Strategische Empfehlungen für das Internet of Things (IoT)
Die strategischen Empfehlungen für das IoT hat das US-Ministerium für Heimatschutz (DHS) herausgegeben. Das Papier betont unter anderem das Ausmaß der Gefahr. Daneben werden konkrete Empfehlungen in sechs Bereichen gegeben.
Wie heise.de dazu weiter berichtete, gibt es keine revolutionären Ansätze für IT-Sicherheit. Immerhin kann dieses offizielle Dokument den Zuständigen als Argumentationshilfe innerhalb ihrer Organisationen dienen.
Schnelle Ausbreitung des IoT ist risikobehaftet
Zur IoT-Sicherheit heißt es im Strategie-Papier:
Die IoT-Sicherheit
"hat nicht mit dem schnellen Schritt der Innovation und Ausbreitung mitgehalten, was substanzielle sicherheitsbezogene und wirtschaftliche Risiken geschaffen hat"
Früher manuell durchgeführte wichtige Tätigkeiten seien nun von digitalen Bedrohungen betroffen.
Die sechs DHS Grundregeln
- IT-Sicherheit schon in der Designphase berücksichtigen
Das gilt sowohl für Software als auch Hardware. Eines der Beispiele sind schwer zu erratende, individuelle Passwörter in ausgelieferten Geräten. - Aktive Förderung von Sicherheitsupdates und des Managements von Sicherheitslücken
Dazu gehört auch ein Plan für das Lebensende des Produkts, der Herstellern und Verbrauchern vermittelt wird. - Aufbau auf bewährte Sicherheitsregeln
Die meisten Prinzipien der IT- und Netzwerksicherheit gelten auch für IoT. - Prioritätensetzung orientiert am möglichen Schadensausmaß
Entwickler und Hersteller sollten das Einsatzgebiet ihres Produkts kennen, die Kunden sollten alle Geräte in ihrem Netz kennen und authentifizieren. - Transparenz
Die Lieferkette aller Produktteile zu kennen, eine komplette Liste der installierten Software herauszugeben und ein Verfahren zur Mitteilung von Sicherheitslücken anzubieten gehört zum guten Ton. - Bewusst und mit Bedacht vernetzen
Andauernd eine Internetverbindung offen zu halten ist oft unnötig. Anbieter sollten ihre Kunden offen legen, welche Übertragungen welchem Zweck dienen.
Anmerkung des DHS
"Unsere Nation kann es sich nicht leisten, eine Generation von IoT-Geräten mit geringem Augenschein auf Sicherheit in Umlauf zu bringen"
"Die Konsequenzen wiegen zu schwer, angesichts des Schadenpotenzials für unsere wichtige Infrastruktur, unsere persönliche Privatsphäre und unsere Wirtschaft."
Weiterführende Links:
Keine Bedrohung der Zukunft mehr: erste DDoS-Angriffe aus dem Internet of Things (IoT)
Leitfaden für das Internet der Dinge
Neue Sicherheitsmechanismen für das Internet der Dinge
Internet of Things – eco – Verband fordert mehr Aufklärung und Sicherheit
heise.de: Strategic Principles for Securing the Internet of Things des DHS
weiterführendes Dokument der US-Behörden: