Security by Design: Cybersicherheit in IoT Consumer Produkten

Die Heizung regeln wir von unterwegs per App, das Türschloss erkennt uns am Smartphone und Fernseher, Stromzähler und Sicherheitskameras sind jetzt „smart“. IoT-Geräte ermöglichen Verbrauchern ganz neue Erfahrungen und Interaktionen. Hackern wiederum bietet diese Entwicklung neue Einfallstore.

Im Oktober 2016 sorgte eine Malware für Schlagzeilen, die vernetzte Geräte wie Router, digitale Videorecorder, Überwachungskameras und mehr infizieren kann. Die Mirai-Malware hat auf die Geräte unter Verwendung des Standardkennworts und der Benutzernamen zugegriffen und die betroffenen Geräte zu einem Botnet gemacht, um einen DDoS-Angriff (Distributed Denial of Service) zu ermöglichen. Diese Attacke überschwemmte eines der größten Webhosting-Unternehmen der Welt und brachte viele bekannte Websites und Dienste stundenlang zum Stillstand.

Damit haben Cyberangriffe eine neue Dimension erreicht. Zu diesem Schluss kommt Symantec und veröffentlichte in seinem Internet Security Threat Report 2017 diese ernüchternden Statistiken aus weltweiten Datenanalysen 2016:

  • alle zwei Minuten werden IoT-Geräte angegriffen
  • 1 von 2.596 E-Mails enthielt Phishing-Versuche
  • 357 Millionen neue Malware-Varianten eingeführt
  • 98,6 Millionen Bots
  • 229.000 Web-Attacken im Durchschnitt pro Tag blockiert

Sichere IoT-Geräte als wirtschaftlicher Wert

In diesem Umfeld wird es für Hersteller immer wichtiger, sichere IoT-Produkte herzustellen. Denn Vertrauen spielt in der Welt der Konsumenten eine immer größere Rolle. Daher werden Hersteller, die schon heute Security-Konzepte vorsehen, die Gewinner von morgen sein. In naher Zukunft könnten diese Konzepte Vorzug erhalten vor billigen, aber angreifbaren Lösungen.

Im industriellen Umfeld haben das bereits viele Halbleiterhersteller erkannt. Sie integrieren zunehmend kosten- und energieeffiziente Hardware-Beschleuniger und sichere Speicher- und Ausführungseinheiten in ihre Komponenten, und erhalten so ein Alleinstellungsmerkmal im enger werdenden Markt der Mikrocontroller.

Die Sicherheit vernetzter Endgeräte ist nicht nur für Verbraucher von Interesse, sondern wird zunehmend zu einer Angelegenheit von nationalem Interesse.

 

EU setzt auf freiwillige Cyber-Sicherheitszertifizierung

Die EU beabsichtigt, ab 2019 eine Cyber-Sicherheitszertifizierung auf freiwilliger Basis einzuführen. Ein wesentlicher Punkt ist dabei der Ansatz von „Security by Design“ in kostengünstigen, digitalen, vernetzten Massenprodukten. Dass diese „eingebauten Sicherheit“ besonders für den Datenschutz im Internet der Dinge unerlässlich ist, darüber gibt es mittlerweile einen weitreichenden Konsens im Markt.

Die EU-Zertifizierung sieht je nach Nutzung – Geräte für Verbraucher oder kritische Infrastruktur – verschiedene Gewährleistungsstufen vor. Diese geben Aufschluss darüber, wie streng die durchlaufenen Sicherheitsprüfungen sind. Die Zertifizierung soll durch einen unabhängigen Anbieter erfolgen.

 

UL Cybersicherheitsservices um sichere Produkte ausliefern zu können sowie als Vorbereitung für die EU-Zertifizierung

UL bietet bereits heute UL Cybersecurity Services (UL CSS) an. Damit unterstützt UL Hersteller über den gesamten Softwarelebenszyklus, angefangen beim Design bis hin zur Zertifizierung. Die Hersteller können dabei diejenigen Module nutzen, die sie gerade benötigen, von Sicherheitsarchitekturen über Evaluierungen und Testen gegenüber vom Hersteller, Partnern in der Supply-Chain oder Standards festgelegten Anforderungen. Die Komponenten sind dabei untereinander abgestimmt und erlauben auch, wenn der Hersteller es benötigt, den einfachen Übergang zu einer Sicherheitszertifizierung.

UL unterstützt Hersteller und Zulieferer mit folgenden Cybersicherheitsservices:

Beratung

  • Strategische Beratung zur digitalen Identität, Authentifizierung und Autorisierung
  • Überprüfung der Cybersicherheitsstrategie
  • Bedrohungsmodellierung und Risikomanagement
  • Sicherheits- und Risikoanalyse
  • Datenschutz- und Datenschutzfolgenabschätzungen
  • Design-Reviews und Build-Support
  • Bedrohungsintelligenz
  • Informationssicherheit (ISO 27001)

Sicherheitstests und Auditing

  • Penetrationstests von vernetzten Produkten und Infrastruktur
  • White Box-, Grey Box- und Black Box-Testing
  • SPA-, DPA- und EM-Tests
  • Fuzz-Test
  • Mobile Anwendungstests
  • Kontinuierliche Suche nach Schwachstellen
  • Prüfungsprogramme und Prüfungen für Finanzdienstleistungen und Zahlungsinfrastruktursicherheit
  • ePassport / eMRTD-Leser und Smartcard-Testtools
  • Algorithmusvalidierung auf die verwendete Kryptographie
  • Audits zur Informationssicherheit (ISO 27000), sichere Produktionsanlagen, physische Sicherheitsaudits vor Ort und spezialisierte IT-Sicherheitsaudits

