IoT und Cybersicherheit in den USA: Die Empfehlungen der Reihe NISTIR 8259

IoT und Cybersicherheit in den USA: Die Empfehlungen der Reihe NISTIR 8259

Einleitung

Weltweit beschäftigen sich Standardisierungsorganisationen und staatliche Institutionen mit der Entwicklung und Etablierung von Empfehlungen und Standards zur Sicherheit von IoT-Geräten. Eine Übersicht der internationalen Aktivitäten findet man z.B. in [1] [2].

Ein wichtiger Akteur in den USA ist das “National Institute of Standards and Technology” (NIST). Das NIST ist eine amerikanische Bundesbehörde, die dem Handelsministerium (U.S. Department of Commerce) zugeordnet ist. Die jüngste Entwicklung des NIST zur Sicherheit von IoT-Geräten ist eine Reihe von Empfehlungen, die unter dem Kürzel NISTIR 8259 veröffentlicht wurden. Die Reihe richtet sich vornehmlich an Gerätehersteller und zielt auf deren Beitrag zur Cybersicherheit von IoT-Geräten ab.

Mit der Verabschiedung des sogenannten “IoT Cybersecurity Improvement Act of 2020” durch die amerikanische Gesetzgebung hat diese Dokumentenreihe den Rang eines Sicherheitsstandards für den Einsatz von IoT-Geräten in amerikanischen Regierungsbehörden gewonnen, und ist damit für einen wichtigen Teil des amerikanischen IoT-Marktes maßgebend. Einige Marktbeobachter erwarten, dass die Sicherheitsvorgaben für diesen Markt auch ausstrahlende Wirkung auf weitere Marktsegmente haben werden.

Es ist daher den Aufwand wert, Inhalt und Status der Dokumentenreihe NISTIR 8259 einmal genauer unter die Lupe zu nehmen.

Übersicht

Die Reihe der Veröffentlichungen basiert auf drei grundlegenden Konzepten:

Gerätezentrierung (Device-centricity):
Die Empfehlungen konzentrieren sich auf die sicherheitsrelevanten Eigenschaften von IoT-Geräten und diesbezügliche Maßnahmen der Gerätehersteller. Eigenschaften der umgebenden Systeme oder der betreibenden Organisationen sind zwar für die Cybersicherheit mindestens genauso wichtig, befinden sich jedoch außerhalb des Einflussbereichs von Geräteherstellern.

Fokus auf Cybersicherheit:
Die Empfehlungen konzentrieren sich auf den Aspekt der Cybersicherheit. Andere Anforderungen, die zur Vertrauenswürdigkeit von IoT-Geräten beitragen, wie z.B. Zuverlässigkeit, funktionale Sicherheit, Datenschutz, etc. liegen nicht im Fokus der Standardreihe.

Minimale Sicherbarkeit (Minimal Securability):
Ein Hersteller wird niemals sämtliche Bedrohungen, denen ein Gerät bei einem Kunden ausgesetzt sein wird, vorhersehen können. Dementsprechend wird er auch keine absolute Sicherheit gegen sämtliche Cyberbedrohungen gewährleisten können. Er kann jedoch in Kenntnis seiner Zielkunden und deren Use Cases das Gerät mit Funktionen bzw. Features ausstatten, die es dem Kunden ermöglichen, das Gerät wenigstens gegen bekannte Bedrohungen abzusichern. Zum Beispiel durch die Möglichkeit, Zugriffsrechte nach dem Least Privilege-Prinzip zu vergeben, sichere Passwörter zu verwenden oder Daten mit sicheren Verfahren zu verschlüsseln. Aufgabe des Herstellers ist es daher, eine minimale Sicherbarkeit des Geräts zu gewährleisten.

Die nachfolgende Tabelle gibt einen Überblick über die einzelnen Empfehlungen innerhalb der Reihe sowie ausgewählte weitere Veröffentlichungen, die mit NISTIR 8259 in Verbindung stehen.

Kürzel
[Quelle]

Titel

Aktueller Status

Adressaten

Inhalt

NISTIR 8259
[3]

Foundational Cybersecurity Activities for IoT Device Manufacturers

verabschiedet
(Mai 2020)

Gerätehersteller

Beschreibt 6 Aktivitäten, die von Geräteherstellern unternommen werden sollten, um die Sicherheit ihrer IoT-Produkte zu verbessern.

NISTIR 8259A
[4]

IoT Device Cybersecurity Capability Core Baseline

verabschiedet
(Mai 2020)

Gerätehersteller

Beschreibt grundlegende technische Leistungsmerkmale von sicheren IoT-Geräte.

