ISO 27400:2022 – Sicherheit für IoT-Geräte

Internet of Things (IoT) ist heutzutage nicht mehr wegzudenken. In vielen Maschinen, Geräten, Lampen, Kühlschränken, etc. sind heute vernetzte Computer-Elemente enthalten. IoT-Systeme stellen damit eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine grosse Anzahl unterschiedlicher Einheiten umfassen. Dies bedeutet eine grosse Angriffsfläche damit auch eine Herausforderung angemessene Sicherheitskontrollen für das gesamte System anzuwenden und aufrechtzuerhalten. Ende Juni 2022 wurde die ISO 27400 veröffentlicht, welche die IoT-Sicherheit und den Datenschutz adressiert.

© Storyblocks, Registriert auf Andreas Wisler

Wie gewohnt definieren ISO-Normen der 27000er zuerst den Umfang und geben normative Referenzen, bevor im Kapitel 3 Begriffe und Definitionen folgen. Diesmal sind es 8 Begriffe rund um Cloud und IoT. Die Norm definiert auch acht zusätzliche Abkürzungen.

Das Kapitel 5 stellt IoT-Konzepte vor. Da es wenig Sinn macht alle Anwendungen zu beschreiben, werden Gemeinsamkeiten beschrieben, wie dass IoT-Geräte spezifische Hardware- und Software besitzen, mit dem Netzwerk verbunden sind und damit Daten senden und empfangen können, in der Regel über Sensorfunktionen verfügen, können aktionsfähig sein, d.h. sie können Steuerdaten empfangen, um physische Aktionen auszulösen, umfassen IoT-Anwendungen und Betriebskomponenten sowie unterstützen menschliche oder digitale Nutzer.

Bei IoT-Geräten ist die Preisgestaltung ein wichtiges Merkmal, weshalb niedrige Kosten für Herstellung und Betrieb von IoT-Geräten wichtig sind. Industrielle IoT-Systeme können industrielle Anlagen und Steuerungssysteme ersetzen oder in Verbindung mit ihnen eingesetzt werden und unterliegen daher ähnlichen Anforderungen wie hoher Verfügbarkeit oder Sicherheit. In Fahrzeugen eingesetzte IoT-Systeme werden im Zusammenhang mit zuverlässigkeits- oder sicherheitsrelevanten Funktionalitäten verwendet. Viele IoT-Dienste funktionieren (nur) mit einem entsprechenden Cloud-Dienst. Daher sollten Nutzer sicherstellen, dass der Cloud-Dienst über angemessene Sicherheitskontrollen verfügt.

Die Norm definiert im Kapitel 5.3 die Interessengruppen. Dazu gehören Dienstleister, Entwickler und Benutzer. Die Abhängigkeiten zwischen den Anbietern, den Entwicklern und den Nutzern im Zusammenhang mit der Sicherheit und dem Schutz der Privatsphäre in einem IoT-System bezeichnet die Norm als Ökosystem. Dies wird in verschiedene Lebenszyklen abgebildet. Ein IoT-Dienst wird von einem IoT-Dienstentwickler und einem IoT-Geräteentwickler entwickelt, die von einem IoT-Dienstanbieter bereitgestellt und die von IoT-Nutzern verwendet werden. Diese Schritte werden im Detail beschrieben. An dieser Stelle wird nicht weiter darauf eingegangen.

IoT service life cycles, © ISO 27400:2022, Seite 6

Risiko-Quellen

Bei IoT-Systemen sind viele Quellen für Risiken vorhanden. Das Kapitel 6 geht detaillierter auf dies ein. Als Methode wird auf andere Normen wie die ISO 31000 oder ISO 27005 verwiesen. Folgende Kategorien werden aufgeführt:

  • Schwachstelle des IoT-Systems
  • mangelnde Kenntnisse und Fähigkeiten der Personen, die bei der Bereitstellung oder Nutzung eine Rolle spielen
  • menschliches Versagen von Personen, die an der Bereitstellung oder Nutzung beteiligt sind
  • Personen, die böswillige Absicht haben, das IoT-System anzugreifen
  • Qualität des IoT-Systems und seiner Komponenten
  • Vorhandensein von externen Systemen und Geräten, die für Angriffe auf das IoT-System missbraucht werden können
  • Naturereignisse (Blitzschlag, Überschwemmung und Erdbeben)
  • fehlende organisatorische Governance bei den involvierten Akteuren

