Was bringt der Standard ETSI EN 303 645 für die Sicherheit von Consumer-IoT-Produkten?
Einleitung
Risiken der Vernetzung
Vernetzte, über Internet erreichbare Geräte können jederzeit zum Ziel von Cyber-Angriffen werden. Diesem Risiko sind nicht nur Geräte in Industrieanlagen sondern auch Geräte im Consumer-Bereich ausgesetzt. Dies belegen die zahlreichen Meldungen über erfolgreiche Angriffe gegen DSL-Router, Türkameras, smarte Beleuchtungen oder sogar gegen vernetzte Sensoren in Aquarien.
Beim Einsatz von vernetzten Geräten in Industrieanlagen kann man mit einigem Recht erwarten, dass bei Auswahl, Konfiguration und Betrieb solcher Geräte mit professionellem Anspruch gearbeitet wird. Ein Unternehmen kann sich zudem Sicherheitseigenschaften von eingekauften Geräten auch vertraglich zusichern lassen. Daneben gibt es etablierte Standards und zugehörige Zertifizierungen wie zum Beispiel ISA/IEC 62443 (Security of Industrial Automation and Control Systems), dessen Teile 4-1 und 4-2 sich mit den Sicherheitseigenschaften von Komponenten in industriellen Automatisierungssystemen beschäftigen [1].
Die oben aufgeführten Bedingungen sind im Consumer-Bereich nicht gegeben. Weder hat der einzelne Verbraucher die Marktmacht um sich Sicherheitseigenschaften vertraglich zusichern zu lassen, noch kann man von ihm eine professionelle Expertise bei Auswahl, Konfiguration und Betrieb von vernetzten Geräten erwarten.
Consumer-IoT-Produkte werden aber nicht nur im Consumer-Bereich (z.B. im Smart Home) eingesetzt, sondern können auch im betrieblichen Umfeld eine Rolle spielen. So wird man vernetzte Kaffemaschinen wahrscheinlich nicht nur in Heimnetzen sondern auch in nachlässig administrierten Firmennetzen antreffen. Vernetzte Consumer-Geräte können daher ein Sicherheitsrisiko nicht nur im Consumer-Umfeld sondern auch im betrieblichen Umfeld darstellen.
Produktsicherheit ist nicht IT-Sicherheit
Der regulatorische Rahmen für die Produktsicherheit in der Welt der Dinge, wie z.B. das Produktsicherheitsgesetz und dessen konkretisierende Verordnungen, ist gar nicht oder nur eingeschränkt auf die IT-Sicherheit in der Cyber-Welt übertragbar (eine ausführlichere Diskussion der Thematik findet man z.B. in [2]). So kann sich z.B. der Besitzer eines mit CE- und GS-Kennzeichnung versehenen Kühlschranks darauf verlassen, dass er keinen Stromschlag erhält, solange er die Kühlschranktür in bestimmungsgemäßer und vorhersehbarer Weise öffnet. Gleichzeitig kann der vernetzte Kühlschrank jedoch Teil eines weltumspannenden Botnetzes sein, und zusammen mit weiteren infizierten Geräten Schäden im Millionenhöhe verursachen, ohne dass dies seine CE- und GS-Kennzeichnung tangieren würde.
Die Sicht der Politik
Die von vernetzten Consumer-IoT-Geräten ausgehenden Risiken sind mittlerweile auch von der Politik zur Kenntnis genommen worden. Im “Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme” (auch bekannt als IT-Sicherheitsgesetz 2.0), das im Dezember 2020 von der Bundesregierung zur Kommentierung veröffentlicht wurde, widmen sich zwei Maßnahmen dieser Thematik [3]. Zum einen soll der Verbraucherschutz im Bereich der Informationssicherheit ein zusätzliches Aufgabenfeld des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden. Des weiteren soll das BSI die Voraussetzungen für ein IT-Sicherheitskennzeichen schaffen, um die Sicherheitseigenschaften von Produkten für den Verbraucher sichtbar zu machen.
