Die vernetzten Geräte des Internet of Things (IoT) sammeln und verarbeiten immer mehr Daten, versagen jedoch häufig beim Schutz dieser Daten. Ein ausführlicher Leitfaden will bei der Entwicklung sicherer Geräte helfen.

Der Branchenverband Cloud Security Alliance (CSA) hat umfassende Richtlinien für die Entwicklung sicherer Geräte für das Internet der Dinge (IoT) veröffentlicht. Auf gut 75 Seiten nennt die Studie Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products eine Reihe konkreter Maßnahmen, um die Sicherheit vernetzter Geräte zu verbessern.

Das tut auch dringend Not: Immer wieder fielen in letzter Zeit mit dem Internet verbundene Geräte durch gravierende Sicherheitslücken auf, beispielsweise die Smart-Home-Systemen von Loxone oder die vernetzten Alarmanlagen verschiedener Hersteller. Kürzlich dokumentierte das Global Privacy Network (GPEN) schwere Mängel in 314 vernetzten Geräten vom Fitness-Tracker über Blutzuckermessgeräte bis zu Smart-TVs.

Geräte wie IP-Kameras und mit dem Internet verbundene Festplatten-Receiver sind mittlerweile Teil riesiger Bot-Netze, mit denen massive Denial-of-Service-Attacken durchgeführt werden – erst vor Kurzem zwang ein solcher DDoS-Angriff auf den Security-Blogger Brian Krebs den Content-Delivery-Anbieter Akamai in die Knie.

Zu den wichtigsten Empfehlungen der Cloud Security Alliance gehören Dinge, die eigentlich selbstverständlich sein sollten: ein sicherer Update-Prozess für die Firmware, Authentifizierung und verschlüsselte Datenübertragung auf allen Schnittstellen nach außen, eine sichere Schlüsselverwaltung. Die CSA betont zudem die Notwendigkeit unabhängiger Security-Tests und weist darauf hin, dass auch Gateways und Apps, die mit den IoT-Geräten kommunizieren, abgesichert werden müssen.

Das Papier geht in 13 Kapiteln auf zahlreiche Details ein wie die Nutzung von Hardware-basierten Sicherheitsmechanismen oder der Einsatz von kryptographisch gesicherten Bootloadern, die die Integrität der Firmware beim Start prüfen. Dazu gehört auch eine Diskussion diverser verbreiteter Kommunikationsprotokolle von den Mobilfunk über Bluetooth, 802.11 und NFS bis den Heimautomations-Standards ZigBee und ZWave. Den Abschluss bildet eine Übersicht über typische Angriffe, denen IoT-Geräten in verschiedenen Bereichen – Endnutzer, Medizin, Industrie, smarte Städte – ausgesetzt sind.

Die Cloud Security Alliance ist ein internationaler Verband aus Unternehmen und Institutionen, der über die Definition von Best Practices für sicherere Cloud-Umgebungen sorgen will. Zu den führenden Mitgliedern gehören EMC, HPE, Microsoft und VMware.