Im Gegensatz zu vielen anderen ISO-Normen zeigt die ISO 27400 sehr viele Beispiele von Risikoquellen. Im Bereich Sensorik und Kontrolle sind es beispielsweise 11, in den Bereichen Betrieb und Management, Anwendung und Dienstleistung sowie Benutzer sind es jeweils 6 und beim Ressourcenzugang und Datenaustausch 4. Im Anhang A.1 wird als Beispiel eine Risiko-Bewertung einer IoT-Überwachungskamera durchgeführt.

Zusätzlich werden Risikoquellen ausserhalb der IoT-Domänen aufgezeigt, dazu gehören Hacker, für einen Missbrauch anfällige Systeme und Geräte, Naturereignisse, die Abhängigkeit von Strom und Netzdiensten oder der Komplexität. Auch der Datenschutz wird immer wichtiger und wird adressiert. Für die Anwender ist es schwierig die Architektur der IoT-Produkte und die von den IoT-Sensoren über ihn gesammelten Daten zu verstehen, da die Einzelheiten der erfassten Daten entweder nicht von den Geräteherstellern weitergegeben werden. IoT-Geräte können miteinander kommunizieren und so Profile von Nutzern erstellen und das Nutzerverhalten durch Datenaggregation, Re-Identifizierung und Analysemethoden erfassen, um daraus beispielsweise geschäftliche Vorteile zu ziehen, was ohne das Wissen oder die Zustimmung des Nutzers geschehen könnte.

So kann beispielsweise ein digitaler Eindruck unseres täglichen Lebens durch die Überwachung von intelligenten Geräten zu Hause, die Verfolgung des Standorts unserer intelligenten Autos, die Überwachung unserer Gesundheitsparameter durch intelligente Gesundheitsgeräte oder die Verfolgung unserer Gespräche mit intelligenten Geräten, die für einen anderen Zweck bestimmt sind, entstehen.

Sicherheitskontrollen

Als Ergänzung zu den Kontrollen aus der ISO 27002 werden 45 Sicherheitskontrollen für IoT-Dienstentwickler und IoT-Dienstanbieter empfohlen. Aufgebaut sind sie nach dem Schema:

  • Zweck: erklärt den Zweck der Kontrolle
  • Zielgruppe: nennt die beteiligten Akteure, die über die Kontrolle informiert werden sollen
  • IoT-Domäne: listet die Domänen auf, auf die sich die Kontrolle bezieht
  • Leitfaden: liefert Informationen zur Durchführung

Sie teilen sich in Informationssicherheit (1-28) und Datenschutz (29-45) auf.

Nachfolgend werden die Sicherheitskontrollen kurz vorstellt:

