Der Kanton Zug will eine nationale Prüfanstalt aufbauen, die vernetzte Geräte im Bereich Cyber Security zertifiziert – eine richtige und wichtige Initiative. Sie soll Herstellern von IoT-Geräten als Prüf- und Anlaufstelle dienen und Produkte und Systeme gegenüber den angestrebten Sicherheitsstandards unabhängig nachweisen. Welche 7 Sicherheitsaspekte bei Herstellern unabhängig davon schon heute im Fokus stehen sollten, erfahren Sie in diesem Blogpost.
Das Internet der Dinge mit seinen immer stärker vernetzten Geräten dehnt sich in allen gesellschaftlichen Bereichen aus – im Privaten zum Beispiel mit Smart Home-Installationen, im geschäftlichen Umfeld mit intelligenten Medizintechnikprodukten oder vernetzten Produktionsanlagen. Für beide Bereiche gilt: Es braucht nur eine einzige Sicherheitslücke, welche durch Cyber-Kriminelle erfolgreich ausgenutzt werden kann, um ein gesamtes IoT-Ökosystem und dessen Daten zu gefährden.
Für die Zuger Regierung steht deshalb fest: Die Cyber-Resilienz von vernetzten Produkten und Systemen muss in der Schweiz zwingend erhöht und unabhängig geprüft und nachgewiesen werden. Zu diesem Zweck hat sie eine nationale Prüfanstalt initiiert – eine schweizweit bisher einzigartige «Cyber-Empa». Derzeit prüft der Bund das Vorhaben und klärt verschiedene Möglichkeiten, ob und wie sich diese in die Nationale Cyber-Strategie (NCS) integrieren liesse.
Die geplante Prüfanstalt soll vorerst keine eigenen Testkapazitäten haben, sondern Testkriterien festlegen, Prüfungen organisieren, kontrollieren und Zertifikate ausstellen. Die eigentlichen Produkteprüfungen würden ausgewählte Zertifizierungsstellen durchführen. Diese würden sich an etablierten Standards orientieren wie zum Beispiel dem europäische Standard EN 303 645 V2.1.1 vom Juni 2020 oder dem amerikanischen IoT Security Compliance Framework Rel. 2.1 der IoTSF vom Mai 2020. Die Prüfanstalt soll nicht nur vom Kanton Zug, sondern auch vom Eidgenössischen Finanzdepartement, der ETH Zürich und vom Nationalen Zentrum für Cyber-Sicherheit unterstützt werden.
Unabhängig davon, ob die Cyber-Prüfanstalt in den nächsten Jahren tatsächlich realisiert wird: Die Product Cyber Security darf nicht erst zum Thema werden, wenn eine Zertifizierung ansteht.
Vernetzte Produkte müssen von Beginn weg und über den gesamten Lebenszyklus so konzipiert werden, dass sie höchste Sicherheitsstandards erfüllen und den heutigen und zukünftigen Cyber-Gefahren gerecht werden. Ein wesentliches Konzept für umfassende IoT Security ist «Security by Design».
Dabei werden nicht nur die Schnittstellen in einem IoT-Ökosystem betrachtet, sondern insbesondere auch produktinterne Soft- und Hardwarekomponenten. Folgende Sicherheitsaspekte müssen Hersteller bereits in der Design- und Entwicklungsphase eines neuen vernetzten Geräts berücksichtigen:
1. Rechte
Prozesse, Softwarekomponenten und Benutzer erhalten nur so viele Rechte wie nötig (Least Privileges).
2. Zugriffskontrolle
Zugriffe, sei es durch Benutzer oder andere Systemprozesse, Dienste und Daten werden kontrolliert.
3. Minimierung
Auf dem Gerät laufen nur diejenigen Softwarekomponenten und Dienste, welche benötigt werden.
4. Trennung
Verschiedene Dienste und Software laufen voneinander abgeschottet und kommunizieren über klar definierte Schnittstellen. Das Prinzip der «Compartmentalization» gilt auch für Daten.
5. Identität
Das Gerät erhält eine eindeutige Identität und somit die Fähigkeit zur Signierung und Authentisierung.
6. Integrität
Die Integrität von Software und Updates wird vor deren Verwendung überprüft.
7. Verschlüsselung
Audit-Trails, Logs, digitale Unterschriften und Daten müssen sowohl bei der Speicherung, in Transit als auch bei der Archivierung kryptografisch sicher geschützt werden.
IoT Security-Kompetenz selber aufbauen oder projektspezifisch einkaufen? Der Erfolgsplan mit Checklisten der CyOne Security unterstützt Sie in Ihrer Entscheidung.
Die Initiative für eine nationale Prüfanstalt geht in die richtige Richtung: Es ist absolut unerlässlich, dass sich Unternehmen, staatliche Organisation und Betreiber kritischer Infrastrukturen gegen Cyber-Angriffe rüsten und auf eine unabhängige Stelle zählen können, welche die Einhaltung der nationalen und internationalen Standards überprüft. Nicht zuletzt profitieren damit die Hersteller auf der einen Seite von zertifizierten Produkten und damit auch von Vorteilen bei der Marktzulassung. Auf der anderen Seite können sich zukünftige Betreiber der Produkte und Systeme an einem Gütesiegel orientieren. Auch können Versicherungen ihre zukünftigen Cyber-Versicherungsdienstleistungen auf das Vorhandensein solcher Zertifizierungen ausrichten.
Sinnvoll ist eine zentrale Bündelung der Expertise. Nicht jedes Unternehmen verfügt über das spezifische Sicherheits-Know-How und die dafür notwendigen personellen Ressourcen, welche für eine erfolgreiche Zertifizierung notwendig sind. In vielen Fällen ist es schlicht auch wirtschaftlicher, projektspezifisch auf externe IoT Security-Kompetenz zurückzugreifen.
Die CyOne Security unterstützt und begleitet Hersteller von IoT-Anwendungen vom Design über die Entwicklung bis hin zur Implementation, mit dem Ziel, höchstmögliche, nachhaltige und umfassende IoT Security sicherzustellen sowie Gewähr zu bieten für eine erfolgreiche Zertifizierung.
Reto Amstad
Senior Security Consultant