Internet of Things: US-Regierung veröffentlicht Security-Strategie

Sechs Empfehlungen für ein weniger unsicheres Internet of Things hat die US-Regierung ausgearbeitet. Das offizielle Dokument könnte Entwicklern und Sicherheitsabteilungen Rückenwind geben.

In Pocket speichern vorlesen Druckansicht 26 Kommentare lesen
Vernetzter Wasserkocher

Vernetzter Wasserkocher

(Bild: Nico Jurran / heise online)

Lesezeit: 2 Min.

Das US-Ministerium für Heimatschutz (DHS) hat strategische Empfehlungen für die Absicherung von Geräten und Software für das Internet of Things (IoT) herausgegeben. In dem Dokument wird das Ausmaß der Gefahr unterstrichen, es enthält zudem Empfehlungen in sechs Bereichen. Revolutionäre Ansätze für IT-Sicherheit finden sich darin nicht. Das offizielle Dokument kann den Zuständigen aber als Argumentationshilfe innerhalb ihrer Organisationen dienen.

Mehr Infos

Lesen Sie dazu auch das c't-Interview mit dem Hacker Chema Alonso. Er empfiehlt automatisiertes Pen-Testing rund um die Uhr.

IoT-Sicherheit "hat nicht mit dem schnellen Schritt der Innovation und Ausbreitung mitgehalten, was substanzielle sicherheitsbezogene und wirtschaftliche Risiken geschaffen hat", heißt es in dem Dokument. Früher manuell durchgeführte wichtige Tätigkeiten seien nun von digitalen Bedrohungen betroffen.

Die sechs Grundregeln laut DHS sind:

  • IT-Sicherheit schon in der Designphase berücksichtigen
    Das gilt sowohl für Software als auch Hardware. Eines der Beispiele sind schwer zu erratende, individuelle Passwörter in ausgelieferten Geräten.
  • Aktive Förderung von Sicherheitsupdates und des Managements von Sicherheitslücken
    Dazu gehört auch ein Plan für das Lebensende des Produkts, der Herstellern und Verbrauchern vermittelt wird.
  • Aufbau auf bewährte Sicherheitsregeln
    Die meisten Prinzipien der IT- und Netzwerksicherheit gelten auch für IoT.
  • Prioritätensetzung orientiert am möglichen Schadensausmaß
    Entwickler und Hersteller sollten das Einsatzgebiet ihres Produkts kennen, die Kunden sollten alle Geräte in ihrem Netz kennen und authentifizieren.
  • Transparenz
    Die Lieferkette aller Produktteile zu kennen, eine komplette Liste der installierten Software herauszugeben und ein Verfahren zur Mitteilung von Sicherheitslücken anzubieten gehört zum guten Ton.
  • Bewusst und mit Bedacht vernetzen
    Andauernd eine Internetverbindung offen zu halten ist oft unnötig. Anbieter sollten ihre Kunden offen legen, welche Übertragungen welchem Zweck dienen.

"Unsere Nation kann es sich nicht leisten, eine Generation von IoT-Geräten mit geringem Augenschein auf Sicherheit in Umlauf zu bringen", betont das DHS noch einmal. "Die Konsequenzen wiegen zu schwer, angesichts des Schadenpotenzials für unsere wichtige Infrastruktur, unsere persönliche Privatsphäre und unsere Wirtschaft."

Der Anhang enthält Links zu weiterführenden Dokumenten von US-Behörden und anderen Organisationen. Darin noch nicht enthalten sind die neuen, umfangreichen Empfehlungen des NIST (National Institute of Standards and TTechnology) für Systems Security Engineering.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.