Das Internet der Dinge (IoT) ist schon seit Jahren ein heißes Thema. In jüngster Zeit ist die Sicherheit von IoT in den Vordergrund gerückt, und das wird sich auch in nächster Zeit nicht ändern.
So vielversprechend IoT auch sein mag - und es hat sich bereits bewährt -, es ist nur so gut wie die Sicherheit, die dahinter steht. Und diese Sicherheit hat in der Vergangenheit viel zu wünschen übrig gelassen. Glücklicherweise haben Hersteller und Aufsichtsbehörden in den letzten Jahren begonnen, der Sicherheit von IoT Geräten mehr Aufmerksamkeit zu schenken, und wir machen in diesem Bereich große Fortschritte.
Bis zum Jahr 2023 können wir mit noch mehr Fortschritten bei der Gerätesicherheit IoT rechnen. Auch wenn der Weg weiterhin mit Herausforderungen verbunden ist, hat die Einführung neuer Normen dazu beigetragen, bewährte Verfahren zu stärken, und viele dieser Änderungen werden im kommenden Jahr zum Tragen kommen.
Vor diesem Hintergrund stellt sich die Frage, was die größten IoT Trends für 2023 sind und welche Fortschritte wir in Bezug auf die Sicherheit von IoT Geräten erwarten können. Um mehr zu erfahren, haben wir uns mit Ellen Boehm, SVP of IoT Strategies and Operations bei Keyfactor, zusammengesetzt. Hier ist, was sie zu sagen hatte.
Keyfactor: Was ist Ihrer Meinung nach die größte Herausforderung für die Sicherheit von IoT Geräten, die bis 2023 auf Unternehmen zukommen wird?
Ellen Boehm: Es gibt sicherlich viele Herausforderungen in Bezug auf die Sicherheit von IoT Geräten, aber die größte Herausforderung, die ich für das Jahr 2023 sehe, ist die Entwicklung von Standards und Richtlinien für die Cybersicherheit von Produkten.
Da die Cybersicherheitsstandards und -richtlinien für Produkte immer weiter reifen, müssen OEMs die Änderungen genau im Auge behalten, um die Auswirkungen auf ihr Geschäft und ihre Prozesse zu verstehen. Dies ist besonders wichtig - und eine Herausforderung -, da sich die Entwicklungen dieser Standards und Richtlinien auf alles auswirken können, von der Produktentwicklung bis hin zum gesamten Gerätebetrieb, und die OEMs müssen schnell handeln, um Schritt zu halten.
Keyfactor: Was müssen wir Ihrer Meinung nach tun, um die Geräte von IoT sicherer zu machen?
Ellen Boehm: Das Beste, was wir tun können, um die Sicherheit von IoT zu erhöhen, ist, weiterhin bewährte Verfahren für eindeutige Geräteidentitäten und zertifikatsbasierte Authentifizierung zu befolgen. Wenn wir sicherstellen, dass dies im Jahr 2023 zum Standard wird, können wir auch die Sicherheit in anderen Bereichen verbessern.
Keyfactor: Der Matter-Standard betritt Neuland, indem er den Standard für Sicherheitsrichtlinien und -prozesse setzt, die PKI zur Validierung der Gerätezertifizierung und -provenienz verwenden. Inwieweit glauben Sie, dass Organisationen die Matter-Standards übernehmen werden? Und was können Organisationen sonst noch tun, um sicherzustellen, dass die Benutzer authentische, zertifizierte und aktuelle Geräte mit ihren Häusern und Netzwerken verbinden?
Ellen Boehm: Ich glaube fest daran, dass die Unternehmen die von Matter vorgeschlagenen Standards annehmen werden. Das ist bemerkenswert, da der Matter-Standard bisher nur bestimmte Geräte abdeckt (wie Glühbirnen und Schalter, intelligente Schlösser und Garagentorsteuerungen), nicht aber andere (wie Staubsauger und Überwachungskameras). Dennoch habe ich kürzlich mit GE gesprochen, und sie haben bestätigt, dass die OEMs, mit denen sie zusammenarbeiten, den Empfehlungen von Matter folgen, um die Interoperabilität mit Smart-Home-Geräten verschiedener Hersteller zu ermöglichen.
Ganz einfach, die Smart Home OEMs erkennen jetzt, dass mehrere Marken im Haus verwendet werden und sie müssen zusammenarbeiten, um das "Smart Home der Zukunft" zu schaffen und sicherzustellen, dass diese Geräte sicher zusammen verwendet werden können. Matter bietet den Industriestandard, um dies zu ermöglichen, und die OEMs beginnen definitiv, diese Richtlinien zu übernehmen.
Keyfactor: Gibt es bestimmte Branchen, in denen Sie besondere Fortschritte bei der Sicherung von IoT Geräten sehen?
Ellen Boehm: Ich habe persönlich mit Unternehmen aus den Bereichen Automotive (V2X, EV Charging), Medizintechnik, Versorgungsunternehmen/Messgeräte, Transportwesen, Telekommunikation und Industrie 4.0 an IoT Projekten gearbeitet. Alle diese Unternehmen und ihre Branchen setzen IoT Technologien ein, um ihre Produkt- und Servicefähigkeiten zu verbessern, und dazu gehört auch, die Sicherheit von Anfang an zu berücksichtigen.
