Magazin • Cybersicherheit für IoT-Geräte - die PSTI Bill im Fokus
Interview_MarlonSchrimpf_Part1
Produktsicherheit UKCA

Cybersicherheit für IoT-Geräte - die PSTI Bill im Fokus

von Novelty Compliance

Mit einem aktuellen Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (PSTI) hat das Vereinigte Königreich die Anforderungen an die Cybersicherheit von IoT-Geräten verschärft. Wir haben mit Marlon Schrimpf einen Experten für Produktkonformität befragt, was dies für Hersteller und Importeure auf dem britischen Markt bedeutet.

testxchange: Herr Schrimpf, wir freuen uns sehr, dass Sie für uns Zeit gefunden haben. Könnten Sie sich bitte unseren Lesern kurz vorstellen?

Marlon Schrimpf: Ich bin Marlon Schrimpf, Gründer von Novelty Compliance und berate kleine und mittelständische Unternehmen, wenn es um den Aufbau von nachhaltigen Product-Compliance-Strukturen geht. Außerdem berate ich diese Unternehmen in Bezug auf Produktsicherheit, Ökodesign-Vorschriften und die Cybersicherheit von IoT-Geräten. In der Vergangenheit habe ich in Brüssel als Product Compliance Manager für ein großes japanisches Unternehmen gearbeitet. Danach zog ich in den Schwarzwald und war für die globalen Zertifizierungen und Zulassungen von elektronischen Produkten eines Herstellers von Sanitärarmaturen verantwortlich.

testxchange: In Ihrer jetzigen Position haben Sie insbesondere auch Erfahrungen mit dem britischen Markt gesammelt, was uns zu einem der Kernthemen des heutigen Interviews bringt. Das britische Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur (PSTI). Können Sie uns ein wenig darüber aufklären, worum es bei diesem Gesetz geht und warum es verabschiedet wurde?

Marlon Schrimpf: Der Hintergrund ist einfach zu erklären: Zum einen sind die Briten sehr sensibel für Fragen der Cybersicherheit und für Bedrohungen, die aus diesem Bereich kommen. Zum anderen explodiert die Zahl der IoT-Geräte - alles, was man sich vorstellen kann, kann heute mit dem Internet verbunden werden. In den letzten fünf Jahren gab es immer wieder bekannte Fälle von Sicherheitslücken bei diesen Geräten, so dass sich die Menschen immer mehr Sorgen um die Cybersicherheit machten. Dabei handelte es sich um Bedrohungen durch lokale Hacker oder ausländische Institutionen und Regierungen, die sowohl die Privatsphäre der Nutzer als auch die Integrität der IT-Systeme gefährdeten. Das gestiegene Bewusstsein und die schlechten Erfahrungen führten zur Entwicklung dieses neuen Gesetzes und zur Definition einer neuen Art von Risiko, das von nun an bei der Bewertung der Produktkonformität einbezogen werden muss. Dies geschieht auf ähnliche Weise wie bei den Risiken, die in der Vergangenheit bewertet wurden - wie die Risiken durch elektrische Energie, elektromagnetische Effekte oder gefährliche Stoffe. Auch die Gesamtstruktur dieses Gesetzes ähnelt sehr dem, was wir aus der Niederspannungsrichtlinie und der Funkanlagenrichtlinie kennen. Die Marktteilnehmer in der Lieferkette müssen also ähnliche Maßnahmen ergreifen, wie sie es bereits bei den anderen rechtlichen Anforderungen des heutigen Rechtsrahmens getan haben: Sie müssen die Risiken bewerten und sie müssen verhindern, dass die Risiken zu einer Gefahr werden. Wenn sie von einer Schwachstelle wissen, müssen sie diese schließen und die Nutzer über mögliche Gefahren informieren. Und natürlich muss all dies Teil der technischen Dokumentation werden. Es gibt jedoch einen Zusatz: Das Vereinigte Königreich plant die Einführung eines sogenannten Statement of Compliance. Sie werden also ein Stück Papier beilegen müssen, auf dem sinngemäß steht: "Das Ihnen vorliegende Produkt ist gemäß dem PSTI-Gesetz sicher." Wir wissen noch nicht, was dieses Dokument im Einzelnen enthalten soll, denn es wird eine zusätzliche Durchführungsverordnung dazu geben, die hoffentlich bald veröffentlicht wird.

