller freiwillig und sieht bspw. ein verpflichtendes Qualitätssiegel für sichere Produkte im Internet der Dinge angesichts der globalen Herausforderungen als nicht erfolgsversprechend: „Wir setzen darauf, dass Hersteller die freiwillige Zertifizierung zum Anlass nehmen, zertifizierte Produkte selbstständig entsprechend auszuzeichnen und damit Verbraucher einen deutlichen Hinweis zur nachhaltigen Sicherheit zu geben“ sagt Steve Purser, Leiter bei der europäischen Cybersicherheitsagentur ENISA.

Während sich also die Gesetzgebung mit der Schaffung neuen Rechts für die Regelung der IoT Sicherheit schwer tut, müssen sich die Hersteller selbständig in Bezug auf Fragen der Produkthaftung absichern. Der Hersteller ist dabei in der Pflicht, die Sicherheitslücken abzusichern, deren Ausnutzung durch Hacker nach dem Stand von Wissenschaft und Technik abzusehen ist.

“Security by Design” – Sicherheitsanforderungen an Soft- und Hardware werden schon zu Beginn der Entwicklungsphase eines Produktes berücksichtigt, um spätere Sicherheitslücken zu verhindern. Nicht nur die Ende-zu-Ende Verschlüsselung von Kundendaten, sondern auch das sichere Ausrollen und die Konfiguration über verschiedene Kommunikationsschichten hinweg, muss dabei beachtet werden. Ein sicheres Design garantiert dabei die Integrität und Vertraulichkeit der Kommunikation sowie die Identität der Geräte.

Umsetzen lässt sich das mit einer “Public Key Infrastruktur” kurz PKI – ein System, das sich seit Jahren bewährt hat. Eine PKI liefert dabei die essentiellen Bausteine für eine sichere Kommunikation durch den Einsatz von Verschlüsselung und Authentisierung.
Mithilfe digitaler Zertifikate wird die sichere Authentisierung von Nutzern, Systemen und Geräten ermöglicht ohne der Notwendigkeit unsicherer Passwörter, komplizierten Passwort-Policies oder anderer Nutzer unfreundlicher Authentisierungsmethoden.

Sie suchen nach Lösungen, um Ihre IT oder (I)IoT Infrastruktur abzusichern? Nehmen Sie jetzt mit uns Kontakt auf.

Unser neues Whitepaper

Share:

More Posts

OpenSSL ist ein Tool und eine Software-Bibliothek, die kryptografische Protokollfunktionen und Standards von SSL (Secure Sockets Layer) und dessen Weiterentwicklung TLS (Transport Layer Security) implementiert

OpenSSL

Was ist OpenSSL? OpenSSL ist ein Tool und eine Software-Bibliothek, die kryptografische Protokollfunktionen und Standards von SSL (Secure Sockets Layer) und dessen Weiterentwicklung TLS (Transport

2018 war das Jahr der Erkenntnis: Die IT-Sicherheit ist nicht zu vernachlässigen! Dies gilt insbesondere für Geräte, die personenbezogene Daten erfassen und speichern.

5 IT-Security Trends in 2019

2018 war das Jahr der Erkenntnis: Die IT-Sicherheit ist nicht zu vernachlässigen! Dies gilt insbesondere für Geräte, die personenbezogene Daten erfassen und speichern. Sowohl die

Probleme in der Cybersicherheit | Teil 2

Durch die rasanten Entwicklungen im Digitalisierungssektor und der vernetzten Industrie 4.0 werden ständig komplexere Anwendungen und neue Geschäftsprozesse entwickelt. Diese liefern nicht nur enorme Vorteile

Unser neues Whitepaper

(Daten-) Sicherheit und Compliance im Internet der Dinge