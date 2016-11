(Bild: Nico Jurran / heise online)

Sechs Empfehlungen für ein weniger unsicheres Internet of Things hat die US-Regierung ausgearbeitet. Das offizielle Dokument könnte Entwicklern und Sicherheitsabteilungen Rückenwind geben.

Das US-Ministerium für Heimatschutz (DHS) hat strategische Empfehlungen für die Absicherung von Geräten und Software für das Internet of Things (IoT) herausgegeben. In dem Dokument wird das Ausmaß der Gefahr unterstrichen, es enthält zudem Empfehlungen in sechs Bereichen. Revolutionäre Ansätze für IT-Sicherheit finden sich darin nicht. Das offizielle Dokument kann den Zuständigen aber als Argumentationshilfe innerhalb ihrer Organisationen dienen.

Lesen Sie dazu auch das c't-Interview mit dem Hacker Chema Alonso. Er empfiehlt automatisiertes Pen-Testing rund um die Uhr.

IoT-Sicherheit "hat nicht mit dem schnellen Schritt der Innovation und Ausbreitung mitgehalten, was substanzielle sicherheitsbezogene und wirtschaftliche Risiken geschaffen hat", heißt es in dem Dokument. Früher manuell durchgeführte wichtige Tätigkeiten seien nun von digitalen Bedrohungen betroffen.

Die sechs Grundregeln laut DHS sind:

IT-Sicherheit schon in der Designphase berücksichtigen

Das gilt sowohl für Software als auch Hardware. Eines der Beispiele sind schwer zu erratende, individuelle Passwörter in ausgelieferten Geräten. Aktive Förderung von Sicherheitsupdates und des Managements von Sicherheitslücken

Dazu gehört auch ein Plan für das Lebensende des Produkts, der Herstellern und Verbrauchern vermittelt wird. Aufbau auf bewährte Sicherheitsregeln

Die meisten Prinzipien der IT- und Netzwerksicherheit gelten auch für IoT. Prioritätensetzung orientiert am möglichen Schadensausmaß

Entwickler und Hersteller sollten das Einsatzgebiet ihres Produkts kennen, die Kunden sollten alle Geräte in ihrem Netz kennen und authentifizieren. Transparenz

Die Lieferkette aller Produktteile zu kennen, eine komplette Liste der installierten Software herauszugeben und ein Verfahren zur Mitteilung von Sicherheitslücken anzubieten gehört zum guten Ton. Bewusst und mit Bedacht vernetzen

Andauernd eine Internetverbindung offen zu halten ist oft unnötig. Anbieter sollten ihre Kunden offen legen, welche Übertragungen welchem Zweck dienen.

"Unsere Nation kann es sich nicht leisten, eine Generation von IoT-Geräten mit geringem Augenschein auf Sicherheit in Umlauf zu bringen", betont das DHS noch einmal. "Die Konsequenzen wiegen zu schwer, angesichts des Schadenpotenzials für unsere wichtige Infrastruktur, unsere persönliche Privatsphäre und unsere Wirtschaft."

Der Anhang enthält Links zu weiterführenden Dokumenten von US-Behörden und anderen Organisationen. Darin noch nicht enthalten sind die neuen, umfangreichen Empfehlungen des NIST (National Institute of Standards and TTechnology) für Systems Security Engineering.