testxchange: Wenn bei einem IoT-Produkt etwas schiefgeht und eine Sicherheitslücke entdeckt wird, welche Konsequenzen hätte das in Großbritannien?

Marlon Schrimpf: Es ist sehr ähnlich zu dem, was wir heute schon haben. Wenn die Behörden an Sie herantreten und Sie noch nichts von der Sicherheitslücke wissen, werden Sie gebeten Stellung zu nehmen und die Schwachstelle zu schließen. Wenn Sie dieser Aufforderung nicht nachkommen wollen oder können, werden Sie wahrscheinlich bestraft. Je nach Schwere des Falles kann dies ein angeordneter Rückruf, eine empfindliche Geldstrafe und öffentliche Warnungen über das Sicherheitsrisiko Ihrer Produkte sein. Das wird in solchen Fällen für Importeure und Händler, die nicht in direktem Kontakt mit den Herstellern stehen, besonders schwierig sein. Auch wenn diese verantwortlich für die gehandelten Produkte sind, ist es schwierig, den Hersteller zur Reaktion oder der Schließung der Schwachstellen zu bewegen.

Marlon_Schrimpf_2
Gründer von NOVELTY Compliance: Marlon Schrimpf

testxchange: Beobachten Sie bereits Reaktionen von Unternehmen auf das neue Gesetz?

Marlon Schrimpf: Im Allgemeinen sind sich größere Unternehmen schon seit vielen Jahren der Bedeutung der Cybersicherheit ihrer Produkte bewusst. Dennoch haben viele von ihnen keine Maßnahmen ergriffen, so dass die Produkte in vielen Fällen wie offene Türen für Kriminelle waren. Der neue Gesetzesentwurf wird viele dazu veranlassen, sich endlich mit der Sicherheit ihrer Produkte zu befassen, vielleicht auch mit der Architektur dahinter, denn der Server, mit dem die Produkte verbunden sind, könnte ebenfalls als Angriffsfläche dienen. Das bedeutet auch, dass sich die Unternehmen mit den Eskalationsprozessen zu diesem Thema befassen müssen. Sie müssen möglicherweise einen Weg finden, um die auf den Produkten installierte Firmware zu patchen, und sie sollten darüber nachdenken, wie sie ihre Kunden über bestimmte Sicherheitslücken in ihren Produkten informieren können, um einen Rückruf zu umgehen.

Andererseits ist die Beschäftigung mit diesen Themen nicht nur für das Vereinigte Königreich von Bedeutung, sondern auch für die EU, wo 2022 eine Änderung der Funkanlagenrichtlinie veröffentlicht wurde, die ähnliche Anforderungen auch für Kontinentaleuropa durchsetzen wird.

testxchange: Wenn Sie sich die diesjährige neue britische Gesetzgebung ansehen und sie mit den aktuellen EU-Vorschriften zu diesem Thema vergleichen, haben Sie dann den Eindruck, dass sie sich bereits in unterschiedliche Richtungen entwickeln, oder sind die britischen Vorschriften den EU-Vorschriften immer noch sehr ähnlich?

