Security by Design: Cybersicherheit in IoT Consumer Produkten

Die Heizung regeln wir von unter­wegs per App, das Türschloss erken­nt uns am Smart­phone und Fernse­her, Stromzäh­ler und Sicher­heit­skam­eras sind jet­zt „smart“. IoT-Geräte ermöglichen Ver­brauch­ern ganz neue Erfahrun­gen und Inter­ak­tio­nen. Hack­ern wiederum bietet diese Entwick­lung neue Ein­fall­store.

Im Okto­ber 2016 sorgte eine Mal­ware für Schlagzeilen, die ver­net­zte Geräte wie Router, dig­i­tale Vide­o­recorder, Überwachungskam­eras und mehr infizieren kann. Die Mirai-Mal­ware hat auf die Geräte unter Ver­wen­dung des Stan­dard­ken­nworts und der Benutzer­na­men zuge­grif­f­en und die betrof­fe­nen Geräte zu einem Bot­net gemacht, um einen DDoS-Angriff (Dis­trib­uted Denial of Ser­vice) zu ermöglichen. Diese Attacke über­schwemmte eines der größten Web­host­ing-Unternehmen der Welt und brachte viele bekan­nte Web­sites und Dien­ste stun­den­lang zum Still­stand.

Damit haben Cyberan­griffe eine neue Dimen­sion erre­icht. Zu diesem Schluss kommt Syman­tec und veröf­fentlichte in seinem Inter­net Secu­ri­ty Threat Report 2017 diese ernüchtern­den Sta­tis­tiken aus weltweit­en Date­n­analy­sen 2016:

  • alle zwei Minuten wer­den IoT-Geräte ange­grif­f­en
  • 1 von 2.596 E-Mails enthielt Phish­ing-Ver­suche
  • 357 Mil­lio­nen neue Mal­ware-Vari­anten einge­führt
  • 98,6 Mil­lio­nen Bots
  • 229.000 Web-Attack­en im Durch­schnitt pro Tag block­iert

Sichere IoT-Geräte als wirtschaftlicher Wert

In diesem Umfeld wird es für Her­steller immer wichtiger, sichere IoT-Pro­duk­te herzustellen. Denn Ver­trauen spielt in der Welt der Kon­sumenten eine immer größere Rolle. Daher wer­den Her­steller, die schon heute Secu­ri­ty-Konzepte vorse­hen, die Gewin­ner von mor­gen sein. In naher Zukun­ft kön­nten diese Konzepte Vorzug erhal­ten vor bil­li­gen, aber angreif­baren Lösun­gen.

Im indus­triellen Umfeld haben das bere­its viele Hal­bleit­er­her­steller erkan­nt. Sie inte­gri­eren zunehmend kosten- und energieef­fiziente Hard­ware-Beschle­u­niger und sichere Spe­ich­er- und Aus­führung­sein­heit­en in ihre Kom­po­nen­ten, und erhal­ten so ein Alle­in­stel­lungsmerk­mal im enger wer­den­den Markt der Mikro­con­troller.

Die Sicher­heit ver­net­zter Endgeräte ist nicht nur für Ver­brauch­er von Inter­esse, son­dern wird zunehmend zu ein­er Angele­gen­heit von nationalem Inter­esse.

 

EU setzt auf freiwillige Cyber-Sicherheitszertifizierung

Die EU beab­sichtigt, ab 2019 eine Cyber-Sicher­heit­sz­er­ti­fizierung auf frei­williger Basis einzuführen. Ein wesentlich­er Punkt ist dabei der Ansatz von „Secu­ri­ty by Design“ in kostengün­sti­gen, dig­i­tal­en, ver­net­zten Massen­pro­duk­ten. Dass diese „einge­baut­en Sicher­heit“ beson­ders für den Daten­schutz im Inter­net der Dinge uner­lässlich ist, darüber gibt es mit­tler­weile einen weitre­ichen­den Kon­sens im Markt.

Die EU-Zer­ti­fizierung sieht je nach Nutzung – Geräte für Ver­brauch­er oder kri­tis­che Infra­struk­tur – ver­schiedene Gewährleis­tungsstufen vor. Diese geben Auf­schluss darüber, wie streng die durch­laufe­nen Sicher­heit­sprü­fun­gen sind. Die Zer­ti­fizierung soll durch einen unab­hängi­gen Anbi­eter erfol­gen.

