Sie sind hier: Home » Markt » Hinweise & Tipps

Schlüsselelemente der IoT-Sicherheitsvorschriften


Bereit oder nicht: Die neuen IoT-Sicherheitsvorschriften kommen
In den Vereinigten Staaten wurde 2020 der IoT Cybersecurity Improvement Act verabschiedet und das National Institute of Standards and Technology (NIST) wurde mit der Erstellung eines Standards für IoT-Geräte beauftragt



Von Lothar Geuenich, VP Central Europe / DACH bei Check Point Software Technologies

Nicht nur im privaten Bereich, auch in der Industrie sind immer mehr Geräte mit dem Internet verbunden. Die Produktion wird dadurch effizienter und zunehmend automatisiert, was Kosten und Arbeitsaufwand spart. Das Internet der Dinge (IoT – Internet of Things) breitet sich daher rasant aus und die Zahl der angeschlossenen Geräte steigt in hohem Maße. Aber mit der wachsenden Abhängigkeit von IoT-Geräten ist der Bedarf an starken Cyber-Sicherheitsmaßnahmen noch dringender geworden. Das haben die Gesetzgeber erkannt. Um die wichtigen Daten zu schützen, die auf diesen Geräten gespeichert sind, haben Regierungen auf der ganzen Welt Vorschriften eingeführt, um die Standardsicherheit von IoT-Geräten zu verbessern. Worauf gilt es dabei achten? Ein Blick in die Regularien hilft.

IoT-Cyber-Sicherheitsvorschriften in der EU und den USA
In den Vereinigten Staaten wurde 2020 der IoT Cybersecurity Improvement Act verabschiedet und das National Institute of Standards and Technology (NIST) wurde mit der Erstellung eines Standards für IoT-Geräte beauftragt. Im Mai 2021 verabschiedete die Regierung Biden eine Durchführungsverordnung zur Verbesserung der nationalen IT-Sicherheit. Im Oktober 2022 wiederum veröffentlichte das Weiße Haus dann ein Merkblatt zur Einführung eines Kennzeichens für IoT-Geräte, beginnend mit Routern und Heimkameras, um deren Sicherheitsniveau anzugeben und auf einen Blick ersichtlich zu machen.

In der Europäischen Union hat das Europäische Parlament das Cybersecurity Act und das Cyber Resilience Act eingeführt, welche den Herstellern mehrere Anforderungen auferlegen, bevor ein Produkt die CE-Kennzeichnung erhalten und auf den europäischen Markt gebracht werden kann. Dazu gehören Phasen der Bewertung und Berichterstattung sowie der Umgang mit Cyber-Angriffen oder Schwachstellen während des gesamten Produktlebenszyklus. Die Allgemeine Datenschutzverordnung (DSGVO) gilt auch für Unternehmen, die in der EU tätig sind, und verpflichtet sie zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

Um die Vorschriften einzuhalten, müssen Hersteller die folgenden Schlüsselelemente implementieren:
>> Software-Aktualisierungen: Die Hersteller müssen die Möglichkeit von Firmware-Updates anbieten und die Gültigkeit und Integrität der Updates, insbesondere von Sicherheits-Patches, garantieren.

>> Schutz der Daten: Die Vorschriften folgen dem Konzept der "Datenminimierung", d. h. es werden nur die notwendigen Daten mit Zustimmung des Nutzers erhoben, aber sensible Daten werden sicher und verschlüsselt gespeichert.

>> Risikobewertung: Die Entwickler müssen in der Entwurfs- und Entwicklungsphase und während des gesamten Lebenszyklus des Produkts ein Risiko-Management betreiben, einschließlich der Analyse von CVEs (Common Vulnerabilities and Exposures) und der Veröffentlichung von Patches für neue Sicherheitslücken.

>> Gerätekonfiguration: Die Geräte müssen mit einer standardmäßigen Sicherheitskonfiguration freigegeben werden, bei der gefährliche Komponenten entfernt, Schnittstellen bei Nichtgebrauch geschlossen und die Angriffsfläche für Prozesse durch das "Prinzip der geringsten Berechtigung" minimiert werden.

>> Authentifizierung und Autorisierung: Dienste und Kommunikation müssen eine Authentifizierung und Autorisierung erfordern, mit Schutz gegen Brute-Force-Angriffe bei der Anmeldung und einer Richtlinie für die Komplexität von Passwörtern.

>> Gesicherte Kommunikation: Die Kommunikation zwischen IoT-Assets muss authentifiziert und verschlüsselt sein und sichere Protokolle und Ports verwenden.

Die Einhaltung dieser Vorschriften kann jedoch aufgrund ihrer Komplexität eine Herausforderung darstellen. Um den Prozess zu vereinfachen, wurden verschiedene Zertifizierungen und Standards wie UL MCV 1376, ETSI EN 303 645, ISO 27402 und NIST.IR 8259 eingeführt, um die Vorschriften in praktische Schritte zu zerlegen.

Unternehmen, die ihre IoT-Geräte gegen akute Gefahren wappnen wollen, sollten daher Lösungen verwenden, die ihre Geräte mit minimalem Aufwand sichern und einen Risikobewertungsdienst umfassen, der in ein IoT-Gerät eingebettet werden kann. So kann ein Gerät über seine gesamte Laufzeit gegen IT-Bedrohungen geschützt werden. Im besten Fall sollte die Lösung minimale Ressourcen erfordern und in ein Produkt integriert werden können, ohne dass der Code geändert werden muss. Auf diese Weise können IoT-Geräte sicher betrieben und alle ihre Vorteile ausgeschöpft werden. (Check Point Software Technologies: ra)

eingetragen: 03.04.23
Newsletterlauf: 24.07.23

Check Point Software Technologies: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Whistleblower erfahren erstmals Rechtsschutz Und plötzlich unterliegt das File der DSGVO

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen