Die Regierung berät über ein Gesetz zur IoT-Sicherheit in Unternehmen. Wie geht es weiter?

Das Internet der Dinge (IoT) wird oft als technologisch fortschrittliches Ökosystem aus Geräten und Back-End-Systemen der nächsten Generation betrachtet. Tatsächlich wurde der Begriff erstmals Ende der 1990er Jahre geprägt, und viele Unternehmensprodukte sind eher banal als auffällig: Denken Sie an Drucker und Network Attached Storage (NAS). Sie sind zudem oft mit Sicherheitsproblemen behaftet.

Deshalb hält die Regierung ihr Versprechen ein, Sicherheit durch Design in allen Technologien zu fördern – insbesondere in den für die Produktivität und Effizienz von Unternehmen so wichtigen. Es ist jedoch Aufruf zur Stellungnahme zur Cybersicherheit vernetzter Unternehmensgeräte ist nur der erste Schritt auf einem möglicherweise langen Weg zur Verbesserung der grundlegenden IoT-Sicherheit in Unternehmen. Entscheidend wird sein, was als Nächstes passiert.

Wie schlecht ist die IoT-Sicherheit?

Um die Notwendigkeit politischer Interventionen zu verdeutlichen, beauftragte die Regierung die NCC Group mit der Durchführung einer Schwachstellenanalyse einiger häufig verwendeter, mit Unternehmen verbundener Geräte. Das ist keine besonders schöne Lektüre.

Insgesamt bewertete der Cybersicherheitsspezialist acht Produkte: eine High-End- und eine Low-End-IP-Kamera, ein NAS-Gerät, ein Konferenzraum-Panel und ein VoIP-Gerät. Unter den 50 festgestellten Problemen befand sich eines mit kritischem Schweregrad, neun mit hohem Risiko und 24 mit mittlerem Risiko. Das kritische Problem betraf ein Low-End-NAS-Gerät, bei dem Benutzer beim Start das Standardkennwort nicht ändern mussten. Die NCC Group fand jedoch zahlreiche weitere Probleme, darunter:

• Mehrere „schwerwiegende“ Schwachstellen bei der Remotecodeausführung, die zur Übernahme des gesamten Geräts durch einen nicht authentifizierten Angreifer führen könnten
• Veraltete Software auf mehreren Geräten, darunter ein über 15 Jahre alter Bootloader einer High-End-IP-Kamera
• Kein Schutz vor einem Angreifer mit physischem Zugriff auf ein Gerät, der es kompromittieren und eine dauerhafte Hintertür darauf installieren möchte
• Die meisten Geräte führen alle Prozesse als „Root“-Benutzer aus, was einem Angreifer uneingeschränkte Kontrolle über ein Gerät geben könnte
• Unsichere Konfiguration von Diensten, Anwendungen und Funktionen
• Uneinheitliche Einhaltung der NCSC-Gerätesicherheitsprinzipien und der ETSI EN 303 645-Norm

„Viele IoT-Geräte führen Prozesse aus, die das Risiko einer vollständigen Systemkompromittierung erhöhen können. Wir haben festgestellt, dass diese Sicherheitslücken oft das Ergebnis überstürzter Entwicklung, Kostensenkungsmaßnahmen oder Bemühungen sind, die Komplexität der Überwachung zu reduzieren“, erklärt Jon Renshaw, Leiter der Sicherheitsforschungsdienste der NCC Group, gegenüber ISMS.online.

„Die Folgen von Einsparungen sind oft weitreichend und wirken sich darauf aus, wie viele Unternehmen ihre IoT-Lösungen einsetzen.“

Drei Optionen auf dem Tisch

Laut dem Dokument der Regierung zur Stellungnahme gibt es im Enterprise-IoT-Markt zwei Hauptherausforderungen. Die erste betrifft die Hersteller selbst. Es wird behauptet, dass das Bewusstsein und die Akzeptanz eines Best-Practice-Leitfadens mit den „11 Prinzipien“, der 2022 vom Ministerium für Wissenschaft, Innovation und Technologie (DSIT) und dem Nationalen Zentrum für Cybersicherheit (NCSC) erstellt wurde, „nach wie vor gering“ sei.