  • 01: Politik für IoT-Sicherheit: Eine Strategie für die IoT-Sicherheit sollte definiert, von der Geschäftsleitung genehmigt, veröffentlicht, dem betreffenden Personal und relevanten externen Parteien mitgeteilt und in geplanten Abständen oder bei wesentlichen Änderungen überprüft werden.
  • 02: Organisation der IoT-Sicherheit: Die Rollen und Verantwortlichkeiten für die Sicherheit des IoT sollten definiert und zugewiesen werden.
  • 03: Informationsverwaltung: Die zu schützenden Informationen, IoT-Geräte und -Systeme sowie deren Funktionen und Abläufe sollten ermittelt werden.
  • 04: Ausrüstung und Werte, die sich ausserhalb physisch gesicherter Bereiche befinden: Für IoT-Geräte und -Anlagen, die sich ausserhalb physisch gesicherter Bereiche befinden oder betrieben werden, sollten besondere Sicherheitsmassnahmen ergriffen werden.
  • 05: Sichere Entsorgung oder Wiederverwendung von Geräten: Alle Geräte, die Speichermedien enthalten, sollten überprüft werden, um sicherzustellen, dass alle sensiblen Daten und lizenzierte Software vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben worden sind.
  • 06: Aus Sicherheitsvorfällen lernen: Die aus der Analyse und Lösung von IoT-Sicherheitsvorfällen gewonnenen Erkenntnisse sollten genutzt werden, um die Wahrscheinlichkeit oder die Auswirkungen künftiger Vorfälle zu verringern.
  • 07: Grundsätze der sicheren IoT-Systemtechnik: Bei der Entwicklung von IoT-Systemen sollten Grundsätze für die Entwicklung sicherer IoT-Systeme angewandt werden, die den Entwurf und die Implementierung von Sicherheitsfunktionen, die Verteidigung und die Härtung von Systemen und Software betreffen.
  • 08: Sichere Entwicklungsumgebung und -verfahren: Bei der Entwicklung von IoT-Systemen sollten eine sichere Entwicklungsumgebung und sichere Verfahren angewandt werden.
  • 09: Sicherheit von IoT-Systemen zur Unterstützung der Sicherheit: Bei der Entwicklung von IoT-Systemen sollten Sicherheitsgrundsätze zur Unterstützung der Sicherheit angewandt werden.
  • 10: Sicherheit bei der Verbindung verschiedener IoT-Geräte: Ein IoT-System sollte so konzipiert und implementiert werden, dass die Sicherheit bei der Verbindung verschiedener IoT-Geräte gewährleistet und aufrechterhalten wird.
  • 11: Verifizierung von IoT-Geräten und Systemdesign: Design und Implementierung von IoT-Geräten und IoT-Systemen sollten überprüft werden.
  • 12: Überwachung und Protokollierung: Zustände, Ereignisse und Netzwerkverkehr von IoT-Geräten und -Systemen sollten überwacht und protokolliert werden.
  • 13: Schutz von Protokollen: Protokolle für IoT-Geräte und -Systeme sollten vor Verlust, Zerstörung und unbeabsichtigter Änderung geschützt werden.
  • 14: Nutzung geeigneter Netzwerke für die IoT-Systeme: Netz- und Kommunikationstechnologien für IoT sollten den Anforderungen an Kommunikationsfunktion, -kapazität und -sicherheit sowie an Funktion und Leistung von IoT-Geräten gerecht werden.
  • 15: Sichere Einstellungen und Konfigurationen bei der Bereitstellung von IoT-Geräten und -Diensten: IoT-Geräte und -Dienste sollten mit sicheren Einstellungen und Konfigurationen geliefert werden.
  • 16: Benutzer- und Geräteauthentifizierung: Die Authentifizierungsfunktion von Nutzern und IoT-Geräten für den Zugriff auf IoT-Systeme und -Dienste sollte implementiert und angewendet werden.
  • 17: Bereitstellung von Software- und Firmware-Updates: Es sollten Mechanismen zur Aktualisierung der Software und Firmware von IoT-Geräten und -Systemen konzipiert, implementiert und betrieben werden.
  • 18: Austausch von Informationen über Schwachstellen: Die Schwachstellen von IoT-Geräten, -Systemen und -Diensten sollten überwacht und die IoT-Nutzer und die betroffenen Parteien zusammen mit den damit verbundenen Risiken informiert werden.
