Der Cybersecurity Improvement Act, also das Gesetz zur Verbesserung der Cybersicherheit, ist nun seit 2020 in den USA in Kraft. Das Gesetz verpflichtete das National Institute of Standards and Technology (NIST), Mindestsicherheitsstandards und -richtlinien für die US-Bundesregierung zu entwickeln, die dann die Grundlage für neue IoT-Beschaffungsbeschränkungen bilden sollen.
Die Hersteller von IoT-Geräten müssen neue Normen und Vorschriften befolgen, um diese Anforderungen der Behörden zu erfüllen.a
Eine kurze Einführung in den Cybersecurity Improvement Act und die NIST-Richtlinien
Der Cybersecurity Improvement Act von 2020 (IoT CIA) ist das erste Bundesgesetz in den Vereinigten Staaten, das die Sicherheit von IoT-Geräten regelt. Nach den Rechtsvorschriften ist ein IoT-Gerät ein Gerät, das über mindestens einen Sensor oder Aktor zur direkten Interaktion mit der physischen Welt, mindestens eine Netzwerkschnittstelle und die Fähigkeit verfügt, unabhängig und nicht nur als Teil eines größeren Systems zu funktionieren. Smartphones, Laptops und andere elektronische Geräte fallen nicht unter dieses Statut.
Das Gesetz gilt für IoT-Geräte, die einer Behörde gehören oder von ihr kontrolliert werden und mit einem föderalen Informationssystem verbunden sind, das vom NIST als „ein Informationssystem, das von einer Exekutivbehörde, einem Auftragnehmer einer Exekutivbehörde oder einer anderen Organisation im Namen einer Exekutivbehörde verwendet oder betrieben wird“ definiert wird.
Der IoT CIA befasst sich nicht mit der Sicherung einzelner Geräte durch die Einführung von Passwortanforderungen oder Verschlüsselungsstandards, die beide noch weiterentwickelt werden müssen. Stattdessen wendet sie sich an das National Institute of Standards and Technology (NIST), das viele der Standards festlegt, die US-Bundesorganisationen bei der Anschaffung von vernetzten Geräten beachten müssen. Diese Regeln betrachten die Gesamtsicherheit als eine Sammlung von Komponenten, die bestimmte Vorschriften für die Geräte-, Cloud- und Kommunikationssicherheit erforderlich machen.
Der IoT Cybersecurity Improvement Act von 2020 verlangt vom NIST die Veröffentlichung von Standards und Richtlinien für Behörden zur „angemessenen Nutzung und Verwaltung von [IoT-] Geräten durch Behörden“. Das NIST hat im Dezember 2021 die endgültige Version der IoT-Cybersicherheitsrichtlinien für Bundesbehörden veröffentlicht, die NIST SP 800-213 Series.
-
„SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements“ wurde auf der Grundlage des Feedbacks von Interessengruppen überarbeitet, um klarer und benutzerfreundlicher zu sein und dem Spektrum der Fähigkeiten von IoT-Geräten, die für US-Bundesbehörden von Interesse sein könnten, besser Rechnung zu tragen.
-
„SP 800-213A, IoT Device Cybersecurity Requirements Catalog“, wurde überarbeitet, um eine einheitlichere Darstellung, ein ausgewogeneres Verhältnis zwischen technischen und nichttechnischen Aspekten und eine einfachere Referenzierung zu erreichen. Dieser Katalog enthält Zuordnungen zu SP 800-53 und dem Cybersecurity Framework sowie ein IoT-Cybersecurity-Profil. Das Material, das in dieser neuen Veröffentlichung enthalten ist, basiert auf dem kollaborativen Input der Öffentlichkeit, den NIST über GitHub während des gesamten Jahres 2021 erhalten hat.
Ziel dieser Gesetzgebung war es, dass das NIST Mindeststandards für IoT-Geräte festlegt, die von der US-Bundesregierung beschafft und gekauft werden, um die Beschaffungsfähigkeiten der US-Bundesregierung potenziell zur Sicherung von IoT-Geräten zu nutzen.
Der „Internet of Things Cybersecurity Improvement Act“ von 2020 verbietet es Behörden generell, nach dem 4. Dezember 2022 ein IoT-Gerät zu beschaffen oder zu verwenden, wenn dieses Gerät als „nicht konform“ mit den vom National Institute of Standards and Technology (NIST) entwickelten Standards gilt.
Die Kunden der US-Bundesbehörden müssen bedenken, dass das Risk Management Framework (RMF) die grundlegende Sicherheitsrichtlinie für US-Bundessysteme bleibt und für IoT-Geräte genauso gilt wie für jede andere Informations-, Kommunikations- oder Betriebstechnologie.
IoT-Einführung in der US-Regierung
Die US-Regierung verlässt sich seit Jahren auf IoT-verbundene Geräte, und nach der zunehmenden Zahl von Angriffen ist es nicht verwunderlich, dass nun Gesetze erlassen werden, um die von ihr erworbenen und angeschlossenen IoT-Geräte zu sichern.
