Zertifizierte Cyber-Security für vernetzte Produkte

Zur Produktsicherheit gehört heute auch Cybersecurity. Verschiedene Normen helfen bei der Prüfung der Produkte, von vernetzten Haushaltsgerät bis zur Industrieanlage. + Die Website insecam.org* zeigt Live-Bilder tausender Überwachungskameras. Viele davon sind unabsichtlich im Internet, die Nutzer wissen nichts davon. Der Grund: Die Geräte sind nur mit einem Standardkennwort wie „admin“ versehen und den Käufern war unbekannt, dass die Geräte offen im Internet erreichbar sind.

Damit eine solche Schwachstelle erst überhaupt nicht entstehen kann, müssen unabhängige Produkttests auch auf Cybersecurity erweitert werden. So berücksichtigt die internationale Prüforganisation UL in ihren Tests auch Aspekte der Informationssicherheit. Das fängt bei einfachen Überlegungen wie dem Zwang zur Vergabe eines Kennworts an und umfasst darüber hinaus Untersuchungen auf Schwachstellen in der benutzten Software. Allerdings gehört zur Produktsicherheit heute auch der Schutz vor Malware, Hackern und anderen Angriffen über das Internet.

Normen und Standards für Cybersicherheit

Cybersicherheit wird damit zum kritischen Erfolgsfaktor und umfasst alle Arten von netzwerk-fähigen Geräten. Lange Zeit gab es keine standardisierten Metriken für die Messung der Qualität von Cybersecurity-Maßnahmen. So hat UL die UL 2900-Normenreihe für netzwerkfähige Produkte und Systeme entwickelt. Seit 2017 ist die Norm bereits in einigen Industrieländern als nationaler Standard für Cybersecurity anerkannt.

Trotzdem gibt es noch einige internationale Unterschiede, vor allem in der Industrie. Hier liegen zahlreiche Normen immer noch recht weit auseinander und repräsentieren die zwei klassischen Welten der Normierung: Europa auf der einen, die USA auf der anderen Seite. Zu den einheitlichen Standards gehört etwa die Norm UL/IEC 61010-2-201 mit besonderen Sicherheitsbestimmungen für speicherprogrammierbare Steuerungen (SPS) und ähnlichen Steuergeräten. Sie sind eine entscheidende Technologie für die Industrie 4.0 und das Industrial Internet.

Besonders wichtig ist in diesem Zusammenhang auch die Normenreihe IEC 62443, die sich industriellen Kommunikationsnetzen widmet und hier insbesondere Kriterien für die IT-Sicherheit in Netzen und Systemen angibt. Ergänzend und mit einem Schwerpunkt auf Testverfahren hat UL die Norm UL 2900-2-2 für Industrial Control Systems (ICS) entwickelt. Sie erlaubt es, die Cyber-sicherheit von Industriesteuerungen durch maßgeschneiderte Produkttests von einer neutralen Stelle bewerten und zertifizieren zu lassen.

Anforderungen an die Hersteller von vernetzten Produkten

Grundsätzlich formulieren diese Standards die Anforderungen an die Cybersicherheit in drei wichtigen Kategorien: allgemeine und branchenspezifische Anforderungen sowie Prozessanforderungen.

Allgemeine Produktanforderungen: Eine Zertifizierung muss nachweisen, dass die Architektur der Software Maßnahmen für die Informationssicherheit umfasst – etwa gehashte Kennwörter, Systeme zur Intrusion Detection oder Firewalls. Zu den Mindeststandards gehören: Zugangskontrolle und Authentifizierung, Verschlüsselung, abgesicherte Remote-Verbindungen, regelmäßige Software-Aktualisierungen sowie gegebenenfalls eine Möglichkeit, Produkte auch stilllegen zu können, wenn sich unvorhergesehene Sicherheitsrisiken ergeben, etwa durch Diebstahl. Zudem müssen die Hersteller standardisierte Testmethoden einsetzen, um Schwachstellen, Softwaremängel und Malware zu erkennen.

Branchenspezifische Anforderungen: Die Geräte-Software muss den jeweiligen Anforderungen der Branche entsprechen, in der sie eingesetzt wird. So ist beispielsweise beim Einsatz von IoT-Geräten im Gesundheitswesen besonderes Augenmerk auf Vorkehrungen für den Datenschutz zu legen, da die Geräte besonders sensible Daten enthalten. Da Smart-Home-Anwendungen häufig eine bidirektionale Datenübertragung für die Fernsteuerung unterstützen, sollten hier Zugangskontrolle und Identitätsmanagement integriert werden.

Allgemeine Prozessanforderungen: Unternehmen benötigen zur Erhöhung der Cybersicherheit bei netzwerkfähigen Produkten auch ein effizientes Informationssicherheits-, Risiko- und Software-Lifecycle-Management. Besonders wichtig sind hier Systeme und Prozesse für Risikobewertungen, die Voraussetzung für die Ermittlung der Folgen von softwarebasierten Bedrohungen ist.

Wenn diese Anforderungen beachtet werden, sind Unternehmen in der Lage, Cyberbedrohungen zu bewerten und vernetzte Komponenten mit den entsprechenden Vorkehrungen und Gegenmaßnahmen auszustatten.

Weitere Informationen zum Thema Sicherheit vernetzter Produkte rund um die Industrie 4.0: https://industrie-4-0.ul.com  sowie zur Normenreihe UL 2900 unter https://de.industries.ul.com/cybersecurity  

http://www.insecam.org/en/byrating/  *

Johannes Bauer ist promovierter Informatiker und arbeitet als Principal Security Advisor bei UL in Frankfurt. Seit mehr als zehn Jahren beschäftigt er sich mit der IT-Security, insbesondere im Umfeld der Elektromobilität sowie der Smart-Home-Systeme. Er verfügt über detaillierte Kenntnisse im Hinblick auf physische Bedrohungen eingebetteter Systeme sowohl invasiv als auch non-invasiv und hat eine Vielzahl von Beiträgen über Mitigationsstrategien zu deren Bekämpfung veröffentlicht. Daneben führte er regelmäßig Workshops zum Thema angewandte Kryptographie sowie Bedrohungs- und Risikoanalysen durch und arbeitete als Consultant für IT-Sicherheit.