Der ETSI-Sicherheitsstandard
Einen vergleichbaren Ansatz verfolgt die europäische Standardisierungsorganisation ETSI (European Telecommunications Standards Institute) mit dem bereits im Juni 2020 verabschiedeten Standard “ETSI EN 303 645, Cyber Security for Consumer Internet of Things: Baseline Requirements” [4]. Der Standard wird ergänzt durch die aktuell noch als Draft vorliegende Spezifikation “ETSI TS 103 701, Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements” [5]. Die letzt genannte Spezifikation definiert Testfälle und Kriterien zur Bewertung der Testergebnisse. Beide Dokumente bilden zusammen die Grundlage für die Vergabe von Sicherheitszertifikaten durch akkreditierte Zertifizierungsstellen. Etablierte Player auf diesem Markt bieten solche Zertifizierungen bereits an, siehe z.B. [6] und [7].
Die Details des ETSI-Standards werden im nachfolgenden Abschnitt beschrieben.
Die Sicherheitsanforderungen in ETSI 303 645
Struktur der Anforderungen
Der Standard definiert insgesamt 67 einzelne Sicherheitsanforderungen. Diese sind in 14 Gruppen aufgeteilt. Es würde den Rahmen dieses Blogbeitrags sprengen, alle 67 Anforderungen im Einzelnen zu beschreiben. Deshalb werden weiter unten nur die Gruppen und exemplarisch einige wenige Einzelanforderungen beschrieben.
Die Anforderungen werden danach unterschieden, ob sie verpflichtenden oder empfehlenden Charakter haben und ob sie universell für alle Gerätetypen oder nur für bestimmte Implementierungsvarianten gelten. Eine Implementierungsvariante stellen z.B. die sogenannten “Constrained Devices” dar, die typischerweise batteriebetrieben und durch geringe Rechenleistung und geringe Kommunikationsbandbreiten gekennzeichnet sind. Solche Geräte unterstützen typischerweise keine rechenintensiven kryptographischen Funktionen oder keine Software-Updates.
Es werden somit folgende 4 Anforderungsvarianten unterschieden:
- Verpflichtende Anforderungen, die für alle Geräte gelten
- Anforderungen mit Empfehlungscharakter, die für alle Geräte gelten
- Verpflichtende Anforderungen, die für bestimmte Implementierungsvarianten gelten
- Anforderungen mit Empfehlungscharakter, die für bestimmte Implementierungsvarianten gelten
Die Anforderungsgruppen
1. Keine universellen Standardpasswörter
Die Anforderungen in dieser Gruppe beschäftigen sich mit der in der Vergangenheit immer wieder beobachteten Problematik, dass Geräte mit der Standardeinstellung des Herstellers und bekannten Passwörtern in Betreib genommen wurden.
2. Meldeprozesse für Sicherheitslücken und aktives Sicherheitsmonitoring
Es wird vom Gerätehersteller gefordert, dass er einen Prozess implementiert, über den Sicherheitslücken gemeldet werden können, und der zudem sicherstellt, dass Lösungen im angemessenen Zeitrahmen (90 Tage) entwickelt werden. Der Gerätehersteller ist zudem aufgefordert, selbst aktives Sicherheitsmonitoring zu betreiben, indem er z.B. Meldungen über Sicherheitslücken in Software-Komponenten, die in seinem Gerät verwendet werden, verfolgt.
3. Software-Updates
Die Software-Komponenten eines Geräts müssen updatefähig sein. Die Update-Mechanismen müssen zudem sicher sein, um zu verhindern, dass Schadsoftware per Software-Update auf ein Gerät gelangen kann.
4. Sichere Speicherung von kritischen Sicherheitsparametern
Kritische Sicherheitsparameter, wie z.B. Geräteidentitäten oder geheime Schlüssel müssen sicher gegen Ausleseversuche oder Manipulation im Gerät gespeichert werden. Lösungsansätze sind unter dem Oberbegriff “HW based Root of Trust” bekannt und verwenden HW-Elemente wie z.B. Secure Elements, TPM, TEE, etc.
5. Sichere Kommunikation
Geräte müssen verschlüsselt kommunizieren unter Verwendung von kryptographischen Verfahren, die als „Best Practice“ gelten.
6. Minimierung von Angriffsflächen
Ein Gerät muss möglichst wenig Angriffsfläche bieten, z.B. durch physikalisches Entfernen oder logisches Deaktivieren von Schnittstellen, die nur während der Geräteentwicklung benötigt wurden (Debug-Ports, Netzwerkschnittstellen, etc.).
7. Integrität der Software
Ein IoT-Gerät muss sich gegen Schadsoftware schützen, indem es die Integrität seiner Software prüft. Ein bekannter Schutzmechanismus ist z.B. “Secure Boot” im Zusammenspiel mit “Hardware based Root of Trust”.
8. Sicherheit von personenbezogenen Daten
Personenbezogene Daten sind besonders schutzbedürftig. Solche Daten dürfen nur verschlüsselt übertragen werden. Die Fähigkeit eines Geräts, solche Daten zu erfassen, z.B. durch eingebaute Kameras oder Mikrofone, muss dokumentiert und für den Benutzer erkennbar sein.
9. Resilienz gegen Ausfälle
IoT-Geräte müssen damit umgehen können, dass Strom oder Netzwerke ausfallen. Zum Beispiel indem sie bei einem Netzwerkausfall ihre lokale Funktion aufrecht erhalten oder nach einem Stromausfall selbstständig in einen fehlerfreien Betriebszustand zurückkehren.
10. Überwachung von Telemetriedaten
Wenn ein Gerät Telemetriedaten erfasst (Sensor-Messwerte, Nutzungsdaten oder sonstige Logdaten), dann sollen solche Daten auch zum Erkennen von Anomalien verwendet werden. Anomalien können aus Cyber-Angriffen oder auch aus fehlgeschlagenen Wartungsaktionen (z.B. fehlerhafte Software-Updates) resultieren.
11. Einfache Löschung von Benutzerdaten
Ein Gerät muss einfach handhabbare Mechanismen zur Verfügung stellen, mit denen Benutzerdaten (Konfigurationsdaten, Passwörter, etc.) gelöscht werden können. Der Bedarf, solche Daten zu löschen, entsteht z.B. beim Beenden eines Mietvorgangs, beim Verkauf oder bei der Entsorgung von Geräten.
12. Einfache Installation und Wartung
Verfahren zur Installation und Wartung von Geräten müssen möglichst einfach gestaltet sein, z.B. in Form von Installationswizzards oder automatischen Prüfverfahren, mit denen die Sicherheit der Gerätekonfiguration überprüft werden kann.
13. Validierung von Eingabedaten
Sämtliche Eingabedaten, die ein Gerät über Benutzerschnittstellen, APIs oder Netzwerkprotokolle erreichen, müssen validiert werden.
14. Datenschutz
Der Gerätehersteller muss seine Kunden darüber informieren, welche personenbezogenen Daten von einem Gerät erfasst, gespeichert oder übertragen werden. Der Kunde muss die Verwendung dieser Daten expizit gestatten (duch Opt-in) und er muss dies auch jederzeit widerrufen können. Für personenbezogene Telemetriedaten gilt das Minimalitätsprinzip.
Bewertung
Fortschritt gegenüber Status Quo
Der Standard ETSI 303 645 stellt Basisanforderungen an die Sicherheit von Consumer-IoT-Geräten. Für die Entwicklung des Standards wurden unterschiedliche Quellen herangezogen, so dass er den derzeitigen Stand der Technik repräsentiert. Viele Geräte, die sich heute bereits im Markt befinden, dürften diese Anforderungen gar nicht oder nur zum Teil erfüllen. Insofern ist dieser Standard ein wesentlicher Fortschritt gegenüber dem Status Quo.