Die US-Regierung nutzt IoT-Geräte auf breiter Basis, um Einrichtungen zu verbessern und Kosten zu senken. Im Bereich der intelligenten Gebäude sind beispielsweise in 80 Regierungsgebäuden mit hohem Energieverbrauch Tausende von kostengünstigen vernetzten Sensoren installiert. Die Government Services Administration setzt Telematik ein, um die Emissionen von mehr als 200.000 Fahrzeugen zu verfolgen, zu lokalisieren und zu überwachen und so die Einhaltung der Regierungsvorgaben zur Senkung der Treibhausgasemissionen um 30 % bis 2025 zu gewährleisten. Andere Bundesbehörden wie das US-Verteidigungsministerium (Department of Defense, DoD) verwenden RFID-Etiketten und Sensoren von vernetzten Geräten, um militärische Güter wie Kleidung, Baumaterialien und medizinische Güter zu verfolgen und zu verwalten. Diese Geräte haben es der Defense Logistics Agency und dem US Transportation Command ermöglicht, Milliarden von Transaktionen pro Monat aus den Logistiksystemen des Verteidigungsministeriums und von kommerziellen Transportunternehmen zu überwachen.
Wir sollten auch bedenken, dass die heutigen IoT-Systeme in andere integriert werden und zu „Systemen von Systemen“ werden. Mit dieser Integration entwickelt sich die Cybersicherheit zu einem umfassenderen Vertrauenskonzept, das nicht nur die Integrität von Daten, Verbindungen und Geräten, sondern auch die Zuverlässigkeit der Ergebnisse umfasst.
Bewährte Methoden
Die ursprünglichen NIST-Regeln enthalten die aktuellen bewährten Praktiken. Diese Praktiken reichen von eindeutigen Identitäten für jedes Gerät, so dass es in einem Netzwerk identifiziert werden kann, bis hin zu einer Möglichkeit für autorisierte Benutzer, Funktionen in Bezug auf Zugang und Sicherheit zu ändern und ein Over-the-Air-Update-Programm für Geräte zu gewährleisten. Die Richtlinien beinhalten auch die Protokollierung der Aktionen eines IoT-Geräts oder der zugehörigen App und eine klare und sichere Kommunikation der Details der Gerätesicherheit an den Benutzer.
Für Branchen wie die Fertigungsindustrie, die sich zunehmend auf Digitale Zertifikate und Public Key Infrastructure (PKI) verlassen, wie das Angebot von GlobalSign, das eine sichere Geräteidentität ermöglicht, ist dieses Gesetz ein Schritt in die richtige Richtung. Experten warnen seit Jahren davor, dass vernetzte Geräte angreifbar sein könnten, wenn es keine Möglichkeit gibt, ihre Software zu patchen oder gemeinsam genutzte, fest kodierte Passwörter zu ersetzen, die in den Fabriken festgelegt wurden. Dies wird zunehmend zum Problem, da Hacker gerne grundlegende Sicherheitslücken ausnutzen, insbesondere bei Sensoren. Durch die Nutzung bestehender bewährter Verfahren werden stärkere Authentifizierungsansätze, z. B. eindeutige digitale Zertifikate für jedes Gerät, nun in größerem Umfang eingesetzt. Dieses Gesetz ist ein Anstoß für die Hersteller, enger mit der Cybersicherheitsbranche zusammenzuarbeiten, um sicherzustellen, dass die Geräte auf dem explodierenden IoT-Markt so sicher wie möglich sind.
Unsere Meinung zu dem Gesetz
GlobalSign bietet seit vielen Jahren Identitäts- und Sicherheitslösungen an. Als Experten auf dem Gebiet der Identität und Sicherheit für einige der weltweit größten Unternehmen sind wir der Meinung, dass dieses Gesetz zeigt, dass die US-Regierung die notwendigen Schritte unternommen hat, um die Sicherheit von vernetzten Geräten zu gewährleisten, und dass dadurch stärkere Sicherheitslösungen eingeführt werden, um Angriffe zu begrenzen. Unser Unternehmen ist einzigartig positioniert, um digitale Zertifikate in großem Umfang für IoT-Geräte auszustellen und starke Geräteidentitäten zu liefern, die die Grundlagen der IoT-Sicherheit ermöglichen: Authentifizierung, Verschlüsselung und Geräteintegrität. Wir arbeiten eng mit den Herstellern einiger dieser Geräte zusammen, die in einigen Fällen Teil von Regierungsnetzwerken sein könnten.
Wir sind uns auch bewusst, dass IoT-Geräte, die sich im Besitz oder unter der Kontrolle einer Behörde befinden, sowohl für die aktuelle als auch für die zukünftige Zusammenarbeit mit der Regierung über die entsprechenden Sicherheitsmaßnahmen verfügen müssen. Wenn diese strengen Kontrollen nicht eingehalten werden, könnte dies zu einem erheblichen Verlust bestehender oder künftiger Geschäftsmöglichkeiten führen.
Es ist zwingend erforderlich, dass die IoT-Stakeholder auf Bundesebene in diesem Umfeld engagiert und aktiv bleiben, da die Standards und Empfehlungen zur IoT-Sicherheit des NIST langfristige Auswirkungen auf das gesamte IoT-Ökosystem haben werden.
Auch nicht-staatliche Unternehmen im IoT-Sektor, die nicht von diesem Gesetz betroffen sind, sollten die Umsetzung der NIST-Standards in Erwägung ziehen. Der Vorteil ist, dass sie ihre IoT-Produktlinie dann als konform mit den staatlichen Sicherheitskriterien verkaufen können.
Wenn Sie mehr darüber erfahren möchten, wie IoT-Sicherheit mit PKI funktioniert, klicken Sie hier und erfahren Sie mehr über unsere IoT-Lösungen.
