Letzte Woche hat eine parteiübergreifende Gruppe aus dem Cybersecurity Caucus des US-Senats einen neuen Gesetzentwurf mit der Bezeichnung "Internet of Things Cybersecurity Improvement Act of 2017" vorgelegt. Der Gesetzentwurf muss zwar noch ratifiziert werden, aber er legt einen stärkeren Fokus auf die Sicherung von Milliarden von Geräten, die in den nächsten Jahren mit Netzwerk- und Internetverbindungen ausgestattet werden.
Die CSS befürwortet diese Gesetzgebung nachdrücklich. Wir freuen uns zwar, dass in bestimmten Industriesegmenten wie der Automobilindustrie, der Medizintechnik und dem industriellen Internet Strategien und Gelder für mehr IoT Sicherheit bereitgestellt werden, doch in den meisten Fällen überwiegen die schwachen Sicherheitspraktiken die starken. Es gibt viel zu viele IoT Szenarien, in denen die Anbieter einfach nicht motiviert sind, zusätzliche Zeit oder Geld zu investieren, um die Geräte sicherer zu machen, und in denen die Verbraucher keinen Wert darin sehen, für die zusätzliche Sicherheit zu bezahlen. Das Marai Botnet ist ein Paradebeispiel für die Auswirkungen dieses Problems. Und wo die normale Dynamik des freien Marktes nicht dazu führt, dass angemessene Sicherheitsmaßnahmen ergriffen werden, kann die Gesetzgebung in bestimmten Marktsegmenten zur einzigen Option werden.
Für diejenigen, die die Gesetzgebung nicht gelesen haben, hier ein paar kurze Fakten, die auf meiner Lektüre des Gesetzes beruhen:
Für welche Geräte gilt sie?
Dieser Gesetzesentwurf betrifft nur Geräte mit Internetanschluss, die von Bundesbehörden gekauft werden. Es wird jedoch wahrscheinlich auch Auswirkungen auf Geräte von Verbrauchern und Privatpersonen haben, da viele Geräte sowohl von öffentlichen als auch von privaten Organisationen gekauft werden. Darüber hinaus können Bundesgesetze dieser Art als Vorlage für künftige Regelungen in spezifischeren Bereichen dienen.
Welche Anforderungen werden an die Geräte von IoT gestellt?
Die wichtigsten Bestimmungen des Gesetzentwurfs sind recht einfach:
- Die Geräte sollten keine bekannten Sicherheitslücken oder Defekte aufweisen.
- Die Geräte müssen in der Lage sein, rechtzeitig und sicher mit autorisierten Patches des Herstellers aktualisiert zu werden. Dies ist natürlich eine Notwendigkeit, um Punkt 1 zu erfüllen, da immer wieder neue Sicherheitslücken entdeckt werden. Die Autorisierung der Updates und Patches ist ein Bereich, in dem IoT in der Vergangenheit versagt hat.
- Die Geräte sollten nur Industriestandardprotokolle und -technologien für Verschlüsselung, Authentifizierung und Kommunikation verwenden.
- Geräte sollten keine fest kodierten administrativen Anmeldedaten enthalten. Dies sollte eigentlich ein Selbstläufer sein, ist aber wahrscheinlich die Hauptursache für die bisherigen IoT "Horrorgeschichten".
Muss jedes Gerät diese Anforderungen erfüllen?
Nein. Der Gesetzentwurf berücksichtigt Geräte mit "stark eingeschränkter" Funktionalität und erlaubt sogar den Kauf von nicht konformen Geräten, sofern zusätzliche Sicherheitskontrollen eingeführt werden, die ein ähnliches Sicherheitsniveau erreichen.
Der Gesetzesentwurf schafft auch die Grundlagen für ein Sicherheits-Ökosystem rund um IoT , das unter anderem folgende Bestimmungen enthält:
- Festlegung der Aufgaben vonDrittanbietern, die Geräte anhand der Normen prüfen können,
- Schutz für "White-Hat"-Sicherheitsforscher, die versuchen, Schwachstellen in Geräten zu finden und die Hersteller zu informieren,
- Leitlinien für Anbieter zur rechtzeitigen Offenlegung und Behebung von Sicherheitslücken, wenn diese entdeckt werden.
Alle diese Bestimmungen sind vernünftig und entsprechen in vielerlei Hinsicht der Art und Weise, in der herkömmliche software Sicherheitsanalysen und -patches schon seit geraumer Zeit gehandhabt werden. Im Moment ist dieser Gesetzentwurf einfach ein kleiner, aber guter erster Schritt. Und alles, was mehr Aufmerksamkeit auf die Verbesserung der Sicherheit von IoT lenkt, ist eine gute Sache.