 

UL Cybersicherheitsservices um sichere Produkte ausliefern zu können sowie als Vorbereitung für die EU-Zertifizierung

UL bietet bere­its heute UL Cyber­se­cu­ri­ty Ser­vices (UL CSS) an. Damit unter­stützt UL Her­steller über den gesamten Soft­wareleben­szyk­lus, ange­fan­gen beim Design bis hin zur Zer­ti­fizierung. Die Her­steller kön­nen dabei diejeni­gen Mod­ule nutzen, die sie ger­ade benöti­gen, von Sicher­heit­sar­chitek­turen über Evaluierun­gen und Testen gegenüber vom Her­steller, Part­nern in der Sup­ply-Chain oder Stan­dards fest­gelegten Anforderun­gen. Die Kom­po­nen­ten sind dabei untere­inan­der abges­timmt und erlauben auch, wenn der Her­steller es benötigt, den ein­fachen Über­gang zu ein­er Sicher­heit­sz­er­ti­fizierung.

UL unter­stützt Her­steller und Zulief­er­er mit fol­gen­den Cyber­sicher­heitsser­vices:

Beratung

  • Strate­gis­che Beratung zur dig­i­tal­en Iden­tität, Authen­tifizierung und Autorisierung
  • Über­prü­fung der Cyber­sicher­heitsstrate­gie
  • Bedro­hungsmod­el­lierung und Risiko­man­age­ment
  • Sicher­heits- und Risiko­analyse
  • Daten­schutz- und Daten­schutz­fol­gen­ab­schätzun­gen
  • Design-Reviews und Build-Sup­port
  • Bedro­hungsin­tel­li­genz
  • Infor­ma­tion­ssicher­heit (ISO 27001)

Sicher­heit­stests und Audit­ing

  • Pen­e­tra­tionstests von ver­net­zten Pro­duk­ten und Infra­struk­tur
  • White Box-, Grey Box- und Black Box-Test­ing
  • SPA-, DPA- und EM-Tests
  • Fuzz-Test
  • Mobile Anwen­dung­stests
  • Kon­tinuier­liche Suche nach Schwach­stellen
  • Prü­fung­spro­gramme und Prü­fun­gen für Finanz­di­en­stleis­tun­gen und Zahlungsin­fra­struk­tur­sicher­heit
  • ePass­port / eMRTD-Leser und Smart­card-Test­tools
  • Algo­rith­mus­va­li­dierung auf die ver­wen­dete Kryp­togra­phie
  • Audits zur Infor­ma­tion­ssicher­heit (ISO 27000), sichere Pro­duk­tion­san­la­gen, physis­che Sicher­heit­sau­dits vor Ort und spezial­isierte IT-Sicher­heit­sau­dits

Zer­ti­fizierung

Im Rah­men des UL Cyber­se­cu­ri­ty Ser­vices (UL CSS) Ange­bots und damit ver­wandten Bere­ichen bietet UL:

  • Zer­ti­fizierung der Soft­ware-Cyber­sicher­heit net­zw­erk­fähiger Pro­duk­te nach dem UL 2900–1 Stan­dard
  • FIPS (Fed­er­al Infor­ma­tion Pro­cess­ing Stan­dard) 140–2 und 201
  • All­ge­meine Kri­te­rien / ISO 15408
  • Die voll­ständi­ge Palette der Sicher­heit­slö­sun­gen für die Zahlungsin­dus­trie, wie sie in den EMVCO- und PCI-Stan­dards definiert sind
  • Durch­führung von Tests und Evaluierung auf Basis von Evaluierung­spro­gram­men, welche von Part­nern in der Sup­ply Chain vorgegeben und gefordert wer­den.
  • Sicher­er Soft­wa­reen­twick­lungs-Leben­szyk­lus (S-SDLC)

 

Zertifizierung der Software-Cybersicherheit netzwerkfähiger Produkte nach dem UL 2900–1 Standard

Der UL 2900–1 Stan­dard für Soft­ware-Cyber­sicher­heit von net­zw­erk­fähi­gen Pro­duk­ten, Teil 1: All­ge­meine Anforderun­gen, bew­ertet Soft­ware auf das Vorhan­den­sein von Kon­trol­lvor­rich­tun­gen für Sicher­heit­srisiken in ihrer Architek­tur und ihrem Design und ver­wen­det vorgeschriebene Test­meth­o­d­en, um Schwach­stellen, Soft­waremän­gel und Mal­ware zu bew­erten.