Das zweite Problem sind IT-Käufer. frustrierten Ab 2021, so die Regierung, verlangen 58 % der britischen Unternehmen bei der Investition in neue vernetzte Geräte keine „Sicherheits- oder Beschaffungsprüfungen“. Dadurch betreiben sie Geräte mit unsicheren Konfigurationen, veralteter Software und unzureichenden Sicherheitsfunktionen, heißt es.

Deshalb schlägt die Regierung einen zweistufigen Plan vor. Der erste Schritt umfasst die Erstellung eines Verhaltenskodex für die Sicherheit vernetzter Unternehmensgeräte, basierend auf den elf Prinzipien. Dies soll Herstellern helfen, sicherere Produkte zu entwickeln und zu bauen und potenziellen Käufern fundiertere Kaufentscheidungen zu ermöglichen.

In der zweiten Phase ist die Regierung besonders auf die Beteiligung der Industrie bedacht. Ihre drei Vorschläge für „politische Interventionen“ lauten:

1. Eine freiwillige Verpflichtung Hersteller von IoT-Geräten für Unternehmen würden diesen Vertrag unterzeichnen, um dem Markt zu beweisen, dass sie es mit der Sicherheit ernst meinen. Obwohl er nicht rechtsverbindlich ist, müssten sich die Unterzeichner öffentlich dazu verpflichten, innerhalb eines bestimmten Zeitraums „messbare Fortschritte“ bei der Einhaltung der Grundsätze des Verhaltenskodex zu erzielen.
2. Ein neuer globaler Standard Der Standard soll auf bestehenden Angeboten wie ETSI EN 303 645 und dem ISO 27402-Entwurf aufbauen und mit diesen harmonisieren. Auch dieser Standard würde auf dem Verhaltenskodex basieren und „einen internationalen Konsens darüber schaffen, wie Best Practice aussehen sollte“. Allerdings handelt es sich hierbei eher um ein Zuckerbrot als um eine Peitsche, da die Einhaltung theoretisch ebenfalls freiwillig wäre.
3. Neue Rechtsvorschriften Ziel ist es, die 11 Grundsätze/Verhaltenskodexe gesetzlich zu verankern. Dies könnte in Form einer Erweiterung der Produktsicherheits- und Telekommunikationsinfrastrukturgesetz (PSTI) 2022 oder ein eigenständiges Gesetz. Die Regierung räumt ein, dass angesichts der globalen Natur der IoT-Lieferketten Gesetze oft die einzige Möglichkeit sind, sicherzustellen, dass Hersteller Best Practices befolgen.

„Im Gegensatz zu Verbrauchern sind Unternehmen besser in der Lage, wichtige Sicherheitsmaßnahmen zu ergreifen. Sie verfügen beispielsweise über eigenes Personal, das für die schnelle Bereitstellung von Sicherheitsupdates zur Behebung von Problemen sorgt, und über ein besseres Verständnis ihres Netzwerks“, so die Regierung. „Wir werden daher prüfen, Unternehmen und andere Endnutzer zu konkreten Maßnahmen zu verpflichten.“

John Moor, Geschäftsführer der IoT Security Foundation (IoTSF), begrüßt das Interesse der Regierung, das Bewusstsein für die Gerätesicherheit zu schärfen und Kontakt zur Industrie aufzunehmen, um herauszufinden, „ob es im Sinne der Sorgfaltspflicht am besten ist, bestimmte Verhaltensweisen zu fördern oder sie vorzuschreiben“.

Er erklärte gegenüber ISMS.online, dass der freiwillige Kodex zwar eine „vernünftige“ Idee zu sein scheine, die Schaffung eines weiteren sicherheitsrelevanten Standards jedoch möglicherweise nicht der richtige Weg sei, da dies die Komplexität erhöhen würde. Moor plädiert daher alternativ für die Erweiterung eines bestehenden Standards. Er steht neuen Vorschriften skeptisch gegenüber.

