Grundlegende Prinzipien und Anforderungen für die Vertrauenswürdigkeit von IoT-Systemen
Um die Integrität und Sicherheit von immer mehr IoT-Systemen in Beruf und Alltag zu gewährleisten, tragen die Experten von Kaspersky zur Entwicklung des neuen, internationalen Standards „ISO/IEC TS 30149 Internet of Things (IoT) - Trustworthiness principles“ [1] bei. Dieser wird aktuell durch die Internationale Organisation für Normung (ISO) in Zusammenarbeit mit der Internationalen Elektrotechnischen Kommission (IEC) und dem Gemeinschaftskomitee für Informationstechnik1 (JTC 1) eingeführt. Der neue Standard legt die grundlegenden Prinzipien und Anforderungen für die Vertrauenswürdigkeit solcher Systeme fest und analysiert das Verhältnis zwischen uneingeschränktem Vertrauen und Systemstabilität; dadurch soll sichergestellt werden, dass IoT-Geräte vertrauenswürdig und sicher sind.
Angesichts von IoT-Geräten, die immer komplexer und vernetzter werden, sowie der zunehmenden Bedrohung durch Cyberangriffe, ist technisches Verständnis notwendig, um die Risiken dieser Produkte zu minimieren. Kaspersky begreift Vertrauen als Konzept, das sicherstellt, dass alle relevanten Stakeholder die spezifischen Vertrauenselemente einer IoT-Lösung und alle potenziellen Risiken in ihrem jeweiligen Anwendungsfall verstehen.
Vertrauenswürdigkeit von IoT-Systemen stärken
ISO/IEC TS 30149 wurde in den vergangenen fünf Jahren erarbeitet und legt die Anforderungen an das Vertrauen cyber-physischer Systeme fest. Dazu gehören unter anderem Geräte und Systeme des IoT und des Industriellen Internets der Dinge (IIoT). Der Standard definiert ein komplexes und mehrstufiges Vertrauenskonzept sowie Grundsätze für den Aufbau und das Management von Vertrauen über den Lebenszyklus eines Systems hinweg.
Weiterhin beschreibt der neue Standard Grundsätze für das Management von Vertrauen von IoT-Systemen und den Aufbau vertrauenswürdiger Systeme, wobei der Anhang des Standards auch Best Practices für die Vertrauenswürdigkeit von IoT-Systemen enthält, darunter:
- ein partizipativer (Stakeholder-basierter) Ansatz
- eine Methode zur Charakterisierung der Vertrauenswürdigkeit
- Systemreifemodelle
- und eine Folgenabschätzung.
Daneben enthält der Standard praktische Aspekte der Gewährleistung von Qualität und Sicherheit für die Nutzung von IoT-Systemen. Außerdem regelt er Vertrauensgrundsätze in Bezug auf Zuverlässigkeit, Sicherheit, Informationssicherheit, Sicherheit personenbezogener Daten und Robustheit gegenüber Angriffen. Er beschreibt Grundsätze für den Aufbau und das Management von Vertrauen in IoT- und IIoT-Systeme während ihres gesamten Lebenszyklus und berücksichtigt dabei sowohl die Informations- als auch die physischen Aspekte.
„IoT-Systeme sind komplex und müssen sowohl auf Cyber- als auch auf physischer Ebene abgesichert werden“, kommentiert Ekaterina Rudina, Security Analysis Group Manager bei Kaspersky. „Die Vertrauenswürdigkeit dieser Systeme ist ein Schlüsselfaktor für Entwickler und Nutzer gleichermaßen. Wir verpflichten uns seit jeher dazu, die höchsten Sicherheitsstandards zu schaffen und teilen unsere Expertise mit der Cybersicherheitscommunity. Es ist ermutigend zu sehen, wie die internationale Expertengemeinschaft ihre Arbeit in diesem Bereich fortsetzt und dabei bedeutende Fortschritte erzielt.“
Weitere Informationen zum neuen Standard sind verfügbar unter https://webstore.iec.ch/en/publication/67281, zu den Begriffen und Definitionen unter https://www.electropedia.org/ und http://www.iso.org/obp
[1] https://www.iso.org/standard/53269.html
Nützliche Links:
- ISO-Standard: https://www.iso.org/standard/53269.html
- Kaspersky und Vertrauen: https://go.kaspersky.com/vertrauen