Zertifizierung

Im Rahmen des UL Cybersecurity Services (UL CSS) Angebots und damit verwandten Bereichen bietet UL:

  • Zertifizierung der Software-Cybersicherheit netzwerkfähiger Produkte nach dem UL 2900-1 Standard
  • FIPS (Federal Information Processing Standard) 140-2 und 201
  • Allgemeine Kriterien / ISO 15408
  • Die vollständige Palette der Sicherheitslösungen für die Zahlungsindustrie, wie sie in den EMVCO- und PCI-Standards definiert sind
  • Durchführung von Tests und Evaluierung auf Basis von Evaluierungsprogrammen, welche von Partnern in der Supply Chain vorgegeben und gefordert werden.
  • Sicherer Softwareentwicklungs-Lebenszyklus (S-SDLC)

 

Zertifizierung der Software-Cybersicherheit netzwerkfähiger Produkte nach dem UL 2900-1 Standard

Der UL 2900-1 Standard für Software-Cybersicherheit von netzwerkfähigen Produkten, Teil 1: Allgemeine Anforderungen, bewertet Software auf das Vorhandensein von Kontrollvorrichtungen für Sicherheitsrisiken in ihrer Architektur und ihrem Design und verwendet vorgeschriebene Testmethoden, um Schwachstellen, Softwaremängel und Malware zu bewerten.

UL 2900-1 wurde von UL auf der Grundlage eines vom US Department for Homeland Security beauftragten Forschungsprojekts entwickelt und wurde bereits in zwei Ländern zu einem nationalen Standard. UL 2900-1 ist der weltweit einzige generische Cybersecurity-Standard und deckt alle Sicherheitsaspekte ab, die netzwerkfähige Geräte im Cyberspace betreffen. Er ist effektiv und effizient.  Er ist effektiv, denn er gründet sich auf Forschungsarbeiten von UL, der Kooperation mit betroffenen Interessengruppen als auch über hundert Jahren Erfahrung im Aufbau von werthaltigen Standards: Er beinhaltet nicht weniger als das, was benötigt wird um eine Aussage über die Sicherheit netzwerkfähiger Geräte treffen zu können und um ein gewünschtes Sicherheitsniveau verlässlich erreichen zu können. UL 2900-1 ist für den praktischen Gebrauch konzipiert, was ihn effizient macht - im Gegensatz zum Einsatz von für andere Zwecke entwickelten Standards, welchen hohen Aufwand seitens der Hersteller erfordern und damit unnötige Kosten verursachen.

 

Software-Cybersicherheit netzwerkfähiger Produkte mit branchenspezifischen Anforderungen
Um den Anforderungen spezifischer Branchen gerecht zu werden, gibt es für den Basisstandard  UL 2900-1 branchenspezifische Erweiterungen, bezeichnet mit UL 2900-2-x.

UL 2900-2 ist eine Reihe von Standards für Software-Cybersicherheit von netzwerkfähigen Produkten mit branchenspezifischen Anforderungen und umfasst drei Teile:
Teil 2-1: Besondere Anforderungen für netzwerkfähige Komponenten von Gesundheitssystemen,

Teil 2-2: Besondere Anforderungen für industrielle Steuerungssysteme,

Teil 2-3: Besondere Anforderungen für Signal- und Sicherheitstechnik für Hersteller, Eigentümer und Integratoren. Weitere Standards dieser Art sind in Entwicklung.

 

UL 2900-Standard regelt auch das Patch-Management

Heute werden in IoT-Systemen Standard-Hardware genutzt. Ein Motherboard, wie es etwa in Notebooks verbaut wird, kommt auch für die programmierbare Steuerung in IoT-Komponenten zum Einsatz. Damit geht die Notwendigkeit von Patches einher.

Komponentenhersteller benötigen daher ein Patch-Management, das die Updates für seine Komponenten liefert. Dazu muss er entsprechende Systeme einrichten. Das Patch-Management ist ein Bestandteil der UL 2900 und regelt, wie ein Komponentenhersteller damit umgehen muss. Für den Kunden bedeutet das, er setzt ein Produkt ein, das in Zukunft weniger Probleme bereiten wird. Das stellt die Kontinuität sicher, was auch für einen Systemintegrator enorm wichtig ist.

 

UL Cybersecurity eBook

Um neue Schutzmaßnahmen zu schaffen in einer sich permanent verändernden Landschaft von Bedrohungen, ist auch Transparenz entscheidend. Wie sich diese realisieren lässt, zeigt das UL Cybersecurity eBook, welches das Cybersecurity Assurance Program vorstellt und die Anwendung des UL 2900-2-2 Standards für industrielle Steuerungssysteme aufzeigt.

Das eBook bietet darüber hinaus einen Überblick über allgemeine Cybersicherheitsrisiken von kritischen Infrastrukturindustrien und erläutert, warum es wichtig ist, die Sicherheit und Integrität der Software-Lieferkette zu validieren. Sie erfahren zudem, welche Schritte möglich sind, um potenzielle Schwachstellen zu mildern, die Software zuzuschreiben sind.

Möchten Sie mehr darüber erfahren, wie wir Sie im Bereich Cybersecurity unterstützen können, kontaktieren Sie unsere Experten.

Weitere UL Cybersecurity Lösungen: