Zuletzt geriet das Internet der Dinge, mangels ausreichender Sicherheit, immer mehr in die Kritik. Nun hat der Branchenverband „Cloud Security Alliance“ (CSA) ausführliche Richtlinien zur Entwicklung sicherer Geräte für das Internet of Things (IoT) veröffentlicht. Zielgruppe sind dabei vor allem diejenigen Unternehmen, die smarte Geräte herstellen.
DER WEG ZU EINER GRÖSSEREN SICHERHEIT
Das Dokument, das den Titel „Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products“ soll nun Entwicklern helfen die Sicherheit erheblich anzuheben. Zu diesem Zweck wurden 13 Schritte erarbeitet und in aller Ausführlichkeit besprochen und analysiert.
DIE 13 SCHRITTE
Diese, sind:
- Mit einer sicheren Entwicklungsmethode beginnen
- Implementieren einer sicheren Entwicklungs- und Integrationsumgebung
- Identifizieren von Struktur und Sicherheitsfeatures für die Plattform
- Datenschutzfunktionen
- Hardwarebasierte Sicherheitskontrollen
- Daten gegen unbefugte Zugriffe schützen
- Schutz bei verbundenen Applikationen und Diensten
- Schutz logischer Interfaces/APIs
- Für eine sichere Updatemöglichkeit sorgen
- Implementieren von Authentifizierungs-, Autorisierungs- und Zugangskontrollen
- Sichere Verschlüsselung
- Für Logging Mechanismen sorgen
- Sicherheitsaudits
SICHERHEITSLÜCKEN IM IOT
Die Guidelines zeigen auch die häufigsten Sicherheitslücken bei IoT-Geräten auf und geben direkt im Anschluss Tipps und Anregungen diese zu verhindern. So werden typische aktuelle Sicherheitsthemen des IoT, wie DDoS-Angriffe, Schwachstellen von medizinischen Geräten oder die Zweckentfremdung von Minidrohnen zur Überwachung thematisiert und dem Entwickler im Rahmen von sogenannten „Lessons Learned“-Boxen Maßnahmen an die Hand gegeben.
GERÄTE UND GEFAHREN
Hat sich ein Entwickler durch alle 13 Schritte gearbeitet, stehen ihm im Rahmen der Anhänge gut übersichtliche Tabellen zur Verfügung, die die Geräte nach ihren unterschiedlichen Zielgruppen sortieren. So sehen die typischen Bedrohungen bei Fitnessarmbändern für Endkonsumenten völlig anders aus als die smarten Implantate im medizinischen Bereich. Die Bedrohungen für industriell genutzte IoT-Geräte unterscheiden sich wiederum stark von den Bedrohungen für Smart Cities: So wird wohl ein Cyberkrimineller im einen Fall eher auf Diebstahl – von Wissen oder Daten – aus sein, im anderen Fall z. B. eher einen Systemausfall hervorrufen wollen.