NISTIR 8259B
[5]

IoT Non-Technical Supporting Capability Core Baseline

Draft
(Dez. 2020)

Gerätehersteller

Beschreibt nicht-technische Leistungsmerkmale, die von Geräteherstellern im Rahmen von unterstützenden Prozessen zu erbringen sind.

NISTIR 8259C [6]

Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline

Draft
(Dez. 2020)

Gerätehersteller

Beschreibt den Prozess, mit dem individuelle technische und nicht-technische Leistungsprofile aus den Empfehlungen abgeleitet werden können.

NISTIR 8259D
[7]

Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government

Draft
(Dez. 2020)

Gerätehersteller

Technisches und nicht-technisches Leistungsprofil für IoT-Geräte, die in Regierungsbehörden eingesetzt werden.

Weitere Veröffentlichungen mit Bezug zu NISTIR 8259 (Auswahl)

NISTIR 8228
[8]

Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks

verabschiedet
(Juni 2019)

IT-Verantwortliche in bundesstaatlichen Behörden und anderen Institutionen

Einführung in die typischen Merkmale von IoT-Geräten, deren Sicherheits- und Datenschutzrisiken, klassische Maßnahmen zur Risikominderung sowie die spezifischen Herausforderungen bei der Maßnahmenumsetzung in IoT-Geräten.

NIST SP 800-213
[9]

IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements

Draft
(Dez. 2020)

IT-Verantwortliche in bundesstaatlichen Behörden

Allgemeine Empfehlungen zur Identifikation von Risiken und zur Ableitung von Sicherheitsanforderungen an IoT-Geräte.

NISTIR 8259: Sicherheitsorientierte Aktivitäten von IoT-Geräteherstellern

Die Empfehlung unterscheidet zwischen Aktivitäten, deren Fokus in der Entwicklungsphase (pre-market), und solchen, deren Fokus in der Nutzungsphase (post-market) liegt.

Aktivitäten mit Pre-Market-Fokus:

  • Kunden und deren Use Cases identifizieren.
  • Sicherheitsanforderungen der Kunden analysieren.
  • Sicherheitseigenschaften des IoT-Geräts bestimmen.
  • Benötigte Ressourcen und Prozesse planen.
    Diese Aktivität beschäftigt sich damit, wie die Sicherheitseigenschaften eines Geräts unterstützt werden können, z.B. durch die Auswahl passender HW- und SW-Plattformen oder durch den Einsatz von sicheren Entwicklungsverfahren.

Aktivitäten mit Post-Market-Fokus:

  • Strategie für die Kundenkommunikation festlegen.
    Dazu gehören z.B. Festlegungen zu verwendeter Terminologie, Informationsumfang, Kommunikationsrichtungen, Kommunikationskanälen oder die Absicherung gegen Falschinformationen.
  • Inhalte der Kundenkommunikation festlegen.
    Zu den Inhalten können z.B. gehören: Informationen über verwendete HW- und SW-Komponenten, Sicherheitseigenschaften des Geräts, erforderliche Umgebungsbedingungen, Supportbedingungen, Bereitstellung und Durchführung von SW-Updates, Festlegungen bzgl. End-of-Life, etc.

NISTIR 8259A: Technische Leistungsmerkmale

NISTIR 8259A definiert 6 grundlegende technische Lestungsmerkmale, die sichere IoT-Geräte enthalten sollten:

  • Identifizierbarkeit:
    Ein IoT-Gerät soll eindeutig physisch und logisch identifiziert werden können.
  • Konfigurierbarkeit:
    Die Gerätesoftware soll durch autorisierte Instanzen konfiguriert werden können.
  • Datensicherheit:
    Gespeicherte oder in Übertragung befindliche Daten sollen gegen nicht-autorisierte Zugriffe oder Veränderungen geschützt sein.
  • Gesicherte Schnittstellen:
    Der Zugriff auf lokale Schnittstellen oder Netzwerkschnittstellen und zugehörige Protokolle und Dienste soll nur autorisierten Instanzen möglich sein.
  • Software-Updates:
    Autorisierte Instanzen sollen die Gerätesoftware mittels sicherer und konfigurierbarer Update-Mechanismen aktualisieren können.
  • Transparenz des Sicherheitsstatus:
    Das IoT-Gerät soll in der Lage sein, Reports über seinen Sicherheitsstatus zu generieren und autorisierten Instanzen zugänglich zu machen.

