Ein Weg durch die IoT-Sicherheit mit ETSI EN 303 645

Nur auf Englisch verfügbar

Blogbeitrag 27. Mai 2020 von Robin Vossen, Senior Security Specialist bei Bureau Veritas Cybersecurity

Wir haben uns für die Norm ETSI EN 303 645 entschieden, da sie eine ganze Reihe von Aspekten abdeckt: die Hardware selbst, den Datenschutz, die Unternehmensrichtlinien und (am wichtigsten) die Sicherheit der eingesetzten Software.

Sie fragen sich vielleicht, was diese Norm ETSI EN 303 645 ist. Diese Norm wurde von der ETSI-Gruppe (Europäisches Institut für Telekommunikationsnormen) entwickelt, um die Sicherheit für das Internet der Dinge für Verbraucher zu gewährleisten. Das Wort "Verbraucher" ist hier der Schlüssel, denn die Ziele sind nicht das IIoT (Industrial Internet of Things) oder POS-Systeme (Point of Sale), sondern verbrauchergerechte Hardware wie das neue Gerät, das Sie neulich gekauft haben. Bei der Bedrohungsmodellierung dieser Gerätekategorie als Ganzes sind die primären Risiken softwarebezogener Art, wie z.B. Datenlecks oder die Ausnutzung als Bot (Malware u.a.) für andere Angriffe, und nicht so sehr das Risiko der Kompromittierung der Hardware (z.B. physischer Zugang erforderlich).

Der Standard schreibt eine Reihe von Anforderungen vor, die über dreizehn Kategorien definiert sind;

1. Keine universellen Standardpasswörter.
2. Implementieren Sie ein Mittel zur Verwaltung von Berichten über Sicherheitslücken.
3. Halten Sie die Software auf dem neuesten Stand.
4. Sichere Speicherung sensibler Sicherheitsparameter.
5. Sicheres Kommunizieren.
6. Minimieren Sie ungeschützte Angriffsflächen.
7. Stellen Sie die Integrität der Software sicher.
8. Stellen Sie sicher, dass persönliche Daten geschützt sind.
9. Machen Sie Systeme widerstandsfähig gegen Ausfälle.
10. Prüfen Sie die Telemetriedaten des Systems.
11. Machen Sie es den Verbrauchern leicht, persönliche Daten zu löschen.
12. Machen Sie die Installation und Wartung der Geräte einfach.
13. Validieren Sie Eingabedaten

Wie beim Lesen dieser Anforderungen deutlich wird, erfordern diese Punkte internes Wissen über das Produkt. Dieses Wissen kann entweder im Rahmen einer Crystal Box oder eines Black Box-Ansatzes gesammelt werden. Diese beiden Methoden der Recherche unterscheiden sich erheblich.

Bei einem Crystal-Box-Ansatz müsste der Hersteller einbezogen werden, indem er den Quellcode und die Entwurfsdokumentation zur Verfügung stellt. Dies ermöglicht regelmäßige Quellcode-Audits anhand der Dokumentation, um festzustellen, wie die Vertrauensgrenzen festgelegt und aufrechterhalten werden.

Bei einer Blackbox-Methode hingegen muss die Firmware entnommen und zurückentwickelt werden, um ein solides Verständnis dafür zu erlangen, was wie gemacht wird und welche Maßnahmen getroffen werden, um sicherzustellen, dass das Gerät nicht kompromittiert wird.

Der Crystal-Box-Ansatz bietet die meisten Einblicke und ist am wenigsten zeitaufwändig. Allerdings ist der Verkäufer des IoT-Geräts häufig nicht der End-to-End-Entwickler der Gerätehardware und -software. Dies führt oft zu einem Blackbox-Ansatz, bei dem die Experten versuchen, die meisten Anforderungen innerhalb eines angemessenen Zeitrahmens zu erfüllen.

Da die derzeitige Version der Norm ETSI EN 303 645 ziemlich unklar ist (was die Formulierung der Anforderungen betrifft), ist es von größter Bedeutung, dass spezifische Mindestkriterien vereinbart werden.

Ein Beispiel für diese Situation wäre die Anforderung 4.3-5 - "Aktualität der Sicherheitsaktualisierungen". Die Definition von "Aktualität" ist nicht festgelegt und ohne eine harte Grenze wird dies immer ein Diskussionspunkt sein. Die gleiche Aussage gilt für die Anforderung 4.3-12 - "Regelmäßige Überprüfung auf Aktualisierungen". Einmal alle zehn Jahre ist ebenfalls periodisch. Wie bereits beschrieben, wird durch die Festlegung eines Mindestannahmekriteriums, z.B. einmal im Monat, die Wahrscheinlichkeit einer Ausnutzung verringert, während die Flexibilität bei der Implementierung erhalten bleibt.

