Cyberattacken auf vernetzte Geräte verhindern: Richtlinien und Normen
Welche Normen und Richtlinien zum Thema Cybersicherheit kommen aktuell in der EU zur Anwendung? Ein Überblick.
Moderne Kommunikationssysteme sind zunehmend vernetzt. Im Smart Home kommunizieren Haushaltsgeräte, Beleuchtungen oder Thermostate untereinander und lassen sich zentral steuern. In der Industrie erlauben miteinander gekoppelte Anlagen und Maschinen die Automatisierung von Prozessen. Das IoT (Internet of Things) hat längst ganze Wirtschaftszweige und die Consumer-Branche erobert. Damit geraten vernetzte Anwendungen verstärkt ins Visier von Hackern. Neue und angepasste Standards für IoT- und M2M-Lösungen sollen die Sicherheit verbessern und damit Verbraucher sowie Unternehmen vor unliebsamen Angriffsfolgen schützen.
Die Welt vernetzt sich: Drahtlose smarte Lösungen sind im Kommen
Täglich verbinden sich Millionen drahtloser Geräte mit dem Internet und untereinander. Im Internet of Things kommunizieren Geräte wie Überwachungskameras, Produktionsanlagen, Gebäude- und Straßenbeleuchtungen direkt miteinander. Sie ermitteln über Sensoren Faktoren wie die Temperatur, erkennen Bewegungen oder Fehler im Betriebsablauf. Dabei ist zwischen privaten und industriellen Anwendungen zu unterscheiden. Im privaten Bereich sollen vernetzte elektronische Geräte den Alltag komfortabler, einfacher und sicherer machen. So erkennt etwa eine vernetzte Gebäudeautomatisierung, wenn Hausbewohner sich nähern, öffnet Türen mithilfe von Kameras und Sensoren automatisch, schaltet die Beleuchtung ein und regelt die Heizungsanlage. Im industriellen Sektor stehen M2M(Machine to Machine)-Lösungen im Fokus. Maschinen und Anlagen werden so miteinander verbunden, dass sie automatisierte Prozesse durchführen und sich autonom organisieren können. Das ermöglicht die Straffung von Prozessen und erhöht letztendlich die Sicherheit, da menschliches Versagen an vielen Stellen so ausgeschlossen werden kann.
Cyberangriffe bergen hohe Sicherheitsrisiken
Die Vernetzung birgt allerdings auch Risiken, und das in erheblichem Ausmaß. So besteht bei vernetzten und mit dem Internet verbundenen Geräten grundsätzlich die Gefahr eines Angriffs von außen. Hacker sind in der Lage, industrielle Anlagen so zu manipulieren, dass es zu gefährlichen Zwischenfällen kommen kann – zum Beispiel wenn manipulierte Sensoren eine Gefahrensituation nicht erkennen und folglich nicht Alarm schlagen. Im Mai 2021 machte ein Cyberangriff auf die Colonial-Pipeline in den USA Schlagzeilen: Hacker legten die Benzinversorgung durch eine Ransomware-Attacke lahm. Bei einem solchen Angriff werden Daten so verschlüsselt, dass sie nur durch Eingabe eines Keys wieder zugänglich werden. Den gab es im Falle von Colonial nur gegen ein hohes Lösegeld.
Schaffen es Cyberkriminelle, in private IoT-Netzwerke einzudringen, können die Folgen ebenfalls verheerend sein. Smarte Hardware kann beispielsweise für DDOS-Attacken missbraucht werden, bei denen zahlreiche gleichzeitige Anfragen eine Website überlasten und so vorübergehend unerreichbar machen. Werden gespeicherte persönliche Informationen wie Kreditkarten- und Bankdaten ausgelesen und für kriminelle Aktivitäten eingesetzt, drohen nicht nur finanzielle Schäden, sondern unter Umständen auch rechtliche Konsequenzen.
Welche Geräte sind besonders betroffen?
Von 2019 bis 2022 wuchs die Anzahl vernetzter Hardware allein im Consumer-Bereich Experten zufolge weltweit von rund 27 auf 50 Milliarden. Prognosen gehen von 75 Milliarden IoT-Devices bis zum Jahr 2025 aus. In Deutschland nutzte 2021 mehr als ein Drittel der Unternehmen IoT-Technologie mit deutlich steigender Tendenz. Ebenso rasant steigt die Zahl der Angriffe. Noch 2018 wurden 813 Millionen Fälle von Cyber-Manipulationen privater Geräte gezählt, ein Jahr später waren es bereits 2,9 Milliarden. Von Cyber-Angriffen besonders betroffen sind Überwachungskamerasysteme, Smart Hubs und Netzwerkspeicher, Drucker, Smart-TVs und IP-Telefone. Rund 46 Prozent der deutschen Unternehmen erlebten 2021 mindestens eine Cyberattacke.
