IoT Gesetz in Kalifornien tritt in Kraft
Der Staat Kalifornien in USA hat als erster seines Landes ein Gesetz (SB-327) zur IT-Sicherheit für IoT (Internet of Things) verabschiedet.
IoT Geräte, SmartHome und vernetzte Systeme sollen unser Leben einfacher machen. Das hört sich für alle sehr gut an und wer würde nicht gerne aus der Ferne via App die Heizung in seiner Wohnung auf Wohlfühltemperatur stellen?
Aber gerade Systeme und Geräte mit Internetzugang stellen doch heutzutage ein erhebliches IT-Sicherheitsrisiko dar. Der Staat Kalifornien in USA hat als erster seines Landes ein Gesetz (SB-327) zur IT-Sicherheit für IoT (Internet of Things) verabschiedet und das ist seit 1. Januar 2020 in Kraft.
Es gilt für alle Geräte, welche direkt oder indirekt mit dem Internet verbunden sind und stellt eine Mindestanforderung an die IT-Sicherheit des Gerätes.
Das Gesetz SB-327 fordert die Hersteller auf, eine angemessene Sicherheit zu gewährleisten und vor allem keine voreingestellten Standardpasswörter zu verwenden.
Unsere Interpretation dieses Gesetzes stellt sich wie folgt dar:
1. Das Security-Level des Gerätes muss der Anwendung bzw. dem Anwendungsfall angepasst sein. Zum Beispiel sind für einen Sensor, welcher nur Daten liefert andere Maßnahmen erforderlich gegenüber einem Fernwartungsrouter der Zugriff auf sensible Daten gibt. Hierzu diente uns als Richtlinie die IEC 62443-4-2 in Verwendung mit dem Teletrust Prüfschema bei der Entwicklung und Herstellung unserer Geräte.
2. Die Security-Einrichtung soll vor Hackern schützen, die auf das Gerät zugreifen und es modifizieren wollen. Zum Beispiel soll das Gerät keine fremd-modifizierte Firmware akzeptieren und einen sicheren Boot-Prozess vorweisen. Wir bei MB connect line signieren unsere Firmware und unsere Firmwarevertrauensanker sind manipulationssicher auf dem Gerät eingebrannt. Zusätzlich sind alle Sicherheitsschlüssel in einem Harware-Secure-Element abgelegt und sind nicht durch Software einsehbar.
3. Wenn über das öffentliche Internet auf ein Gerät zugegriffen werden kann, dann sollte das Gerät entweder a) ein individuelles Passwort haben (also definitiv kein Standard-Passwort wie admin/admin oder ähnliche) oder b) bei der Inbetriebnahme wird der Anwender gezwungen ein Passwort festzulegen.
Mit unseren Geräten mbNET und mbNETFIX sind wir 100%ig konform zu dem Gesetz SB-327. Mehr zu den Sicherheitsmerkmalen unserer Geräte finden Sie hier.
Fazit:
Die geplanten Normen und Standards, wie z.B. IEC 62443, haben internationale Bedeutung und zunehmend Auswirkung auf künftige Geräte und Lösungen. Trotzdem gilt nach wie vor: Security ist kein Produkt, sondern ein Prozess, den man auch leben muss. Kalifornien zeigt hier, dass man zumindest mal anfangen muß ein paar Maßstäbe zu setzen. Minimalanforderungen, wie sichere Passwörter gesetzlich zu regeln, ist zumindest keine schlechte Idee.