Aufgrund der Tatsache, dass viele der Anforderungen so offen formuliert sind, hat Bureau Veritas Cybersecurity einen eigenen Testleitfaden erstellt. Der Grund für die Entwicklung dieses Testleitfadens war es, die Branche zur Übernahme des Standards zu bewegen und den Testansatz konkreter und weniger zweideutig zu gestalten, ohne dabei die Flexibilität zu verlieren. Die Erstellung dieses Testleitfadens führte zu einer Einladung des NEN (der niederländischen Normungsorganisation) zu einer von ihr organisierten Veranstaltung. Bei der Veranstaltung handelte es sich um ein Treffen mit Vertretern der Branche, bei dem es darum ging, über die Anforderungen der ETSI EN 303 645 sowie die praktische Anwendbarkeit und den Wert dieser Norm im Kontext des IoT für Verbraucher zu sprechen.

Aufgrund der praktischen Erfahrung von Bureau Veritas Cybersecurity mit diesem Standard und dem Interesse an dem entwickelten Testleitfaden nahm Secura an dieser Veranstaltung teil. Darüber hinaus gab es Interesse an dem von Secura entwickelten Testleitfaden zu diesem Thema. Der Grund für die Entwicklung dieses Leitfadens war, die Branche zur Übernahme des Standards zu bewegen und den Testansatz konkreter und weniger zweideutig zu gestalten, ohne dabei die Flexibilität zu verlieren. Die Teilnahme führte zu vielen interessanten Diskussionen im Zusammenhang mit der Annahme des Standards.

Eine Frage, die während dieses Treffens von einem Entwickler von IoT-Geräten gestellt wurde, lautete: "Warum sollten wir uns daran halten?", was eine ehrliche und kritische Frage ist.

Schließlich ist die Einhaltung des Standards (derzeit) nicht verpflichtend und gleichzeitig könnte es manchmal kostspielig sein. Neben dem eigentlichen Bestreben, sichere Produkte zu entwickeln und zu verhindern, dass Ihr Produkt zu einer klaffenden Lücke im Netzwerk der Benutzer wird, besteht der Hauptgrund darin, Ihr Unternehmen, Ihre Produkte und Ihre Entwickler für die Zukunft zu wappnen, wenn dieser Standard obligatorisch wird. Bei der Verwendung von DigiD (Logius) haben wir die gleiche Art von Trend gesehen. Als DigiD geschaffen wurde, gab es keine Gesetze oder Vorschriften, die die Verwendung dieser Methode vorschrieben. Eine ähnliche Situation ist derzeit bei ETSI EN 303 645 zu beobachten.

Und dann gibt es da noch etwas, das sich im Laufe der Zeit langsam in Gesetzen und einem sichereren Internet entwickelt. Aus diesem Grund wäre es am besten, sich jetzt vorzubereiten, wenn Fehler noch nicht bestraft werden, um die wunderbare Welt der IoT-Sicherheit kennenzulernen.

Für den Moment haben wir unsere Logik-Analysatoren, Lötkolben und Disassembler, um die Sicherheitsbewertung der IoT-Geräte durchzuführen, die Sie entwickeln oder die Sie in Ihrem Netzwerk haben. Ganz gleich, ob es sich um Kameras, Funkgeräte oder andere ähnliche Geräte handelt, wir unterstützen Sie gerne dabei, sicherzustellen, dass böswillige Organisationen diese Produkte nicht ausnutzen und sie als Einstiegspunkt in Ihr gesichertes Netzwerk missbrauchen können.

Wie bei einer Evolution; zuerst ist nichts da, dann ist etwas da und dann entwickelt es sich langsam weiter; für die Sicherheit konkret in Gesetzen und einem sichereren Internet. Aus diesem Grund wäre es am besten, wenn Sie sich jetzt vorbereiten und diesen ETSI-Standard kennenlernen, während wir gemeinsam die wunderbare Welt der IoT-Sicherheit erkunden.

Lesen Sie mehr über den ETSI-Standard in unserem Merkblatt. Wenn Sie Fragen zur IoT-Sicherheit haben, kontaktieren Sie uns bitte unter cybersecurity@bureauveritas.com.