NISTIR 8259B: Nicht-technische, unterstützende Leistungsmerkmale

Nicht-technische, unterstützende Leistungsmerkmale werden in NISTIR 8259B definiert. Sie zielen zum einen darauf ab, dass Gerätehersteller oder Integratoren in der Lage sein sollen, die Sicherheitseigenschaften von Geräten zu dokumentieren und Kunden in der sicheren Verwendung von Geräten zu schulen. Darüber hinaus sollen sie Geräte über den gesamten Lebenszyklus mit adäquaten Supportprozessen begleiten.

Im Einzelnen sollen Gerätehersteller in der Lage sein, folgende Leistungen für die von ihnen hergestellten IoT-Geräte zu erbringen:

  • Dokumentation der sicherheitsrelevanten Eigenschaften von Geräten
  • Annahme und Bearbeitung von sicherheitsbezogenen Kundenanfragen und Feedbacks
  • Weitergabe sicherheitsbezogener Informationen an Kunden (z.B. Informationen zu Sicherheitslücken oder SW-Updates)
  • Sensibilisierung des Sicherheitsbewusstseins bei Kunden und Schulung der Kunden zu Sicherheitsaspekten

NISTIR 8259C: Ableitung von konkreten Leistungsprofilen

Die Anforderungen in den Dokumenten 8259A und 8259B sind auf relativ hohem abstraktem Niveau angesiedelt. Sie sind für die unmittelbare Umsetzung oder eine Zertifizierung nicht geeignet, sondern bedürfen einer weiteren Konkretisierung, angepasst an die spezifischen Bedürfnisse eines Anwendungsbereiches (z.B. Organisation, Industriebranche). NISTIR 8259C beschreibt den Prozess, mit dem solche individuellen Profile erstellt werden können.

Ausgangspunkt des Prozesses ist die Sammlung aller sicherheitsrelevanten Dokumente für den betroffenen Anwendungsbereich. Das können z.B. gesetzliche Vorgaben oder branchenspezifische Standards sein. Diese Dokumente und die darin enthaltenen Anforderungen werden nach den oben beschriebenen Konzepten Gerätezentrierung, Cybersicherheit und minmale Sicherbarkeit gefiltert und schließlich in Eigenschaften von IoT-Geräten und Supportprozessen abgebildet. Die Dokumente 8259A und 8259B können in dem Prozess als Checkliste verwendet werden und geben gleichzeitig eine Ordnungsstruktur vor.

NISTIR 8259D: Das Sicherheitsprofil für Regierungsbehörden

NISTIR 8259D beschreibt ein Leistungsprofil für IoT-Geräte, die in Regierungsbehörden eingesetzt werden. Das Leistungsprofil wurde nach dem in 8259C beschriebenen Prozess entwickelt. Es konkretisiert die technischen und nicht-technischen Anforderungen aus den Empfehlungen 8259A und 8259B. Die in 8259A und 8259B definierten Leistungsmerkmale werden in untergeordnete Merkmale und zugehörige Fähigkeiten zerlegt. Dabei entstehen insgesamt ca. 40 untergeordnete Merkmale. Die Darstellung aller Merkmale würde den Rahmen dieses Beitrags sprengen. Als Beispiel soll hier nur die Zerlegung eines Leistungsmerkmals in konkretere Untermerkmale dargestellt werden.

Das technische Leistungsmerkmal Datensicherheit wird beispielsweise in folgende Untermerkmale und zugehörige Gerätefunktionen zerlegt:

  • Kryptographie
    • Kryptographische Funktionen mit angemessener Verschlüsselungstärke und Performance
    • Verifikation von digitalen Signaturen
    • Berechnung und Vergleich von Hashes
  • Schlüsselverwaltung
    • Schlüsseltausch
    • Generierung von Schlüsselpaaren
    • Sichere Speicherung von Schlüsseln
  • Sicherer Speicher
    • Bereinigung oder Löschung ausgewähler Speicherbereiche oder des ganzen Speichers

Status der Gesetzgebung zur IoT-Cybersicherheit

Die amerikanische Gesetzgebung ist traditionell eher zurückhaltend mit regulierenden Eingriffen in Märkte. Dies gilt auch für IoT-Geräte und deren Sicherheitseigenschaften. Die Zurückhaltung wird typischerweise damit begründet, dass Regulierung (bzw. Überregulierung) technische Innovationen behindern könnte. Man darf vermuten, dass einflussreiche Player aus der IT- und IoT-Industrie diese Zurückhaltung wohlwollend begleiten bzw. unterstützen. Eine kritische Sicht auf Gesetzgebungsprozesse zur Cybersicherheit, speziell auch zu dem hier behandelten “IoT Cybersecurity Improvement Act of 2020”, vermittelt z.B. [10].