Marlon Schrimpf: Beide Verordnungen sind eher vage zu der Frage, was Sie als Hersteller tun müssen. Beide schreiben einfach vor, dass man die Integrität des IoT-Geräts, das man auf den Markt bringen will, sicherstellen muss. Mit Ausnahme des britischen Statement of Compliance ist es offen, wie man mit den Anforderungen umgeht. Die große Frage ist also, wie man nachweisen kann, dass ein Produkt sicher ist. Im Moment gibt es nur die Norm ETSI EN 303 645, die 2021 veröffentlicht wurde. Sie legt im Wesentlichen die Grundsätze des "Security by Design" fest und beschreibt, wie ein Produkt von der ersten Idee an zu gestalten ist. Es sollte grundsätzlich frei von möglichen Sicherheitslücken sein und auch die Wartungsprozesse sollten eine gewisse Robustheit aufweisen. Leider ist dieser Standard noch nicht harmonisiert worden, und das wird auch in Zukunft in der EU nicht passieren. Wenn man also ein Labor damit beauftragt, ein Produkt nach dieser Norm zu prüfen, erhält man nicht den typischen Sicherheitsprüfbericht, den man vielleicht aus einer Sicherheitsbewertung kennt. Es handelt sich um eine eher allgemeine Bewertung durch ein unabhängiges Labor, von der wir noch nicht wissen, ob sie ausreichend ist oder nicht. Dennoch würde ich jedem empfehlen, einen Blick in diese Norm zu werfen und zumindest zu prüfen, ob die Software beziehungsweise die Firmware auf den Produkten und auch die Architektur um die Produkte herum zumindest die grundlegenden Sicherheitsprinzipien aus der ETSI-Norm entsprechen. Auch wenn man sich noch nie mit der Cybersicherheit seiner Geräte befasst hat, ist die ETSI-Norm ein guter Ausgangspunkt, da sie so geschrieben ist, dass auch Laien einigermaßen verstehen können, was zur Gewährleistung eines minimalen Sicherheitsniveaus erforderlich ist.

testxchange: Es ist gut zu wissen, dass es zumindest eine Norm gibt, an der man sich orientieren kann.

Marlon Schrimpf: Ja, es gibt auch einige andere nationale Normen, die einen Blick wert sein könnten. In den USA zum Beispiel konzentriert sich die NISTIR 8259 auf die Managementprozesse in einem Unternehmen. Die Norm beschreibt Grundsätzliches und Eskalationsprozesse, die man in einem Unternehmen einführen sollte, um die Cybersicherheit bei IoT-Produkten zu unterstützen. Wenn man also das Gefühl hat, dass Verbesserungen in der eigenen Organisation notwendig sind, könnte auch diese Norm eine Lektüre wert sein.

testxchange: Welche Empfehlungen würden Sie zum Abschluss Unternehmen geben, die sich auf die neue PSTI-Gesetzgebung vorbereiten möchten?

Marlon Schrimpf: Wenn man Importeur oder Händler ist, sollte man den Hersteller oder Großhändler auffordern, das Statement of Compliance vorzulegen oder zumindest zu prüfen, ob es vorgelegt werden kann. Überlegen sollte man auch, wie man sich bei Kontaktaufnahme seitens einer Behörde mit einer Sicherheitslücke verhält. Und allen Herstellern würde ich empfehlen, neben den offensichtlichen Risikobewertungsmaßnahmen und der Erstellung des Statements of Compliance zu prüfen, wie sie Patches für Funkmodule oder proprietäre Systeme wie Android, die auf den IoT-Geräten laufen, implementieren können. Generell würde ich empfehlen, sich so früh wie möglich mit dem Thema Cybersicherheit zu befassen, da es oft aufwendiger ist, als man im ersten Moment glaubt. Es geht nicht nur darum, Produkte anzupassen, sondern auch die Entwicklung, Wartung und Verwaltung der Produkte. Daher müssen viele Abteilungen in Unternehmen und möglicherweise auch Zulieferer einbezogen werden, um effiziente Lösungen für die aktuelle und zukünftige Produktpalette zu finden.

Im zweiten Teil des Interviews befragt testxchange Marlon Schrimpf zur aktuellen Lage zum Thema UKCA-Kennzeichnung. Lesen Sie weiter!