IoT-Gesetz zwingt US-Behörden zu mehr IT-Sicherheit
Ein neues Gesetz soll US-Behörden davon abbringen, vernetzten Mist zu kaufen, und sie zu mehr Ehrlichkeit bei IT-Sicherheitslücken drängen. Das hülfe uns allen.
(Bild: M.Moira / Shutterstock.com)
US-Bundesbehörden werden bald zahlreiche vernetzte Geräte ausmisten müssen. Ein neues Gesetz namens IoT Cybersecurity Amendment Act of 2020 soll die Sicherheit beim Internet der Dinge (IoT) stärken und zur mehr Transparenz bei IT-Sicherheit im allgemeinen führen. Durch strengere Beschaffungskriterien könnte das neue Gesetz Hebelwirkung entfalten, so dass mehr besser abgesicherte vernetzte Geräte verfügbar werden.
Zunächst soll die US-Normungsbehörde NIST (National Institute of Standards and Technology) Standards und Richtlinien für IoT-Geräte bei Bundesbehörden ausarbeiten, samt Mindestanforderungen an IT-Sicherheit und Risikomanagement und Regeln für sichere Installation, Sicherheitsupdates, Identitätsmanagement und Konfiguration. NIST soll sich dabei tunlichst an bereits bestehenden Standards orientieren.
Beim Einkauf auf Qualität achten
Spätestens ein halbes Jahr nach Verfügung dieser Bestimmungen soll die Budgetbehörde OMB (Office of Management and Budget) die Umsetzung bei allen Bundesbehörden prüfen, und gegebenenfalls weitere Vorschriften erlassen. Systeme, die zum Bereich Nationale Sicherheit gehören, bleiben allerdings außen vor. Überarbeitet NIST die Standards und Richtlinien, was nicht seltener als alle fünf Jahre erfolgen muss, folgt wieder eine Prüfung durch das OMB.
Lesen Sie auch
US-Studie: IoT-Geräte insgesamt weniger sicher
Außerdem dürfen Bundesbehörden nur noch vernetzte Geräte kaufen oder nutzen, die den NIST-Vorgaben entsprechen. Ausnahmen können für Forschung sowie die Nationale Sicherheit gemacht werden, oder wenn es gelingt, die unsicheren Geräte anderweitig abzusichern. Diese Bestimmungen wird die Nachfrage nach besser abgesicherten IoT-Geräten erhöhen.
Das könnte dazu führen, dass auch Unternehmen und Privatpersonen mehr besser abgesicherte Geräte zur Auswahl haben werden. Vielleicht kann die öffentliche Hand so mithelfen, den Trend zu insgesamt weniger sicher werdenden IoT-Geräten zu bremsen.
Lieferanten müssen bei IT-Sicherheit mithelfen
Ein Teil des Gesetzes widmet sich der IT-Sicherheit bei US-Bundesbehörden im Allgemeinen: NIST soll Standards für koordinierte Erfassung, Entgegennahme und Veröffentlichung von Informationen über Sicherheitslücken und deren Beseitigung ausarbeiten.
Dieser Standard wird auch alle Lieferanten und alle deren Subunternehmer dazu anhalten, Informationen über potenzielle IT-Sicherheitslücken und deren Beseitigung an die jeweiligen Bundesbehörden weiterzuleiten. Damit werden die Sorgfaltspflichten der Lieferanten über den Verkauf hinaus reichen.
Beide US-Parteien unterstützen das Gesetz IoT Cybersecurity Amendment Act of 2020. Im Unterhaus wurde es ohne detaillierte Erhebung des Stimmenverhältnisses beschlossen, im Oberhaus einstimmig. Seit Dienstag liegt das Gesetz nun im Weißen Haus und harrt der Unterschrift des US-Präsidenten.
(ds)