„Das Schwierige besteht darin, die notwendigen Veränderungen herbeizuführen – indem man das Gleichgewicht zwischen Sicherheitsvorkehrungen wahrt und gleichzeitig Innovationen nicht unterdrückt oder reaktive Verhaltensweisen fördert, die dem Ziel zuwiderlaufen“, argumentiert Moor.

„Was ich in den letzten zehn Jahren gelernt habe, ist, dass es praktisch unmöglich ist, eine Regulierung dieser Art richtig hinzubekommen – selbst das PSTI-Gesetz mit seinen drei einfachen Anforderungen ist nicht unkompliziert und wir sind uns einer Reihe berechtigter Bedenken seitens der Industrie bewusst.“

Moor behauptet, dass „mit dem neuen Regulierungsapparat Komplikationen entstehen und die Kosten rasch steigen“, weshalb neue Gesetze nur als letztes Mittel betrachtet werden sollten, wenn alle anderen Optionen ausgeschöpft sind.

Renshaw von der NCC Group steht Regulierungen positiver gegenüber und argumentiert, dass diese zu Verhaltensänderungen bei IoT-Herstellern führen könnten.

„Die Gesetzgebung sollte von den Herstellern verlangen, dass sie ihre Produkte vor der Markteinführung durch unabhängige Dritte bewerten lassen, ihre Lieferketten sorgfältig prüfen, Sicherheitslücken in ihren Produkten offenlegen und die Rollen und Verantwortlichkeiten von Herstellern und Endnutzern/Kunden klarstellen“, fährt er fort.

„Wenn diese Punkte übereinstimmen, werden die Gesetze die Daten in allen Geschäftsökosystemen schützen und dafür sorgen, dass die Hersteller die Verantwortung für die Sicherheit ihrer Produkte übernehmen.“

In der Zwischenzeit

Keine der drei oben genannten Optionen schließt sich gegenseitig aus, und die Regierung hat die Industrie gefragt, ob zusätzliche Maßnahmen in Betracht gezogen werden sollten. Dies wird jedoch einige Zeit in Anspruch nehmen. Die Frist für die Einreichung von Stellungnahmen endet am 7. Juli, der weitere Zeitplan ist jedoch unklar. In der Zwischenzeit müssen die IT-Leiter der Unternehmen sicherstellen, dass die von ihnen gekauften und eingesetzten Geräte sicher sind.

„IoT-Käufer müssen zunächst ihre Bedürfnisse besser verstehen und diese dann mit den Marktangeboten abgleichen. Sobald sie ihre Anforderungen – zu denen auch die laufende Wartung über die angegebene Lebensdauer gehören muss – kennen, geht es darum, die besten Anbieter für diese Bedürfnisse auszuwählen“, so Moor.

Hersteller sollten auf ihren „Secure by Design“-Ansatz und ihren Wartungssupport geprüft werden. Und Käufer sollten mindestens nach „Secure by Default“-Lösungen fragen.

Renshaw von der NCC Group rät IoT-Käufern, Anbieter mit einer starken Sicherheitsbilanz und der Einhaltung von Industriestandards zu wählen. Er fügt hinzu, dass kontinuierlicher Support und regelmäßige Firmware-Updates ebenfalls wichtig seien. Er argumentiert, dass Netzwerkschützer zusätzlich ein robustes Schwachstellenmanagement, Netzwerksegmentierung und Netzwerküberwachung einsetzen sollten, um Risiken zu minimieren.

Das IoTSF unterhält eine praktisches IoT Security Assurance Framework Es bildet alle bestehenden und neuen Normen und Vorschriften ab, einschließlich dieses Vorschlags und des EU Cyber ​​Resilience Act (CRA). Sowohl Hersteller als auch Käufer können es nutzen, um sich in der zunehmend komplexen Regulierungslandschaft zurechtzufinden.