ENISA formuliert grundlegende Sicherheitsanforderungen an IoT-Geräte

Die European Union Agency for Network and Information Security (ENISA) hat gemeinsam mit den Halbleiterherstellern Infineon, NXP und STMicroelectronics ein Grundlagenpapier zu Schlüsselbereichen der Cybersecurity vorgelegt. Trotz des allgemein gehaltenen Titels geht es darin vor allem darum, wie angesichts der raschen Zunahme von vernetzten Geräten schon beim Produktdesign für mehr Sicherheit im Internet der Dinge (IoT) gesorgt werden kann. Da viele der neuartigen Geräte, die vernetzt werden, keine Computer im klassischen Sinne sind und daher auch nicht mit den bekannten Verfahren abgesichert werden können, ist das Thema Embedded Security und da die Mitarbeit der Chip-Hersteller bei IoT besonders wichtig.

In ihrem Papier (PDF) skizzieren die EU-Agentur und die Chip-Fabrikanten grundlegende Sicherheitsanforderungen an IoT-Geräte, schlagen Mindeststandards vor und regen ein europäisches Zertifizierungsprogramm an. Ein nach erfolgreichem Abschluss der Zertifizierung vergebenes Gütesiegel soll – wohl in erster Linie Verbrauchern- schnell vermitteln, das ein Gerät bestimmte Mindestanforderungen erfüllt. Derartige Pläne sind nicht ganz neu. Bereits im vergangenen Jahr hatten EU-Parlamentarier vergleichbare Vorschläge gemacht und auch in den USA hatte die Handelsbehörde FTC darüber nachgedacht.

Aus Sicht von Herstellern ist eine derartige Zertifizierung und Siegelvergabe aber natürlich unerwünscht, könnte sie doch die Markteinführung neuer Produkte erheblich verzögern und unter Umständen mit viel Aufwand verbunden sein. Vorteil für die an der Ausarbeitung beteiligten europäischen Chip-Hersteller wäre möglicherweise, das Produkte mit von ihnen gelieferten Bauteilen aufgrund von Funktionen in diesen Bauteilen schon per se als zertifizierungsfähig eingestuft werden könnten und so der Zugang zum europäischen Markt für unliebsame Billigkonkurrenz erschwert würde.

Dem Papier zufolge benötigte IoT durchgängige Sicherheitskonzepte, die sowohl einfache Geräte erfassen, als auch komplexe Systeme. Als Beispiele für letzteres werden etwa vernetzte Fahrzeuge genannt. Neben den Sicherheitsvorkehrungen müssten aber auch Vorkehrungen getroffen werden, dass europäische Datenschutzregeln eingehalten werden oder überprüft werden können. In beiden Bereichen ist die Alliance for the Internet of Things Innovation (AIOTI) aktiv. Sie wurde Ende 2015 von der EU-Kommission ins Leben gerufen. Zu den 21 Gründungsmitgliedern gehören neben Infineon auch Siemens, Bosch, IBM, Huawei, Samsung, BT, Vodafone, Nokia und Telit.

Dem nun von der ENISA vorgelegten Grundlagenpapier zufolge sind für ein funktionierendes IoT-Ökosystem künftig aber auch Interoperabilitätstest erforderlich. Daneben sollten verpflichtende Referenzlevel für vertrauenswürdige IoT-Lösungen definiert werden und müsste die Branche sich Gedanken über die Skalierbarkeit von Sicherheitskontrollen machen, so dass die mit der rasch zunehmenden Anzahl an Geräten Schritt halten können. Außerdem müssten etablierte und bewährte Sicherheitsprozesse- und dienste dahingehend überprüft werden, ob sie den Anforderungen von IoT entsprechen und gegebenenfalls angepasst werden.

Tipp: Wie gut kennen Sie sich mit Prozessoren aus? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.