Illustration: Geralt Absmeier

Das Deutsche Institut für Normung (DIN) hat mit der DIN SPEC 27072 eine Spezifikation zur Informationssicherheit von IoT-fähigen Geräten veröffentlicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) begrüßt die Veröffentlichung als wichtigen Meilenstein zur Einführung von Mindestsicherheitsstandards für Smart-Home-Geräte. Das Dokument enthält IT-Sicherheitsanforderungen und Empfehlungen für internetfähige Geräte im privaten oder kleingewerblichen Endkundenbereich wie etwa IP-Kameras, Smart-TVs oder Smart Speaker. Die Inhalte der Spezifikation sind unter maßgeblicher Beteiligung des BSI als Editor des Dokuments sowie gemeinsam mit Herstellern und Prüfstellen entwickelt worden.

»Grundsätzlich sind alle internetfähigen Geräte – insbesondere im Smart-Home-Bereich – potenzielle Ziele für Cyberkriminelle. Mit dieser Spezifikation kann das IT-Sicherheitsniveau dieser Geräte deutlich gesteigert werden. Damit beschreiten wir den mit der Router-TR eingeschlagenen Weg zum besseren Schutz der Endverbraucher und der Internetinfrastruktur konsequent weiter und schaffen eine wertvolle Grundlage zur Ausgestaltung des IT-Sicherheitskennzeichens, das die Bundesregierung im Zuge des IT-Sicherheitsgesetzes 2.0 einführen will. Gemeinsam mit dem DIN überlegen wir derzeit außerdem, die Spezifikation in ein europäisches Normungsvorhaben zu überführen«, so BSI-Präsident Arne Schönbohm.

Konkret fordert die DIN SPEC 27072 u.a. eine sichere Update-Funktionalität, eine im Initialzustand nach Inbetriebnahme verpflichtende Authentisierung vor Zugriffen über eine IP-Schnittstelle und verbietet die Nutzung von Standardpassworten im Netzwerkbetrieb. Untermauert werden diese Anforderungen durch die verpflichtende Nutzung kryptographischer Verfahren nach dem Stand der Technik, wie etwa in der Reihe von Technischen Richtlinien BSI TR-02102 beschrieben.

Geräte, die diese Anforderungen erfüllen, bieten für den Supportzeitraum des Herstellers ein Basissicherheitsniveau, das sie vor skalierbaren Cyberangriffen aus dem Internet schützen kann, wie sie etwa mit der Schadsoftware Mirai durchgeführt werden. Dazu gibt das Dokument Herstellern konkrete Anhaltspunkte für die Umsetzung von Security-by-Design und Security-by-Default. Diese Prinzipien sollten generell bei der Konzeption und Entwicklung von IT-Produkten eingehalten werden.

Dabei wird der komplette Produktlebenszyklus inkl. Auslieferung, Inbetriebnahme, Individualisierung und Außerbetriebnahme berücksichtigt.

Die Veröffentlichung richtet sich vor allem an Hersteller und Entwickler entsprechender Produkte, kann aber auch für Prüfstellen als Grundlage für Evaluierungs- und Zertifizierungsverfahren genutzt werden. So arbeitet das BSI aktuell daran, Produktzertifizierungen hinsichtlich der Konformität zur DIN SPEC 27072 zu ermöglichen.

Mehr Informationen zur DIN SPEC 27072:

https://www.din.de/de/mitwirken/normenausschuesse/nia/din-spec/wdc-beuth:din21:303463577

1027 search results for „IoT Sicherheit“