Seit Mitte Juni 2022 hat die ISO (Internationale Organisation für Normung), ein weltweiter Zusammenschluss von nationalen Normungsgremien (ISO-Mitgliedsorganisationen) ihre neuste Ausarbeitung einer international gültigen Norm zum Schutz von IOT-Geräten mit Bezug auf die Absicherung und den Datenschutz veröffentlicht.
ISO 27400:2022 – Ein erwarteter tiefgreifender Standard für gesamtheitliche IoT-Sicherheit
Der Anwendungsbereich der neuen ISO Norm umfasst technische und organisaotrische Maßnahmen in Form von Leitlinien zu Risiken, Grundsätzen und Kontrollen für die Sicherheit und den Datenschutz von Lösungen für das Internet der Dinge (IoT).
Gemäß des technischen Expertengremiums, „[ist die] Informationssicherheit […] ein Hauptanliegen jedes Systems der Informations- und Kommunikationstechnologie (IKT), und Systeme des Internets der Dinge (IoT) bilden hier keine Ausnahme. IoT-Systeme stellen eine besondere Herausforderung für die Informationssicherheit dar, da sie hochgradig verteilt sind und eine große Anzahl unterschiedlicher Einheiten umfassen. Daraus ergibt sich eine sehr große Angriffsfläche und eine große Herausforderung für das Informationssicherheitsmanagementsystem (ISMS), geeignete Sicherheitskontrollen im gesamten System anzuwenden und aufrechtzuerhalten.
Der Schutz der Privatsphäre oder personenbezogener Daten ist bei einigen Arten von IoT-Systemen ein wichtiges Anliegen. Wenn ein IoT-System personenbezogene Daten erfasst oder verwendet, gibt es in der Regel Gesetze und Vorschriften, die für die Erfassung, Speicherung und Verarbeitung von personenbezogenen Daten gelten. Selbst wenn die Vorschriften keine Rolle spielen, bleibt der Umgang mit PII durch ein IoT-System für die beteiligten Organisationen ein Problem für den Ruf und das Vertrauen, zum Beispiel wenn die PII gestohlen oder missbraucht werden und den durch die Informationen identifizierten Personen in irgendeiner Form Schaden zufügen könnten.
Die Sicherheits- und Datenschutzkontrollen in diesem Dokument wurden für die Beteiligten in einer IoT-Systemumgebung entwickelt, damit sie von jedem IoT-Beteiligten während des gesamten Lebenszyklus des IoT-Systems genutzt werden können.“
Aufbau und Struktur der neuen ISO 27400:2022
Die neue, 42 Seiten umfassende, ISO-norm teilt sich wie erwartet in die bekannten, durch den Annex SL bedingten, Normkapitel plus 4 inhaltlich tiefergreifende Abschnitte. Diese gliedern sich in folgende Themenschwerpunkte:
| 5 IoT concepts |
| 5.1 General |
| 5.2 Characteristics of IoT systems |
| 5.3 Stakeholders of IoT systems |
| 5.4 IoT ecosystem |
| 5.5 IoT service life cycles |
| 5.6 Domain based reference model |
| 6 Risk sources for IoT systems |
| 6.1 General |
| 6.3 Risk sources |
| 7 Security and privacy controls |
| 7.1 Security controls |
| 7.2 Privacy controls |
Definition: Was ist das Internet of Things und welche Geräte gehören dazu?
Eine formale Definition des Internet of things gibt es nicht, da der Begriff ein großes Spektrum von Verwendungen einschließt die sich über Funktion oder Verbindungsform zum Grundgedanken des IoT zählen lassen.. In den meisten Fällen beschreibt IoT jedoch ein Netzwerk zur Maschinenkommunikation. Der Begriff ist dabei vom herkömmlichen Internet (Social Internet) abzugrenzen, in dem vorrangig Menschen mit anderen Menschen oder Maschinen (z. B. Servern) kommunizieren. Das Internet of Things in seiner jetzigen Ausbaustufe ist erst durch den technologischen Fortschritt in den letzten zwei Dekaden ermöglicht worden und entwickelt sich derzeit zum Quasi-Standard neuer Technologieplattformen.