Welche Maßnahmen schützen vor Angriffen auf vernetzte Hardware?
Die Zahlen des Unit 42 IoT Threat Reports alarmieren. Demnach wird 98 Prozent des über IoT-Lösungen laufenden Traffics in Unternehmen unverschlüsselt übertragen, ungeachtet der hohen Angriffsgefahr. Für den privaten Bereich sieht es nicht viel besser aus. Nur jeder sechste Smart-Home-Nutzer schützt laut einer Studie seine Geräte durch Verschlüsselungssysteme vor Angriffen von außen. Standards und Grundlagen für die Gerätesicherheit sind daher dringend notwendig. So können Sicherheitslücken bereits hardwareseitig ausgeschlossen werden. Das soll durch Überarbeitungen bestehender Richtlinien und neue Standards realisiert werden.
Anpassung der RED-Richtlinie
Ab 2024 soll EU-weit eine Erweiterung der bestehenden RED (Radio Equipment Directive 2014/53/EU) in Kraft treten. Die RED beschreibt grundlegende Anforderungen an die Sicherheit und elektromagnetische Verträglichkeit von Funkanlagen und damit auch für alle über WLAN, Bluetooth oder andere Funktechnik verbundenen Geräte. Mit der Erweiterung gelten neue rechtliche Anforderungen an die Cybersicherheit drahtloser Geräte, die bei der Entwicklung und Produktion berücksichtigt werden müssen. Darüber hinaus stehen der Schutz der Privatsphäre und persönlicher Daten, die Verringerung der Möglichkeiten von Geldbetrug sowie eine höhere Widerstandsfähigkeit der Kommunikationsnetze im Fokus. Die wichtigsten Änderungen im Überblick:
- Drahtlose Geräte müssen Funktionen umfassen, die eine Beeinträchtigung der Kommunikationsnetze verhindern und sicherstellen, dass sie nicht zur Störung der Funktionalität von Websites oder anderen Diensten eingesetzt werden können.
- Der Schutz persönlicher Daten muss gewährleistet werden. So sind etwa Maßnahmen Pflicht, die den unbefugten Zugriff auf persönliche Daten verhindern.
- Schließlich sind Funktionen zu integrierten, die das Betrugsrisiko bei elektronischen Zahlungen minimieren, etwa eine besser kontrollierte Nutzerauthentifizierung.
CTIA schafft branchenweite Grundlage für Gerätesicherheit in drahtlosen Netzwerken
Neue Regelungen für eine verbesserte Cybersicherheit erarbeitet auch die CTIA (Cellular Telecommunications and Internet Association). Der US-amerikanische Wirtschaftsverband für drahtlose Kommunikation stellt hierzu den CTIA Cybersecurity Certification Test Plan for IoT Devices bereit. Das Zertifizierungsprogramm für die Cybersicherheit von IoT-Geräten soll Verbraucher und drahtlose Infrastrukturen schützen und so eine Basis für Smart Cities, vernetzte Autos und andere IoT-Lösungen schaffen.
Europäischer Standard EN 303 645 als Grundlage für Sicherheit vernetzter Geräte
Mehr Sicherheit im Smart Home ist das Ziel der am 30. Juni 2020 veröffentlichten Norm ETSI EN 303 645. Damit formuliert die europäische Normungsorganisation ETSI Mindestsicherheitsstandards für die Entwicklung von Consumer-IoT-Hardware, insbesondere im Smart Home. Basierend auf dem Standard TS 103 645 und dem Sicherheitsstandard DIN SPEC 27072 sollen vor allem die Bereiche Authentisierung, Software-Update-Mechanismen, sichere Kommunikation und Datenschutz abgedeckt werden. Die Testspezifikation ETSI TS 103 701 wiederum dient der Vergleichbarkeit von Prüfergebnissen. Beide Dokumente bilden die Grundlage für die Erteilung von Sicherheitszertifikaten wie das aktuelle IT-Sicherheitszeichen in Deutschland.
Mit testxchange die Cybersicherheit verbessern
Neue Cyber-Security-Standards verbessern die Sicherheit vernetzter Geräte. Das verhindert Angriffe von außen und die damit verbundenen unliebsamen Folgen. Bei den aktuellen Zertifizierungen unterstützt Sie testxchange. Wir helfen bei der Suche von Dienstleistern für Ihre Produktprüfungen. Senden Sie uns gern unverbindlich Ihre Anfrage.