Freiwilligkeit und Marktakzeptanz
Der Ansatz des ETSI-Standards wie auch des eingangs erwähnten Entwurfs des IT-Sicherheitsgesetzes 2.0 beruht auf freiwilliger Zertifizierung. Ob diese freiwillige Zertifizierung vom Markt tatsächlich angenommen wird, kann zum jetzigen Zeitpunkt nicht vorhergesagt werden. Wird der Verbraucher Geräte mit Sicherheitszertifikat bevorzugen, etwa indem er auch bereit ist, dafür einen höheren Preis zu akzeptieren, oder greift er im Zweifelsfall doch lieber zum Billiggerät aus dubioser Quelle? Es bleibt abzuwarten, ob Freiwilligkeit, ohne gesetzlichen Zwang, tatsächlich ausreicht, um mehr Sicherheit in die Consumer-IoT zu bringen.
Ansatzpunkte zur Weiterentwicklung
Das ETSI-Zertifizierungsschema betrachtet Geräte weitgehend losgelöst von deren Einsatzbereich. Die kritische Fragestellung ist jedoch ob das absolute Sicherheitsniveau eines Geräts dem angedachten Einsatzzweck angemessen ist. So könnte z.B. ein batteriebetriebener Aktor mit rudimentären Sicherheitsmechanismen ein Sicherheitszertifikat erhalten, da er als Constrained Device eingestuft wurde. Wenn dieser Aktor jedoch für das Öffnen einer Haustür zuständig ist, dann kann er trotz Zertifikat in dieser Aufgabe ein Sicherheitsrisiko darstellen. Das Zertifikat könnte den Verbraucher somit in trügerischer Sicherheit wiegen. Längerfristig werden Sicherheitszertifizierungen sich also weiterentwickeln müssen, etwa indem man stärker nach Gerätekategorien oder Einsatzszenarien differenziert oder indem man das absolute Sicherheitsniveaus eines Geräts zertifiziert. Im letzt genannten Fall könnte der Verbraucher sich dann überlegen, ob der Aktor mit Sicherheitsstufe B für das Öffnen der Haustür passend ist, oder ob er für diese Aufgabe nicht doch lieber einen Aktor der Sicherheitsstufe A+ nehmen sollte.
Literatur
[1] International Society of Automation (ISA): Global Cybersecurity Alliance: “Quick Start Guide: An Overview of ISA/IEC 62443 Standards”, June 2020, https://gca.isa.org/isagca-quick-start-guide-62443-standards, abgerufen am 19.3.2021
[2] Sönke Voss: Sicherheit von IKT- und IoT-Produkten, https://www.weingarten.ihk.de/innovation/e-commerce-und-e-business/it-sicherheit-in-unternehmen/sicherheit-von-iot-produkten-3579644, abgerufen am 12.3.2021
[3] Bundesministerium des Innern, für Bau und Heimat (BMI): Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0), https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html, abgerufen am 12.3.2021
[4] ETSI EN 303 645, Cyber Security for Consumer Internet of Things: Baseline Requirements, V2.1.1 (2020-06) https://www.etsi.org/deliver/etsi_en/303600_303699/303645/02.01.01_60/en_303645v020101p.pdf, abgerufen am 15.3.2021
[5] Draft ETSI TS 103 701, Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements, V0.0.7 (2021-03), https://docbox.etsi.org/CYBER/CYBER/Open/Latest_Drafts/CYBER-0050v007-TS103701-Cybersecurity-assessment-for-consumer-IoT-product.pdf, abgerufen am 16.4.2021
[6] VDE Institut: Neue VDE Prüfungen nach ETSI EN 303 645 für mehr Sicherheit im Internet der Dinge, https://www.vde.com/tic-de/news/2020/vde-pruefungen-nach-etsi, abgerufen am 26.4.2021
[7] 7layers: Zertifizierung von IoT-Geräten nach ETSI EN 303 645, https://www.7layers.com/zertifizierungen/zertifizierung-von-iot-geraeten-nach-etsi-en-303-645/, abgerufen am 26.4.2021
Bildquelle
Bild smart-home-3096219 von Gerd Altmann auf Pixabay