Internet of Things im privaten Bereich
IoT-Geräte, die für jeden zugänglich sind, sollen in erster Linie das Alltagsleben erleichtern. Dazu werden internetfähige Geräte oder Anwendungen miteinander verknüpft und so steuerbar gemacht. Dies können zum Beispiel sämtliche Komponenten eines Smart Homes sein. Durch das Internet of Things ist es Nutzern möglich, eine Mitteilung beim Eintritt bestimmter Ereignisse zu erhalten, z. B. wenn die Raumtemperatur unter einen bestimmten Wert fällt oder die elektrische Zahnbürste mit zu viel Druck verwendet wird. Aber auch die intelligenten Sensoren können im IoT selbständig dafür sorgen, dass etwa ein Rollladen automatisch das Fenster verdunkelt – ohne dass der Mensch noch selbst eingreifen muss.
Die Begriffe Smart City und Smart Environment fallen auch im Zusammenhang mit IoT. Sie umfassen die Schaffung und Verwendung eines IoT zur Optimierung der eigenen Umwelt, einer ganzen Stadt oder Region.
Industrial Internet of Things (IIoT)
Weiterhin kann man das Industrial Internet of Things vom privaten IoT unterscheiden. Hierbei werden einzelne Maschinen oder ganze Anlagen miteinander vernetzt. Dadurch soll die Effizienz gesteigert werden:
- Kommunikation/Informationsaustausch zwischen Maschinen, Fahrzeugen, Containern, Automaten (M2M)
- Hoher Grad der Automatisierung
- Optimierung der Prozesse
- Problemfrüherkennung (Selbst-Diagnostik)
- Vermeidung von Ausfällen
- Ressourcenschonende Fertigung
Der Grundbaustein für diesen neuen Technologisierungsgrad war die radio-frequency identification (kurz RFID). Sie ermöglichte einem ein Empfänger-Gerät bei kontaktloser Übertragung, den Sender zu identifizieren und zu lokalisieren. (Quelle: Internet of Things: Definition, Anwendung, Risiken (link11.com))
Oft wird das IIoT gleichgesetzt mit dem Begriff Industrie 4.0, dies ist aber nicht korrekt. Dahinter verbirgt sich ein Digitalisierungsprojekt, das erst in der Zukunft vollständig umsetzbar sein wird. Voraussetzung für diese vierte industrielle Revolution sind unter anderem das Internet der Dinge, Cloud Computing und künstliche Intelligenz (KI).
Privilegierte Accounts schützen (PAM) zum Schutz von IoT-Technologien
Privilegierte Nutzerkonten, Passwörter und Secrets kommen überall vor: Schätzungen zufolge ist ihre Zahl meist drei- bis viermal so hoch wie die der Mitarbeiter. Vorallem bei modernen Technologien, die darauf setzen, dass quasi Alles miteinander verbunden und von überall erreichbar sein soll, nimmt die Angriffsfläche rasch zu, da Systeme, Anwendungen, Maschine-zu-Maschine-Konten, Cloud- und Hybridumgebungen, DevOps, robotergesteuerte Prozessautomatisierung als auch IoT-Geräte immer mehr adminstrative Zugänge bereitstellen. Angreifer wissen das und haben es deshalb auf genau diese privilegierten Accounts abgesehen. über 95 % Prozent komplexer Angriffe basieren auf der Ausnutzung privilegierter Anmeldedaten, da diese Zugang zu besonders sensiblen Daten, Anwendungen und Infrastrukturen ermöglichen. In den falschen Händen können solche Privilegien den Geschäftsbetrieb eines Unternehmens erheblich stören.
VISULOX ist eine PAM Lösung, entwickelt in Deutschland zum Schutz privilegierter Accounts
VISULOX Privileged Access Management ist die zentrale Zugriffskomponente zwischen dem Benutzer und seinen Tasks. So kann dokumentiert werden, wer wann auf welche Anwendung Zugriff hat und wer diese wann autorisiert hat. Über VISULOX Privileged Access Management erfolgt auch die Präsentation einer Anwendung und wird ebenfalls dokumentiert. So haben Sie die Kontrolle und den Überblick über alle Aktivitäten im System. Und das alles ohne Änderungen am Client oder Server, im laufenden Betrieb.
Steuern Sie zentral alle Zugriffe privilegierter Nutzer auf interne IT- und OT-Systeme
Harmonisieren Sie heterogene Zugriffsanforderungen entsprechend der organisatorischen Vorgaben
Verlassen Sie sich jederzeit und überall auf revisionssichere Aufzeichnungen über jede Aktivität innerhalb IT und OT
VISULOX wird seit 2003 von der amitego in Deutschland entwickelt und ist weltweit bei kleinen- bis mittelständischen, hin zu DAX30 Unternehmen, branchenübergreifend im Einsatz.