UL 2900–1 wurde von UL auf der Grund­lage eines vom US Depart­ment for Home­land Secu­ri­ty beauf­tragten Forschung­spro­jek­ts entwick­elt und wurde bere­its in zwei Län­dern zu einem nationalen Stan­dard. UL 2900–1 ist der weltweit einzige gener­ische Cyber­se­cu­ri­ty-Stan­dard und deckt alle Sicher­heit­saspek­te ab, die net­zw­erk­fähige Geräte im Cyber­space betr­e­f­fen. Er ist effek­tiv und effizient.  Er ist effek­tiv, denn er grün­det sich auf Forschungsar­beit­en von UL, der Koop­er­a­tion mit betrof­fe­nen Inter­es­sen­grup­pen als auch über hun­dert Jahren Erfahrung im Auf­bau von werthalti­gen Stan­dards: Er bein­hal­tet nicht weniger als das, was benötigt wird um eine Aus­sage über die Sicher­heit net­zw­erk­fähiger Geräte tre­f­fen zu kön­nen und um ein gewün­scht­es Sicher­heit­sniveau ver­lässlich erre­ichen zu kön­nen. UL 2900–1 ist für den prak­tis­chen Gebrauch konzip­iert, was ihn effizient macht — im Gegen­satz zum Ein­satz von für andere Zwecke entwick­el­ten Stan­dards, welchen hohen Aufwand seit­ens der Her­steller erfordern und damit unnötige Kosten verur­sachen.

 

Software-Cybersicherheit netzwerkfähiger Produkte mit branchenspezifischen Anforderungen
Um den Anforderungen spezifischer Branchen gerecht zu werden, gibt es für den Basisstandard  UL 2900–1 branchenspezifische Erweiterungen, bezeichnet mit UL 2900–2-x.

UL 2900–2 ist eine Rei­he von Stan­dards für Soft­ware-Cyber­sicher­heit von net­zw­erk­fähi­gen Pro­duk­ten mit branchen­spez­i­fis­chen Anforderun­gen und umfasst drei Teile:
Teil 2–1: Beson­dere Anforderun­gen für net­zw­erk­fähige Kom­po­nen­ten von Gesund­heitssys­te­men,

Teil 2–2: Beson­dere Anforderun­gen für indus­trielle Steuerungssys­teme,

Teil 2–3: Beson­dere Anforderun­gen für Sig­nal- und Sicher­heit­stech­nik für Her­steller, Eigen­tümer und Inte­gra­toren. Weit­ere Stan­dards dieser Art sind in Entwick­lung.

 

UL 2900-Standard regelt auch das Patch-Management

Heute wer­den in IoT-Sys­te­men Stan­dard-Hard­ware genutzt. Ein Moth­er­board, wie es etwa in Note­books ver­baut wird, kommt auch für die pro­gram­mier­bare Steuerung in IoT-Kom­po­nen­ten zum Ein­satz. Damit geht die Notwendigkeit von Patch­es ein­her.

Kom­po­nen­ten­her­steller benöti­gen daher ein Patch-Man­age­ment, das die Updates für seine Kom­po­nen­ten liefert. Dazu muss er entsprechende Sys­teme ein­richt­en. Das Patch-Man­age­ment ist ein Bestandteil der UL 2900 und regelt, wie ein Kom­po­nen­ten­her­steller damit umge­hen muss. Für den Kun­den bedeutet das, er set­zt ein Pro­dukt ein, das in Zukun­ft weniger Prob­leme bere­it­en wird. Das stellt die Kon­ti­nu­ität sich­er, was auch für einen Sys­tem­inte­gra­tor enorm wichtig ist.

 

UL Cybersecurity eBook

Um neue Schutz­maß­nah­men zu schaf­fen in ein­er sich per­ma­nent verän­dern­den Land­schaft von Bedro­hun­gen, ist auch Trans­parenz entschei­dend. Wie sich diese real­isieren lässt, zeigt das UL Cyber­se­cu­ri­ty eBook, welch­es das Cyber­se­cu­ri­ty Assur­ance Pro­gram vorstellt und die Anwen­dung des UL 2900–2-2 Stan­dards für indus­trielle Steuerungssys­teme aufzeigt.

Das eBook bietet darüber hin­aus einen Überblick über all­ge­meine Cyber­sicher­heit­srisiken von kri­tis­chen Infra­struk­turindus­trien und erläutert, warum es wichtig ist, die Sicher­heit und Integrität der Soft­ware-Liefer­kette zu vali­dieren. Sie erfahren zudem, welche Schritte möglich sind, um poten­zielle Schwach­stellen zu mildern, die Soft­ware zuzuschreiben sind.

Möcht­en Sie mehr darüber erfahren, wie wir Sie im Bere­ich Cyber­se­cu­ri­ty unter­stützen kön­nen, kon­tak­tieren Sie unsere Experten.

Weit­ere UL Cyber­se­cu­ri­ty Lösun­gen: