Gerätesicherheit sowohl in Europa als auch in den USA auf dem Radar

IoT-Geräte haben sich nahtlos in unsere technologische Landschaft und unser gesellschaftliches Gefüge integriert. Die Verbreitung von IoT-Geräten nimmt exponentiell zu, und weltweit sind bereits Milliarden davon in Wohnungen und an Arbeitsplätzen im Einsatz. Die Menschen sind von Sensoren, Aktoren und Routern umgeben, die kontinuierlich externe Reize beobachten, mit logischen Aktionen reagieren und Benachrichtigungen an die Benutzer weiterleiten. Um das Ausmaß dieses Phänomens zu verdeutlichen, gehen die Prognosen von Gartner von einem erheblichen Anstieg von 8,4 Milliarden vernetzten Geräten im Jahr 2017 auf voraussichtlich 20,4 Milliarden Geräte im Jahr 2020 aus, was mehr als das Dreifache der Weltbevölkerung entspricht.

Der European Cyber Resilience Act (CRA) schafft einen Rechtsrahmen, der die Anforderungen an die Cybersicherheit von Hardware- und Softwareprodukten mit digitalen Komponenten auf dem EU-Markt festlegt. Die Hersteller sind nun verpflichtet, der Sicherheit während der gesamten Lebensdauer ihrer Produkte Vorrang einzuräumen.

In der heutigen vernetzten Umgebung sind digitale Hardware- und Softwareprodukte sehr anfällig für Cyberangriffe. Eine Sicherheitsverletzung bei einem solchen Produkt kann weitreichende Folgen für ein ganzes Unternehmen oder eine Lieferkette haben, die Grenzen überschreiten und sich rasch auf den Binnenmarkt auswirken.

Vor der Verabschiedung des Europäischen Cyber Resilience Act haben die bestehenden Maßnahmen auf EU- und auf nationaler Ebene nicht ausgereicht, um die erkannten Probleme im Bereich der Cybersicherheit zu lösen. Dies führte zu einer zersplitterten Regulierungslandschaft im Binnenmarkt, die sowohl Hersteller als auch Nutzer verunsicherte und Unternehmen, die ähnliche Produkttypen herstellen, überflüssige Compliance-Verpflichtungen auferlegte.

Der grenzüberschreitende Charakter dieser Produkte unterstreicht die Notwendigkeit, zwei kritische Fragen zu klären:

Die weit verbreiteten Cybersicherheitslücken und die uneinheitliche Bereitstellung von Sicherheitsupdates deuten auf ein allgemein niedriges Cybersicherheitsniveau bei digitalen Produkten hin.

Das begrenzte Verständnis und der begrenzte Zugang zu relevanten Informationen durch die Nutzer, was sie daran hindert, fundierte Entscheidungen über die Produktauswahl und die sichere Nutzung zu treffen.

Unter bestimmten Bedingungen kann jedes Produkt mit digitalen Komponenten, das in größere elektronische Informationssysteme integriert oder mit diesen verbunden ist, als potenzieller Einstiegspunkt für böswillige Akteure dienen. Folglich können selbst scheinbar weniger kritische Hard- und Software erste Kompromittierungen erleichtern, indem sie Angreifern privilegierten Zugang zu Systemen verschaffen oder laterale Bewegungen in Netzwerken ermöglichen.

Nach Ansicht von Pier Giorgio Chiara:

Diese Perspektive, die an anderer Stelle als “unethisch” [20] bezeichnet wird, wird in dem Vorschlag der Ratingagentur anerkannt: “Durch den Schutz von Verbrauchern und Organisationen vor Cybersicherheitsrisiken sollen die in dieser Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen auch dazu beitragen, den Schutz personenbezogener Daten und der Privatsphäre des Einzelnen zu verbessern.” Fußnote 89. Mit anderen Worten: Cybersicherheit kann auch als ein instrumenteller Wert verstanden werden, der zur Wahrung grundlegender Werte wie der Grundrechte und -freiheiten und der physischen Sicherheit erforderlich ist.” (https://link.springer.com/article/10.1365/s43439-022-00067-6)

In den USA hat die Federal Communications Commission (FCC) eine freiwillige Initiative zur Kennzeichnung der Cybersicherheit von drahtlosen Produkten für das Internet der Dinge (IoT) gestartet. Dieses Programm, das als “U.S. Cyber Trust Mark” bekannt ist, soll das Bewusstsein der Verbraucher schärfen und die Hersteller zur Einhaltung strenger Cybersicherheitsstandards motivieren. Im Rahmen dieser Initiative werden qualifizierte intelligente Produkte ein Zeichen tragen, das die Einhaltung strenger Cybersicherheitskriterien anzeigt. Dadurch können die Verbraucher fundierte Kaufentscheidungen treffen, verlässliche Produkte auf dem Markt identifizieren und die Hersteller zur Einhaltung höherer Cybersicherheitsstandards motivieren.

 Zu den wichtigsten Merkmalen des Programms gehören:

• Anbringung des U.S. Cyber Trust Mark-Logos auf IoT-Produkten, die die Cybersicherheitsstandards des Programms erfüllen.
• Das Logo wird durch einen QR-Code ergänzt, der Informationen über die Sicherheitsmerkmale des Produkts, wie z. B. die Dauer des Supports und automatische Software-Updates, enthält.
• Die FCC beaufsichtigt die Durchführung des Programms, einschließlich der Bereitstellung von Leitlinien für die Verwendung von Etiketten und der Akkreditierung von Labors für Konformitätsprüfungen.
• Durchführung von Konformitätstests durch akkreditierte Labore, um die Einhaltung der Cybersicherheitsstandards zu gewährleisten.
• Sie umfasst eine breite Palette von IoT-Geräten, darunter Überwachungskameras, sprachgesteuerte Assistenten, mit dem Internet verbundene Geräte und Fitness-Tracker.

Darüber hinaus bittet die FCC die Öffentlichkeit um Beiträge zu potenziellen Offenlegungspflichten, z. B. zur Herkunft der Software eines Produkts aus Ländern mit nationalen Sicherheitsbedenken und zur Weiterleitung von Kundendaten an Server in solchen Ländern.

Diese Initiative befasst sich mit den zunehmenden Cybersicherheitsrisiken, die mit IoT-Geräten verbunden sind, da Prognosen zufolge bis 2030 Milliarden von vernetzten Geräten im Einsatz sein werden. Durch die Förderung von Transparenz und Verantwortlichkeit zielt das Programm darauf ab, das Vertrauen der Verbraucher in IoT-Produkte zu stärken und so für sicherere und zuverlässigere vernetzte Erfahrungen zu sorgen.

asvin begrüßt beide Regelungen, da es seit langem beobachtet, dass #Wirtschaftlichkeit und Bequemlichkeit eine zentrale Rolle bei Praktiken wie 0000- oder 1234-Passwörtern auf Geräten spielen, die, wie sowohl die CRA als auch die FCC betonen, in einer vollständig vernetzten Welt geschäftskritisch werden können. Die Leute scheinen immer noch zu denken, dass das Internet der Dinge ein Begriff aus dem Jahr 2000 ist, während es viel älter ist und auf die Automatisierung in den fünfziger Jahren, das Pervasive Computing in den 80ern, Ubicomp in den 90ern und Ambient Intelligence (2000) zurückgeht. Der Prozess der Konnektivität an sich ist schon lange im Gange.

asvin bietet eine sichere Lösung für Firmware-Updates für IoT-Geräte, die es Herstellern, Dienstanbietern und Endnutzerorganisationen ermöglicht, Geräte und deren Firmware effizient zu überwachen und Over-the-Air-Updates zu implementieren. Derzeit fungieren nicht behobene Schwachstellen in IoT-Geräten als Einstiegspunkte für verschiedene Cyberangriffe wie DDoS-Angriffe, Ransomware, Hijacking und Datendiebstahl. Die Aktualisierung unsicherer IoT-Systeme ist vergleichbar mit der Behandlung kranker Patienten. Es besteht eine wachsende Notwendigkeit, infizierte oder unsichere Geräte in der Internet-of-Things-Umgebung konsequent anzugehen.

Wir haben diese Konzentration auf das Gerät und die CE-Kennzeichnung bereits früher als den Zeitpunkt vorausgesagt, an dem neben der elektrischen Sicherheit auch Sicherheitsbelange berücksichtigt werden sollten.

In Europa haben wir auch die Kontrolle über die Infrastruktur (privatisiert) und die Datenplattformen (GAFA) verloren, und wir sind dabei, die Kontrolle über die KI zu verlieren, da es keine Datenseen und, was noch schlimmer ist, keine umfassende Vision für den digitalen Wandel gibt. Natürlich würden sowohl die Vereinigten Staaten als auch Europa besser abschneiden, wenn sie ihre eigenen kybernetischen Systeme aufbauen und die Kontrolle über die Identität (von Menschen, Waren, Gegenständen und Robotern) übernehmen würden. Die EU hat rasch eine mehrstufige Cybersicherheitspolitik entwickelt, die eine der wichtigsten Referenzen für die Problemlösung in der heutigen IoT-Welt sein sollte.

Dies kann bedeuten, dass bestehende Geräte von einer Art Agentur überwacht werden müssen. Im Idealfall finden die Sicherheitsprüfungen und die Aufklärung des Marktes zu dem Zeitpunkt statt, zu dem das Gerät auf die CE-Kennzeichnung geprüft wird, die die Konformität mit den Anforderungen in der EU anzeigt: “Um ein CE-Zeichen auf elektrischen Produkten anzubringen, die legal auf dem europäischen Markt verkauft werden sollen, muss ein Hersteller in der Lage sein, die Einhaltung der geltenden EU-Verordnungen und Richtlinien nachzuweisen, einschließlich der Niederspannungsrichtlinie (LVD) 2014/35/EU, der Maschinenrichtlinie 2006/42/EG, der Richtlinie über Medizinprodukte (MDD) 93/42/EWG und der Richtlinie über In-vitro-Diagnostika (IVDD) 98/79/EG.” (Band 2(1), 63-68. https://doi.org/10.46386/ijcfati.v2i1.36

(Die Cybersicherheitsaspekte neuer Entitäten erfordern eine kybernetische, ganzheitliche Perspektive Rob van Kranenburg, Gaelle Le Gars, https://theinternetofthings.eu/wp-content/uploads/2022/12/Cyberforensics_vankranenburg_legars.pdf)

Die Konzentration auf das Gerät ist nun zum Schwerpunkt der europäischen und US-amerikanischen Entscheidungsträger geworden. Das zeigt, wie ernst die Möglichkeiten des Internets der Dinge schließlich genommen werden. Wenn man in der Lage ist, aus allem, was mit KI angereichert ist, einen digitalen Zwilling zu machen, kommt der Moment, an dem das digitale Gegenstück des Zwillings beginnt, in der realen Welt zu agieren. Die Welt wird also hybrid. Und wo sind die Regeln für eine solche Welt? Sie müssen erst noch geschrieben werden. Deshalb ist die Konzentration der Politik auf das Gerät so logisch und zeitgemäß. Mit der Sicherheit auf Geräteebene betreten wir einen neuen Bereich, in dem sowohl die Industrie als auch die Politik eine wichtige Rolle zu spielen haben. Dies ist der Grund für unseren Device Security Booster. Der Device Security Booster von Asvin nutzt die inhärenten Eigenschaften der Distributed Ledger Technology (DLT), wie Dezentralisierung, Unveränderlichkeit, Smart Contracts, Konsens und Sicherheit, um die Integrität und das Vertrauen in IoT-Daten zu gewährleisten. Alle wichtigen Metadaten werden in einem verteilten Ledger gespeichert und durch Smart Contracts geregelt. Jedes Ereignis im Lebenszyklus eines IoT-Geräts, wie z. B. Geräteregistrierung, Firmware-Registrierung, Geräteaktualisierung, Firmware-Aktualisierung und Außerbetriebnahme, wird im verteilten Ledger aufgezeichnet. Diese Transaktionen werden mit Hashes verknüpft und in Blöcken gespeichert, die zusätzlich durch kryptografisches Hashing gesichert sind, wodurch die Sicherheit und Unveränderlichkeit des Ledgers gewährleistet wird. Wichtig ist, dass unsere Kunden die Flexibilität haben, DLT nach ihren Präferenzen zu integrieren. Die DLT-Integration ist eine optionale Funktion, und die Lösung funktioniert unabhängig von DLT. Wenn sich Kunden für eine DLT-Integration entscheiden, um die Transparenz und Rückverfolgbarkeit zu verbessern, können sie ihre bevorzugte DLT-Lösung wählen, da Device Security Booster DLT-unabhängig ist.

In der Regel veranstalten wir umfassende technische Workshops mit unseren Kunden, um ihre Einsatzumgebung zu erkunden und sie bei der Einrichtung des Device Security Boosters entsprechend ihrer bevorzugten Konfiguration zu unterstützen. Zu den wichtigsten Merkmalen der Bereitstellung des Device Security Booster vor Ort gehören:

Kontrolle: Die Kunden behalten die volle Kontrolle über ihre IT-Infrastruktur, einschließlich Hardware, Software, Sicherheitseinstellungen und Datenverwaltungsrichtlinien. Dies gibt ihnen die Möglichkeit, Geräte- und Firmware-Daten entsprechend ihren spezifischen Anforderungen zu überwachen.

Individuelle Anpassung: Die Vor-Ort-Bereitstellung ermöglicht die Anpassung der Infrastrukturkomponenten des Device Security Boosters, der Disaster-Recovery- und Backup-Strategien sowie der Bereitstellungszeiträume an die individuellen Anforderungen unserer Kunden.

Einhaltung von Vorschriften: Die Bereitstellung vor Ort bietet eine bessere Kontrolle über die Einhaltung von Vorschriften und Richtlinien sowie über die Datenverwaltung, wodurch sichergestellt wird, dass die Kunden die einschlägigen Standards und Vorschriften einhalten können.

 Integration: Es erleichtert die nahtlose Integration des Device Security Booster in bestehende Systeme und Verfahren vor Ort und gewährleistet eine harmonische Kompatibilität und Interoperabilität mit der aktuellen Infrastruktur unserer Kunden.

Es wird oft gesagt, dass die Regulierung die Innovation behindert, aber in diesem Fall handelt es sich um eine sehr willkommene Reihe neuer Regeln, die gleiche Wettbewerbsbedingungen für alle schaffen werden.