Gesetze zur allgemeinen Sicherheit von IoT-Geräten wurden bis Ende 2020 nur von den Bundesstaaten Oregon und Kalifornien erlassen. Mit dem Gesetz “IoT Cybersecurity Improvement Act of 2020”, das im Dez. 2020 vom Präsidenten unterzeichnet wurde, hat man auf bundesstaatlicher Ebene einen ersten Schritt unternommen, um für amerikanische Regierungsbehörden als Einkäufer und Betreiber von IoT-Geräten einen verbindlichen Sicherheitsstandard zu schaffen [11].

Das Gesetz beauftragt das NIST, Standards und Empfehlungen für IoT-Geräte in Regierungsbehörden zu entwickeln. Regierungsbehörden dürfen ab Dez. 2022 keine IoT-Geräte einkaufen und keine diesbezüglichen Verträge verlängern, falls die Geräte die Anforderungen des NIST nicht erfüllen. Allerdings hält das Gesetz noch Hintertürchen offen, mit denen in Ausnahmefällen die Vorgaben des NIST umgangen werden können. Zu den Ausnahmen gehören Einsatzzwecke, die die nationale Sicherheit oder Forschung betreffen, und Geräte, die wirksame alternative Sicherheitsmechnismen enthalten.

Parallel zum Gesetzgebungsprozess hat das NIST die Empfehlungen der Reihe NISTIR 8259 vorgelegt. Die aktuell als Draft vorliegende Empfehlung NISTIR 8259D ermöglicht somit einen ersten Blick auf die Sicherheitseigenschaften, die IoT-Geräte zukünftig besitzen müssen.

Mit der Verabschiedung des Gesetzes ist die optimistische Erwartung verknüpft, dass die Sicherheitsvorgaben für IoT-Geräte in Regierungsbehörden auch auf andere Marktsegmente ausstrahlen werden [12]. Diese Erwartung gründet darauf, dass die Regierungsbehörden ein beträchtliches Einkaufsvolumen für IoT-Geräte und -Dienste repräsentieren. Gerätehersteller, die sowohl Regierungsbehörden als auch z.B. den Privatkundenmarkt bedienen, werden aus Wirtschaftlichkeitsgründen versuchen, mit demselben Gerätemodell beide Märkte zu bedienen. Die Erfüllung der Anforderungen für den Einsatz bei Regierungsbehörden könnte zudem in anderen Marktsegmenten als Gütesiegel angesehen werden.

Fazit

Die vom NIST definierten Leistungsmerkmale sind nicht neu und finden sich in dieser oder ähnlicher Form auch in den Standards und Empfehlungen anderer Organisationen wieder. Das ist nicht überraschend, da die Herausforderungen bzgl. Cybersicherheit weltweit ähnlich sind und es zwischen den verantwortlichen Organisationen einen Informationsaustausch gibt.

Die Strukturierung in übergeordnete Empfehlungen mit höherem Abstraktionsniveau (8259A, 8259B) und daraus abgeleitete konkrete branchen- oder organisationsspezifische Leistungsprofile (8259D) ist ein hilfreiches Mittel, um die Heterogenität solcher Leistungsprofile in Grenzen zu halten und deren Lesbarkeit und Vergleichbarkeit zu erhalten.

Ob Sicherheitsvorgaben für Regierungsbehörden tatsächlich die erhoffte ausstrahlende Wirkung auf andere Marktsegemente haben werden, ist nicht wirklich vorhersagbar. Da Sicherheitseigenschaften größtenteils in Software implementiert sind, kann man diese auch leicht mit einem eigenen Lizenzschlüssel verknüpfen und diesen Schlüssel mit einem Preisaufschlag verbinden. Das könnte dazu führen, dass Sicherheitsmechanismen, die im Markt mit Regierungsbehörden standardmäßig inkludiert sind, in anderen Märkten nur gegen Preisaufschlag vermarktet werden. Solche Marketingstrategien könnten für einzelne Hersteller lukrativ sein, aber der Verbreitung sicherer IoT-Gerät im Wege stehen.

Die gesetzlich vorgegebene Deadline vom Dez. 2022 könnte sich zudem als temporäres Konjunkturprogramm für unsichere IoT-Geräte erweisen. Nämlich dann, wenn Einkäufer sich noch rechtzeitig vor der Deadline mit IoT-Geräten eindecken, um die neuen, als lästig empfundenen Einkaufsvorschriften zu umgehen.