  • 19: Sicherheitsmassnahmen, die an den Lebenszyklus von IoT-Systemen und -Diensten angepasst sind: Die Sicherheitsmassnahmen des IoT-Systems und -Dienstes sollten an die Phasen des Lebenszyklus, einschliesslich Entwicklung, Betrieb, Wartung und Zerstörung, angepasst und beibehalten werden.
  • 20: Anleitung für IoT-Nutzer zur ordnungsgemässen Nutzung von IoT-Geräten und -Diensten: Den IoT-Nutzern sollten Anleitungen für die ordnungsgemässe Nutzung von IoT-Geräten zur Verfügung gestellt werden, wobei die Risiken und unerwünschten Auswirkungen von IoT-Systemen und -Diensten, die sich aus einer unsachgemässen Nutzung von IoT-Geräten ergeben können, zu berücksichtigen sind.
  • 21: Festlegung von Sicherheitsrollen für die Beteiligten: Die Rollen des Entwicklers von IoT-Diensten, des Anbieters von IoT-Diensten und anderer Beteiligter in Bezug auf die Sicherheit von IoT-Systemen und -Diensten sollten festgelegt und zwischen den betroffenen Parteien vereinbart werden.
  • 22: Verwaltung von gefährdeten Geräten: Anfällige IoT-Geräte sollten erkannt und aufgezeichnet werden, und IoT-Nutzer und Administratoren dieser Geräte sollten gewarnt werden.
  • 23: Management von Lieferantenbeziehungen im Bereich IoT-Sicherheit: Die Spezifikationen und unterstützenden Verpflichtungen der Lieferanten für die Informationssicherheit von IoT-Geräten und IoT-Diensten sollten von der beschaffenden Organisation auf der Grundlage der Verträge mit den Lieferanten verwaltet werden.
  • 24: Sichere Weitergabe von Informationen über die Sicherheit von IoT-Geräten: Informationen über das IoT-Gerät, die für die Sicherheit von IoT-Diensten relevant sind, sollten dokumentiert und nur den Parteien offengelegt werden, die sie benötigen.
  • 25: Kontakte und Support-Service: IoT-Nutzer sollten nur IoT-Geräte und IoT-Dienste wählen, die Kontaktinformationen für den Kundensupport bereitstellen.
  • 26: Grundeinstellungen von IoT-Gerät und -Dienst: Die Grund-Einstellungen des IoT-Geräts und des Dienstes sollten korrekt angewendet werden.
  • 27: Deaktivierung von nicht verwendeten Geräten: IoT-Geräte sollten deaktiviert und Berechtigungsnachweise widerrufen werden, wenn sie nicht mehr verwendet werden.
  • 28: Sichere Entsorgung oder Wiederverwendung von IoT-Geräten: Auf dem IoT-Gerät gespeicherte Daten und lizenzierte Software sollten vor der Entsorgung oder Wiederverwendung entfernt oder sicher überschrieben werden.
  • 29: Prävention von in die Privatsphäre eingreifenden Ereignissen: In die IoT-Geräte und -Dienste sollten Funktionen zur Verbesserung des Datenschutzes eingebaut werden.
  • 30: IoT-Datenschutz als Standard: Die an einem IoT-System Beteiligten sollten sicherstellen, dass ohne jegliche Interaktion oder Intervention des IoT-Nutzers standardmässig die strengsten Datenschutzeinstellungen gelten.
  • 31-1: Bereitstellung eines Datenschutzhinweises: Der IoT-Nutzer sollte einen Datenschutzhinweis erhalten, in dem die vom IoT-Gerät und dem IoT-Dienst erhobenen personenbezogenen Daten und der Zweck ihrer Verwendung angegeben sind.
  • 31-2: Die Zustimmung des IoT-Nutzers zum Datenschutzhinweis sollte eingeholt werden, bevor die personenbezogenen Daten erhoben oder der Verwendungszweck geändert wird.
  • 32: Verifizierung der IoT-Funktionalität: Unabhängige Prüfungen von IoT-Geräten, Datenkomponenten und IoT-Dienstkomponenten sollten bereitgestellt werden, um allen Beteiligten Transparenz und die Gewissheit zu geben, dass das IoT-Gerät oder der Dienst gemäss den angegebenen Zielen funktioniert.
  • 33: Berücksichtigung von IoT-Nutzern: Die Datenschutzanforderungen und -bedenken der Endnutzer sollten bei der Entwicklung von IoT-Geräten und -Diensten berücksichtigt werden.
