IT-Security für Consumer-IoT-Produkte
Orientierungshilfe für einen heterogenen Markt schaffen
Fortsetzung des Artikels von Teil 1
Normen und Anforderungen
Mehrere Normungsorganisationen haben sich der Herausforderung angenommen, Vorgaben für die Anforderungen und Prüfverfahren hinsichtlich der IT-Security für Consumer-IoT-Produkte für alle zuvor genannten Aspekte zu definieren. Somit ist es auf eine transparente Art und Weise möglich, auf der Basis von einheitlichen Richtlinien eine produktübergreifende Messbarkeit der IT-Security zu gewährleisten.
Hierbei ist eine Differenzierung nach dem angestrebten Grad an Sicherheit beziehungsweise den notwendigen Anforderungen je nach Anwendung und Use Case wichtig, da die Anforderungen an die Sicherheit entsprechend des Verwendungszwecks variieren. Hervorzuheben ist in diesem Kontext die Norm “ETSI EN 303 645 – Cyber Security for Consumer Internet of Things”, die vom European Telecommunications Standards Institute (ETSI) veröffentlicht wurde. Basierend auf den Normen, mit denen Anforderungen an die IT-Security für Consumer-IoT-Geräte formuliert werden, wurden auch Testpläne etabliert. Hier ist der “Cybersecurity Certification Test Plan” der Cellular Telecommunications and Internet Association (CTIA) zu nennen. ETSI arbeitet ebenfalls an einem Testplan, der noch vor Ende 2021 verfügbar sein soll.
Ein realistisches Ziel
Mit Hilfe einheitlich definierter Anforderungen an die Sicherheit von Consumer-IoT-Geräten einerseits und den entsprechenden Prüfmethoden andererseits kann eine transparente und vergleichbare Aussage über den Grad der IT-Security für die genannten Produkte getroffen werden. Sind diese Normen als Industriestandard definiert und etabliert, werden Kunden diejenigen Produkte als vertrauenswürdig bewerten, wo die Anforderungen an die IT-Security eingehalten werden. Produkte, die das Einhalten der Anforderungen nicht nachweisen können, werden von den Kunden voraussichtlich weniger nachgefragt werden.
Offen bleibt die Frage nach einer für die Kunden sichtbaren Zertifizierung mit entsprechender Außenwirkung in einem definierten Markt. Hier gilt es, die verfügbaren Normen auch als Standard in einem entsprechenden IT-Security-Zertifizierungsregime zu etablieren und zur Anwendung zu bringen.
Zusammenfassend lässt sich beobachten, dass das Ziel der Messbarkeit und Vergleichbarkeit der IT-Security für den sehr heterogenen Markt an Consumer-IoT-Geräten erreichbar scheint. Damit wird dem Endkunden eine fundierte Möglichkeit geboten, Anwendungen des IoT mit einem bekannten Maß an implementierter IT-Security zu nutzen.
Jörn Edlich, Senior Manager bei mm1 und Pablo Endres, Gründer von SevenShift
- Orientierungshilfe für einen heterogenen Markt schaffen
- Normen und Anforderungen
Lesen Sie mehr zum Thema
