NET 3/2021

41 03/21 www.net-im-web.de IT-Security für Consumer-IoT-Produkte von Nutzern ab. Zusätzlich sind regulatori- sche Vorgaben ausschlaggebend – nicht un- bedingt nur hinsichtlich der IT-Security. Die Gesamtarchitektur kommt selten von einem Anbieter und somit aus einer Entwicklungs- abteilung. Vielmehr sind die Systeme über mehrere Anbieter, wie IoT-Plattformen, Cloud-Anbieter, Kommunikationsnetzan- bieter usw., verteilt. Lediglich die Integration der einzelnen Systembestandteile und „das System vor Kunde“ liegen in der koordina- tiven Verantwortung des Lösungsanbieters. Die Herausforderung Die in Bild 1 dargestellte, abstrahierte Architektur offenbart die umfangreiche Angriffsoberfläche. Die daraus resultieren- den, zahlreichen Angriffsvektoren sind in Bild 2 skizziert. So variieren die Angriffs- vektoren auf das IoT-Gerät selbst oder die enthaltene Firmware imVergleich zu denen auf die Verbindungsstrecken, die Apps, das Portal oder das Backend. Um das Gesamtsystem sicher zu machen, muss überall im System ein Mindestmaß an Sicherheit gewährleistet sein. Dies umfasst die gesamte Architektur und betrifft insbesondere auch Aspekte, wie z.B. die prozessualen Vorgaben an die Nutzung und Gestaltung von Passwör- tern, das Firmware-Update-Prozedere oder die verwendeten Protokolle bei der Kom- munikation und der Bewirtschaftung der Daten. Nur wenn alle Aspekte gesichert sind, können die Privatsphäre der Nut- zer, die Verfügbarkeit der Geräte und der damit verbundenen Dienstleistung sowie die Datenintegrität gewährleistet werden. Dabei sind die obersten Prämissen, dass • Kunde und Betreiber keinen Schaden nehmen; • die Rahmenbedingungen eingehalten werden, insbesondere die DSGVO. MehrereNormungsorganisationen definieren derzeit Vorgaben für die Anfor- derungen und Prüfverfahren hinsichtlich der IT-Security für Consumer-IoT-Produkte für alle zuvor genannten Aspekte. Somit ist es möglich, auf der Basis von einheitli- chen Richtlinien eine produktübergreifende Messbarkeit der IT-Security zu gewährleis- ten. Hierbei ist eine Differenzierung nach dem angestrebten Grad an Sicherheit bzw. den notwendigen Anforderungen je nach Anwendung und Use Case wichtig, da die Anforderungen an die Sicherheit entspre- chend des Verwendungszwecks variieren. Hervorzuheben ist in diesemKon- text die Norm „ETSI EN 303 645 – Cyber Security for Consumer Internet ofThings”, die vom European Telecommunications Standards Institute (ETSI) veröffentlicht wurde. Basierend auf den Normen, mit denen Anforderungen an die IT-Security für Consumer-IoT-Geräte formuliert werden, wurden auch Testpläne etabliert. Hier ist der „Cybersecurity CertificationTest Plan” der CellularTelecommunications and Inter- net Association (CTIA) zu nennen. ETSI arbeitet ebenfalls an einem Testplan, der noch vor Ende 2021 verfügbar sein soll. www.mm1.com Bild 2: Die Angriffsvektoren auf das IoT-Gerät selbst oder die enthaltene Firmware unterscheiden sich im Vergleich zu denen auf die Verbindungsstrecken, die Apps, das Portal oder das Backend (Bilder: mm1) Fazit Mithilfe einheitlich definierter Anforderungen an die Sicherheit von Consumer-IoT-Geräten und den entsprechen- den Prüfmethoden kann eine vergleichbare Aussage über den Grad der IT-Security für die genannten Produkte getroffen werden. Sind diese Normen als Industriestandard definiert und etabliert, werden Kunden die Produkte als vertrauenswürdig bewerten, die die Anforderungen an die IT-Security einhalten. Produkte, die das Einhalten der Anforderungen nicht nachweisen können, werden von den Kunden weniger nachgefragt werden. Offen bleibt die Frage nach einer für die Kunden sichtbaren Zertifizierung mit entsprechender Außenwirkung in einem definierten Markt. Hier gilt es, die verfügbaren Normen auch als Standard in einem entsprechenden IT-Security-Zertifizierungsregime zu etablieren und zur Anwendung zu bringen. Zusammenfassend lässt sich beobachten, dass das Ziel der Messbarkeit und Vergleichbarkeit der IT-Security für den sehr heterogenen Markt an Consumer-IoT-Geräten erreichbar scheint. Damit wird dem End- kunden eine fundierte Möglichkeit geboten, Anwendungen des Internet of Things mit einem bekannten Maß an implementierter IT-Security zu nutzen.