So schützen Sie vernetzte Geräte richtig

Verschiedene Sicherheitsmaßnahmen wie Authentifizierung, Zugriffskontrolle, Kryptografie, sichere Updates und Härtung werden zu obligatorischen Funktionen für in Europa verkaufte IoT-Geräte. Damit diese implementiert werden können, müssen Sie die passenden Hardware- und Softwarekomponenten ohne ausnutzbare Schwachstellen einsetzen und über ein Entwicklungsteam mit dem erforderlichen Know-how verfügen. Die nötigen Sicherheitsmaßnahmen und Kompetenzen hängen von der beabsichtigten Verwendung des Geräts und der Auswahl der Komponenten ab.

„Das Denken über den Tellerrand hinaus hilft dabei, ein höheres Maß an Konsistenz in Bezug auf die Sicherheit Ihrer Geräte aufrechtzuerhalten“, erklärt Tomasz Śleboda, Software Specialist. Eine gute Möglichkeit, genau das zu tun, ist, die Entwicklung mit einer Bedrohungs- und Risikobewertung zu beginnen. Auf diese Weise wird ermittelt, warum und wie sich Hacker potenziell Zugang zu einem Gerät verschaffen könnten. Außerdem wird festgelegt, wie das verhindert werden kann.“ Darüber hinaus muss die Sicherheit als zentraler Faktor für vernetzte Geräte betrachtet werden. Es gibt unzählige Möglichkeiten, dieses Problem zu lösen. Viele kommerzielle und quelloffene Embedded-Betriebssysteme folgen zuverlässigen Standards, z. B. von der IEC (International Electrotechnical Commission).“

Zertifizierungen von Organisationen sind eine Möglichkeit, sich dem Thema Sicherheit und Standards zu nähern.

Auch wenn es im besten Interesse aller legitimen Beteiligten ist, sind Maßnahmen zum Schutz vernetzter Geräte längst nicht mehr freiwillig. Etteplan verfolgt bereits seit einigen Jahren die regulatorischen Änderungen im Bereich der Cybersicherheit und bietet Software- und Geräteentwicklung nach den Grundsätzen von „Secure by Design“ an. Im folgenden Abschnitt stellt Antti Tolvanen, Vertriebsleiter für Software und Embedded-Lösungen, einige der neuesten gesetzlichen Bestimmungen vor.

Bis zum 1. August 2024 müssen die Konformitätserklärungen für drahtlose IoT-Geräte nach den Bestimmungen der Funkanlagenrichtlinie Artikel 3(3) (d), (e) und (f) erneuert werden, damit sie weiterhin legal in der EU verkauft werden dürfen.

Bis Ende 2024 wird die NIS2-Richtlinie Managementsysteme für die Informationssicherheit zusammen mit sicheren Entwicklungsverfahren für alle Einrichtungen und ihre direkten Lieferanten verbindlich vorschreiben, was auch die gesamte Lieferkette betrifft. Für Anbieter digitaler Dienste, z. B. Software-as-a-Service-Unternehmen und Managed Service Provider, wird NIS2 zusammen mit einem Durchführungsgesetz, das detailliertere Sicherheitsanforderungen enthält, eingeführt.

Im Laufe des Jahres 2026 wird der Cyber Resilience Act die Cybersicherheit zu einem obligatorischen Bestandteil der CE-Kennzeichnung für alle Produkte mit digitalen Bestandteilen machen (alle Geräte, Software und zahlreiche Software- und Hardwarekomponenten). Bereits 2025 wird die Meldung von Schwachstellen und Sicherheitsvorfällen auch für alle alten Produkte verpflichtend sein. Es ist wichtig zu beachten, dass für kritische Produkte, zu denen Geräte wie Router, Gateways, das industrielle IoT, Roboter und intelligente Zähler gehören, obligatorische Konformitätsbewertungen durch Dritte erfolgen. Bei unkritischen Produkten ist jedoch eine Selbsteinschätzung des Herstellers ausreichend.

Ein besonders interessantes Detail ist, dass medizinisch nachgewiesene psychische Schäden und die Nichteinhaltung von Cybersicherheitsvorschriften als Haftung des Geräte-/Softwareherstellers in den kürzlich veröffentlichten Vorschlag für eine EU-Haftungsrichtlinie aufgenommen wurden.

In den Vereinigten Staaten wird die Executive Order 14028 umgesetzt: Das jüngste Memorandum des Office for Management and Budgeting gibt den Software- und Geräteherstellern der US-Bundesbehörden lediglich 270 Tage Zeit, um die Compliance mit NIS2-Richtlinien nachzuweisen. Die Federal Acquisition Regulation wird ebenfalls aktualisiert, und die CISA wird verbindliche betriebliche Richtlinien (Binding Operational Directives) für die USA veröffentlichen. Wenn es um kritische Infrastrukturen geht, werden sowohl der EU- als auch der US-Markt in Bezug auf Cybersicherheit horizontal reguliert.

Zu den wichtigsten Aspekten der Embedded-Sicherheit gehören sicheres Booten und sichere Updates, die dazu dienen, nur authentifizierte Firmware zu installieren. Eine der wichtigsten Entscheidungen in Bezug auf die IT-Umgebung ist die Auswahl der kritischen Hardwarekomponenten, die diese Sicherheitsmaßnahmen unterstützen.

Verschiedene Geräte erfordern unterschiedliche Schutzniveaus. Linux und Zephyr sind Betriebssysteme, die als Vorbild dienen können, um die Anforderungen der Industrie aufzuzeigen und somit eine zuverlässige Wahl zu bieten. Es ist von Vorteil, auf ein Betriebssystem zu setzen, das verschiedene Sicherheitsmaßnahmen unterstützt und gut angenommen wird. Es ist außerdem wichtig zu prüfen, ob der Chiphersteller das gewählte Betriebssystem und die herstellerspezifischen Hardwarelösungen unterstützt.

Aus der Sicht der Anwendung ist es ratsam, Risiken zu vermeiden, indem man proaktiv dafür sorgt, dass man in Sachen Sicherheit stets auf dem neuesten Stand ist. Der regelmäßige Abgleich der Softwarestückliste des Geräts mit öffentlich bekannten Schwachstellen sowie die Meldung von Schwachstellen werden gesetzlich verpflichtend. Das regelmäßige Ändern von Passwörtern, die Multi-Faktor-Authentifizierung, eine begrenzte Zugriffszeit und rollenbasierte Zugriffsebenen sind nur einige der Maßnahmen, die Sie umsetzen können, um ein angemessenes Sicherheitsniveau zu erreichen.

Author

Tomasz Śleboda, Software Specialist