Das Tempo im Bereich IoT ist hoch: Im Monatsrhythmus kommen neue smarte Devices auf den Markt, die interessante Vernetzungs- und Steuerungsmöglichkeiten bieten. Die Implementierung neuer IoT-Geräte erhöht aber auch die Anforderungen an die Cyber Security. Entsprechend rückt die Product Cyber Security verstärkt in den Fokus. Welche Rolle dabei verbindliche Normen und Standards spielen und wie Sie umfassende Cyber Security in IoT-Netzwerken erreichen, erfahren Sie in diesem Blogbeitrag.

Die Liste der sicherheitskritischen IoT-Geräte ist bereits heute lang. Und daran dürfte sich auch in Zukunft nichts ändern – im Gegenteil. Die Dichte an vernetzten Geräten und damit auch die Cyber-Risiken nehmen in hoher Frequenz zu. Denn Cyber-Kriminellen reicht eine kleine Schwachstelle im Produkt und/oder der Vernetzung, um sich Zutritt zum System zu verschaffen. 

Eine solche Schwachstelle kann zum Beispiel eine smarte Medizintechnik-Anwendung ohne Sicherheitsfunktionen sein, die per App gesteuert wird. Diese Sicherheitslücke nachträglich zu schliessen, ist aufwändig und teuer. Besser ist, von vornherein eine IoT-Anwendung zu wählen, die im Sinne von Product Cyber Security über sichere Schnittstellen verfügt.

Was ist Product Cyber Security?

Product Cyber Security ist der Schutz eines Produkts gegen Angriffe und Manipulationen von aussen während seines gesamten Lebenszyklus. Zentral dabei ist: Sicherheitsfunktionen müssen basierend auf einer Sicherheitsbetrachtung bereits bei der Konzeption und Entwicklung neuer Devices eingeplant und ausgelegt werden. Denn sie werden im Innenleben vernetzter Geräte implementiert statt wie häufig üblich nur an der Peripherie.

Zentrale Sicherheitsfunktionen, die zwingend in der Entwicklungs- und Designphase eingeplant werden müssen, sind:

  • Resistente Verschlüsselung und Tamper Protection zum Schutz der Daten vor unerlaubtem Zugriff und Manipulation
  • Sichere Updateprozesse
  • Secure Boot / Boot Integrity Checks
  • Sicheres Authentifizieren / Onboarding / Gerätemanagement
  • Zentrales Gerätemanagement

So konzipierte IoT-Anwendungen garantieren zudem, dass Updates an die Sicherheitsstandards ihrer IoT-Umgebung jederzeit möglich sind. Denn die Integrität eines Systems und der Prozessdaten hängt davon ab, ob jedes einzelne Gerät innerhalb eines IoT-Ökosystems sowie ihre Kommunikation sicher funktionieren. 

Grafik IoT Product Lifecycle Industry png

In IoT-Umgebungen ändern sich kontinuierlich Prozesse ebenso wie die Art der Cyber-Bedrohungen. Sicher konzipierte IoT-Anwendungen lassen sich mit Updates an beides anpassen.

Cyber Security: Normen und Standards erhöhen die Sicherheit

Product Cyber Security stellt Hersteller vor neue Herausforderungen: Um Geräte mit allen relevanten Sicherheitsfunktionen produzieren zu können, müssen Prozesse angepasst werden. Ihre Entwicklungsarbeit wird dabei erleichtert durch Normen und Standards für Product Cyber Security. Diese Richtlinien unterstützen die Herstellung zertifizierter IoT-Produkte. Für Anwender bedeuten diese Zertifikate eine bessere Vergleichbarkeit der unterschiedlichen Devices.

Für IoT-Geräte sind unter anderem die folgenden Normen und Standards massgebend:

  • IEC 62443 : Die Norm IEC 62443 befasst sich mit der IT-Sicherheit sogenannter «Industrial Automation and Control Systems», kurz IACS. Darunter fallen alle Bestandteile, die für den zuverlässigen und sicheren Betrieb einer automatisierten Produktionsanlage erforderlich sind, wie beispielsweise Steuerungen, Firewalls, Gateways, Switches, SCADA-Systeme, Softwarekomponenten und Applikationen.
  • ETSI EN 303 645 : Diese EU-Norm ermöglicht die Integration von Sicherheitsfunktionen bei IoT-fähigen Konsumgütern von der Smartwatch bis zur vernetzten Waschmaschine. Sie richtet sich an Hersteller und ist freiwillig.
  • DIN SPEC 27072 : Nach dieser Norm produzierte Geräte verfügen über eine sichere Update-Funktionalität und verlangen eine Authentisierung, bevor über eine IP-Schnittstelle auf sie zugegriffen werden kann. Die Norm verbietet ausserdem die Verwendung von Standardpasswörtern in Netzwerken.
  • W3C Web of Things-Standard : Dieser Standard erleichtert Konfigurationen im IoT. Jedes «Ding» im Netzwerk erhält damit eine Beschreibung. Diese umfasst unter anderem die Daten und Funktionalitäten, die das Device bietet und welches Kommunikationsprotokoll verwendet werden soll.

Sicherheit nach Vorschrift: Cyber Resilience Act

Neben den diversen Normen und Standards gibt es auch politische Bestrebungen, die Produktanforderungen an Cyber-Sicherheit zu vereinheitlichen und das Resilienzniveau anzuheben. Prominentes Beispiel hierfür ist der Cyber Resilience Act der EU-Kommission. Gemäss Entwurf vom September 2022 haben Hersteller nach der Verabschiedung zwei Jahre Zeit, sich an die neuen Anforderungen anzupassen.

Der Cyber Resilience Act enthält Regeln für die Sicherheit von Produkten, die mit digitalen Elementen auf den Markt gebracht werden. Die Anforderungen betreffen zum Beispiel das Design, die Entwicklung, das Lebenszyklusmanagement von Produkten sowie eine Meldepflicht von Schwachstellen . Zudem soll die Verantwortung für die Cyber Security während des gesamten Lebenszyklus beim Produkthersteller bleiben.

Auf der sicheren Seite mit «Security by Design»

Product Cyber Security hebt die Sicherheit in IoT-Netzwerken auf die nächste Stufe. Sie erfordert aber auch viel Fachkompetenz. Die CyOne Security unterstützt Hersteller und Betreiber von IoT-Anwendungen mit Fachwissen in der IoT Security und Product Cyber Security für Hardware und Software – und das über die gesamte IoT-Produktwertschöpfungskette, um höchstmögliche, nachhaltige und umfassende IoT Security zu erreichen. Dabei profitieren Kunden sowohl von der einzigartigen Kompetenz in proprietärer Hard- und Software als auch dem breiten Fachwissen in der Umsetzung von branchenspezifischen Standards.

Lohnt es sich für Sie, die Fachkompetenz zum Thema IoT Security intern aufzubauen? Oder ist der Einkauf von Expertise sinnvoller? Die Entscheidungs-Checklisten «IoT Security Make or Buy?» schaffen Klarheit und helfen Ihnen bei der Entscheidung.
 
Jetzt Entscheidungs-Checklisten herunterladen