Keyfactor: Im Januar 2020 wurde in Kalifornien das Gesetz zur Sicherheit im Internet der Dinge (Internet of Things Security Law) verabschiedet. Dieses Gesetz ist das erste seiner Art, das sich auf die Verbesserung der Sicherheit von IoT konzentriert und die Hersteller verpflichtet, die Sicherheit von IoT Geräten aktiv zu fördern. Wie wird sich diese Gesetzgebung Ihrer Meinung nach auf den Ansatz der Hersteller in Bezug auf IoT Sicherheit auswirken?
Ellen Boehm: Die Hersteller achten in der Regel auf die strengsten Vorschriften und entwickeln dann, wenn möglich, nach diesen Standards. In diesem Sinne haben wir bereits gesehen, dass Hersteller Empfehlungen zu Passwörtern, Authentifizierung und VPN-Verbindungen auf der Grundlage des kalifornischen Gesetzes befolgen . Und das ist auch gut so, denn das sind alles gute Praktiken, die unabhängig von den verabschiedeten Gesetzen übernommen werden sollten.
Keyfactor: In der Vergangenheit waren die in Kalifornien verabschiedeten Gesetze ein Vorbote für die Zukunft. Andere Bundesstaaten folgten dem Beispiel Kaliforniens und verabschiedeten ähnliche Gesetze (z. B. Arbeits- und Umweltvorschriften). Haben Sie gesehen, dass andere Bundesstaaten in diesem Fall nachziehen werden? Wenn nicht, sollten sie Ihrer Meinung nach mehr tun, um die Sicherheit von IoT Geräten zu fördern?
Ellen Boehm: Ich habe nicht gesehen, dass andere Staaten einen so gezielten Ansatz für die Sicherheit von IoT Geräten verfolgen wie Kalifornien. Abgesehen davon bin ich der Meinung, dass die staatlichen Anforderungen zu eng gefasst sind und es stattdessen einen landesweiten Ansatz für die Regulierung der Sicherheit von IoT Geräten geben sollte.
Vergessen Sie nicht, dass diese Geräte weltweit entwickelt, hergestellt und verwendet werden, so dass ihre Reichweite viel größer ist als die eines einzelnen Staates. Folglich brauchen wir Vorschriften mit einer größeren Reichweite, um das richtige Maß an Governance für die Sicherheit von IoT Geräten zu erreichen.
Keyfactor: Welches sind die wichtigsten Anforderungen des ersten von der EU geplanten Gesetzes zur Cyber-Resilienz auf internationaler Ebene?
Ellen Boehm: Drei Anforderungen aus der EU stechen für mich besonders hervor:
- Die Geräteidentität muss die Grundlage für die Gerätesicherheit bilden, und diese Identität sollte durch eindeutige, asymmetrische digitale Zertifizierungen hergestellt werden.
- Software und Firmware DevSecOps müssen durch geeignete Signier- und Überprüfungsmethoden ermöglicht werden.
- Um die CE-Zulassung aufrechtzuerhalten, müssen die Produkte über eine Verfolgung und Rückverfolgbarkeit der Schwachstellen verfügen, einschließlich Plänen zur Abhilfe.
Zusammen bilden diese Anforderungen eine solide Grundlage, die nicht nur dazu beiträgt, die Sicherheit von IoT zu verbessern, sondern auch die Voraussetzungen für kontinuierliche Verbesserungen in diesem Bereich zu schaffen.
Keyfactor: Wie wird sich das EU-Gesetz auf die Hersteller von IoT auswirken?
Ellen Boehm: Erstens bedeutet es, dass die Hersteller von IoT Geräten die Cybersicherheitsrisiken bewerten und Pläne zur Risikominderung auf alle von ihnen hergestellten Produkte anwenden müssen. Als Nächstes müssen sie nach der Bereitstellung von Produkten alle Vorfälle und bekannten Schwachstellen ihrer Produkte an die ENISA. Schließlich müssen die OEMs Korrekturmaßnahmen ergreifen und bei Bedarf unverzüglich und kostenlos Sicherheitsupdates einspielen, in der Regel über sichere Firmware-Updates.
Daher müssen die OEMs sicherstellen, dass sie über die richtigen Prozesse und Fähigkeiten verfügen, um diese Anforderungen zu erfüllen, insbesondere bei Geräten, die lange Zeit im Einsatz sind. Dies wird für viele Hersteller eine Umstellung sein, und es ist definitiv ein großer Schritt in die richtige Richtung.
Sind Sie bereit, Ihre IoT Gerätesicherheit auf die nächste Stufe zu heben?
Wenn Ihr Team auf das Jahr 2023 vorausblickt, muss die Stärkung der Sicherheitspraktiken von IoT oberstes Gebot sein. Zum Glück, Keyfactor EJBCA und Keyfactor Command für IoT dies möglich, indem wir OEMs eine End-to-End-Identitätsplattform IoT zur Verfügung stellen, mit der sie Identitäten für Geräte von der Herstellung bis zum Ende ihrer Lebensdauer verwalten und automatisieren können.
