Antworten für Hersteller

Als Hersteller ist es sinnvoll, zunächst auf strategischer Ebene die Rahmenbedingungen zu setzen damit die Entwicklung eines sicheren IoT-Produkts möglich ist. Dies beinhaltet typischerweise:

  1. Security Framework: Bereits heute gibt es IoT-spezifische Security-Frameworks wie den "Industrial Control Systems Security Guide" NIST SP 800-82. Die Einführung eines solchen Frameworks hebt die Produktentwicklung auf internationales Benchmark-Niveau.
  2. Budget: IoT-Sicherheit ist leider nicht kostenlos. Sie erfordert Zeit und Geld in Produktmanagement, Entwicklung und Produktion. Die gute Nachricht ist, dass die Aufwendungen umso kleiner sind, je früher Sicherheit bei der Entwicklung berücksichtigt wird. Ferner gibt es Kunden, die ein sicheres nach einem internationales Security-Standard entwickeltes Produkt einem gewöhnlichem Produkt vorziehen. Wenn das Marketing diese Kunden identifiziert und eine klare Botschaft darum entwickelt, lassen sich bei diesen Kunden Zusatzgeschäft und bessere Margen erzielen.
  3. Verantwortlichkeiten: Die Verantwortung für IoT-Sicherheit muss für jedes Projekt und Produkt klar geregelt sein.
Bild: Sicherheitsmassnahmen für Hersteller
Sicherheitsmassnahmen für Hersteller

Um die strategischen Rahmenbedingungen auf operativer Ebene umzusetzen, sind üblicherweise folgende Massnahmen sinnvoll:

  1.  Aus- und Weiterbildung: IoT ist eine neue Domaine. Produktmanager sollten in den konzeptionellen Ansätzen der IoT-Sicherheit geschult werden. Das R&D sollte mit den Grundregeln des Secure Coding vertraut gemacht werden.
  2. Systemarchitektur: Eine Grundlage eines sicheren IoT ist die saubere Definition der Schnittstellen zwischen den Modulen. Dies betrifft insbesondere die Schnittstelle zwischen dem IoT-Produkt und dem "Netz".
  3. Security Standards: Es ist nicht notwendig, die Umsetzungskonzepte für ein sicheres IoT-Produkt selbst zu definieren. Für IoT-Systeme bietet sich die Normenserie IEC 62443 "T-Sicherheit für Netze und Systeme" an. Wählt der Hersteller darin eine bestimmte Sicherheitsklasse, kann er Produktanfoderungen herleiten und bewegt sich auf dem Stand der Technik. Auch ist es möglich, ein Produkt z.B. durch den TÜV nach IEC 62443 zertifizieren zu lassen. Hieraus lassen sich, wie oben erwähnt, mit einer klaren Marketingbotschaft Verkaufsvorteile bei gewissen Kundengruppen erzielen.
Bild: Automobilproduktion
Automatierte Produktion in einem Automobilwerk


Bild: Beispiel eines X.509 Zertifikats
Ein X.509 Zertifikat ermöglicht authentifizierte Kommunikation

Schliesslich gibt es einige typische technische Eigenschaften, die sichere IoT-Produkte erfüllen.

  1. OWASP Top 10 IoT: Die Non-Profit-Organisation OWASP erstellt regelmässig eine Liste der zehn wichtigsten technischen Sicherheitsaspekte, auf die in der Entwicklung zu achten ist. Die Liste ist umfassend dokumentiert mit Beispielen und Lösungsansätzen. Wenn Sie die OWASP Top 10 bei Ihrer Produktentwicklung berücksichtigen, dürfte Ihr Produkt zu den sichersten IoT-Produkten Ihrer Branche zählen.
  2. Authentifizierung: Die Hauptsicherheitslücke, die sich quer durch alle IoT-Bereiche zieht, ist mangelhafte Authentifizierung. Dadurch ist es für einen Angreifer leicht, böswillige Befehle an das IoT-System zu geben oder eine falsche Firmware einzuspielen. Typische technische Lösungen hierfür sind die Identifikation von Netzwerkteilnehmern mittels digitaler Zertifikate oder signierte Firmware-Updates.
  3. Patch Management: Niemand kennt die Sicherheitslücken von morgen. Die beste Vorbereitung ist daher die Möglichkeit, ein Firmware-Update des IoT-Systems ohne grossen Aufwand aus der Ferne über den gesamten Anlagenpark auszurollen.