  • 34: Verwaltung von IoT-Datenschutzkontrollen: Die Wirksamkeit der Datenschutzkontrollen in den IoT-Geräten und -Diensten sollte überprüft werden, und neue Datenschutzrisiken sollten unter Berücksichtigung der sich entwickelnden Datenschutzbedürfnisse der Endnutzer und der rechtlichen Anforderungen kontinuierlich ermittelt werden.
  • 35-1: Eindeutige Geräteidentität: IoT-Systementwickler (insbesondere Geräteentwickler) sollten eine Methode verwenden, die jedes IoT-Gerät eindeutig identifiziert, um den Datenschutz bei der Identifizierung von IoT-Geräten zu verbessern, die im Verdacht stehen, für einen Cybervorfall relevant zu sein.
  • 35-2: Anbieter von IoT-Diensten sollten bei Bedarf eine Methode anwenden, die eine eindeutige Zuordnung zwischen einem bestimmten IoT-Gerät und einem IoT-Nutzer ermöglicht, um den Datenschutz bei der Identifizierung der Zuordnung zwischen IoT-Gerät und IoT-Nutzer(n) zu verbessern.
  • 36: Ausfallsichere Authentifizierung: Das System sollte sicherstellen, dass die implementierte Authentifizierung nicht umgangen, manipuliert oder auf irgendeine vernünftige Weise gefälscht werden kann.
  • 37: Minimierung der indirekten Datenerfassung: Die Erhebung von Daten aus indirekten Quellen sollte auf ein Minimum reduziert oder ganz unterlassen werden.
  • 38: Mitteilung der Datenschutzpräferenzen: Benutzereinstellungen für Datenschutzkontrollen sollten nur hinzugefügt, geändert oder gelöscht werden, wenn der autorisierte Benutzer am System authentifiziert ist.
  • 39: Überprüfung der automatisierten Entscheidung: Die von IoT-Diensten bereitgestellten automatisierten Entscheidungen sollten überprüft werden.
  • 40: Rechenschaftspflicht gegenüber den Beteiligten: Die Rechenschaftspflicht der verschiedenen Beteiligten sollte festgelegt werden.
  • 41: Schutz von PII: Das IoT-System sollte sicherstellen, dass die personenbezogenen Daten des Nutzers, der ein Gerät besitzt, nicht identifiziert werden können.
  • 42: Austausch von Informationen über Massnahmen zum Schutz von personenbezogenen Daten bei IoT-Geräten: Massnahmen zum Schutz personenbezogener Daten im Zusammenhang mit dem Datenschutzrisiko bei IoT-Geräten sollten angemessen verwaltet und nur den Parteien offengelegt werden, die sie benötigen.
  • 43: Zustimmung des Benutzers: Die Zustimmung zur Verwendung personenbezogener Daten für das IoT-Gerät und den IoT-Dienst sollte nur nach Abwägung der Notwendigkeit und der wahrscheinlichen Auswirkungen einer Datenverletzung erteilt werden. Die Zustimmung sollte zurückgezogen werden, wenn der IoT-Output nicht mehr benötigt wird oder wenn es ein Problem mit dem IoT-Gerät oder -Dienst gibt.
  • 44: Zweckmässige Nutzung zur Verbindung mit anderen Geräten und Diensten: Die Verbindung von IoT-Geräten und -Diensten mit anderen Geräten oder Diensten sollte nur dann erlaubt sein, wenn ein berechtigter Bedarf besteht.
  • 45: Zertifizierung/Validierung des Schutzes von personenbezogenen Daten: Es sollte eine Zertifizierung oder Validierung der Datenschutzfunktionen in Bezug auf das IoT-Gerät und den Dienst angestrebt werden.

Zusammenfassend ist die ISO 27400 ein umfassendes Nachschlagemittel, wenn es um die Sicherheits- und Datenschutz-Anforderungen von IoT-Geräten geht. Verschiedene Risiken werden aufgezeigt und beschrieben. Das Beispiel Risikoszenario einer IoT-Überwachungskamera hilft ein Verständnis dafür zu bekommen. Die 45 Sicherheitskontrollen zu den Themen Informationssicherheit und Datenschutz helfen, geeignete Massnahmen zum Schutz der Systeme und Daten zu bekommen.


Die Norm kann unter https://www.iso.org/standard/44373.html kostenpflichtig bezogen werden.

×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

ISO 27007 - Leitfaden für das Auditieren von Infor...
ISO 27006 – Anforderungen an die Zertifizierer

Related Posts

 

Comments

No comments made yet. Be the first to submit a comment
Montag, 20. Mai 2024

Captcha Image