Trotzdem stellen die Sicherheitsanforderungen für neu zu beschaffende IoT-Geräte natürlich eine Verbesserung der Istsituation dar. Man muss dabei jedoch beachten, dass damit das Problem des Bestands an unsicheren Altgeräten nicht gelöst ist. Wenn man von einer Gerätelebensdauer von 5-10 Jahren ausgeht, werden Millionen von unsicheren IoT-Geräten noch für viele Jahre ein Sicherheitsrisiko darstellen. Viele davon werden als Schatten-IT in keinem Asset-Management-System erfasst sein und unterhalb des Radars der IT-Verantwortlichen eine ständige Gefahrenquelle darstellen. Diese Situation ließe sich z.B. dadurch entschärfen, dass die Gesetzgebung auch den Bestand an Altgeräten in den Fokus nimmt.

Quellen

[1] Cetome: “Panorama of IoT cyber security regulations across the world”, https://cetome.com/panorama, abgerufen am 27.8.2021

[2] Thales Group: “IoT Cybersecurity: regulating the Internet of Things”, June 2021, https://www.thalesgroup.com/en/markets/digital-identity-and-security/iot/inspired/iot-regulations, abgerufen am 27.8.2021

[3] Fagan M, Megas KN, Scarfone K, Smith M (2020): Foundational Cybersecurity Activities for IoT Device Manufacturers. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8259. https://doi.org/10.6028/NIST.IR.8259 , abgerufen am 27.8.2021

[4] Fagan M, Megas KN, Scarfone K, Smith M (2020) IoT Device Cybersecurity Capability Core Baseline. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8259A. https://doi.org/10.6028/NIST.IR.8259A , abgerufen am 27.8.2021

[5] Fagan M, Marron J, Brady KG, Jr, Cuthill BB, Megas KN, Herold R (2020) IoT Non-Technical Supporting Capability Core Baseline. (National Institute of Standards and Technology, Gaithersburg, MD), Draft NIST Interagency or Internal Report (IR) 8259B. https://doi.org/10.6028/NIST.IR.8259B-draft , abgerufen am 27.8.2021

[6] Fagan M, Marron, J, Brady KG, Jr, Cuthill BB, Megas KN, Herold R (2020) Creating a Profile Using the IoT Core Baseline and non-technical baseline. (National Institute of Standards and Technology, Gaithersburg, MD), Draft NIST Interagency or Internal Report (IR) 8259C. https://doi.org/10.6028/NIST.IR.8259C-draft , abgerufen am 27.8.2021

[7] Fagan M, Marron J, Brady KG, Jr, Cuthill BB, Megas KN, Herold R (2020) Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government (National Institute of Standards and Technology, Gaithersburg, MD), Draft NIST Interagency or Internal Report (IR) 8259D. https://doi.org/10.6028/NIST.IR.8259D-draft , abgerufen am 27.8.2021

[8] Boeckl K, Fagan M, Fisher W, Lefkovitz N, Megas K, Nadeau E, Piccarreta B, Gabel O’Rourke D, Scarfone K (2019) Considerations for Managing Internet of Things (IoT) Cybersecurity and Privacy Risks. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8228. https://doi.org/10.6028/NIST.IR.8228 , abgerufen am 27.8.2021

[9] Fagan M, Marron J, Brady KG Jr., Cuthill BB, Megas KN, Herold R (2020) IoT Device Cybersecurity Guidance for the Federal Government: An Approach for Establishing IoT Device Cybersecurity Requirements. (National Institute of Standards and Technology, Gaithersburg, MD), Draft NIST Special Publication (SP) 800-213. https://doi.org/10.6028/NIST.SP.800-213-draft , abgerufen am 27.8.2021

[10] J. Dempsey: “The New IOT Security Act Shows the Limits of Congressional Policymaking for Cybersecurity”, Dez. 2020, https://www.lawfareblog.com/new-iot-security-act-shows-limits-congressional-policymaking-cybersecurity , abgerufen am 27.8.2021

[11] Public Law 116-207 – IoT Cybersecurity Improvement Act of 2020, https://www.congress.gov/bill/116th-congress/house-bill/1668 , abgerufen am 27.8.2021

[12] S. Higginbotham: “Securing U.S. IoT” in IEEE Spectrum, Apr. 2021, https://spectrum.ieee.org/the-us-government-finally-gets-serious-about-iot-security , abgerufen am 27.8.2021

Veröffentlicht am
Kategorisiert in Uncategorized