Kalifornien
hat die Sicherheit von SB-327 IoT-GerĂ€ten bestanden. Es verpflichtet intelligente Systementwickler, ein eindeutiges Paar aus Benutzername und Kennwort fĂŒr sie zu erstellen. Das Dokument wurde bereits vom Gouverneur unterzeichnet. Wir sprechen ĂŒber die Meinung der Community und die Auswirkungen des neuen Gesetzes auf die Entwicklung der Branche.
/ Flickr / al king / ccWas ist die Essenz
SB-327 mit dem Namen Information Security: Connected Devices wurde seit letztem Februar von kalifornischen Senatoren
entwickelt . "Verbundene GerÀte" bezieht sich in diesem Fall auf alle GerÀte mit Internetverbindung, IP-Adresse oder Bluetooth.
Senatorin Hannah-Beth Jackson, die die Gesetzesvorlage verfasst hat,
sagte, ein solches Gesetz hĂ€tte schon lange existieren sollen. Laut ihr sind normale Verbraucher selten an den Sicherheitsproblemen der von ihnen gekauften GerĂ€te interessiert, da die Entwickler es nicht eilig haben, SicherheitslĂŒcken zu beseitigen.
Von besonderer Bedeutung ist das Problem bei Kinderspielzeug. Als Beispiel zitieren Senatoren in ErgÀnzungen des Gesetzentwurfs die Situation mit My Friend Cayla-Puppen (
Senate Floor Analyzes vom 28.08.18 ). Sie können mit Kindern kommunizieren und Aufzeichnungen an die Server des Herstellers weiterleiten, um beispielsweise eine Frage zu analysieren und eine Antwort darauf zu finden. Dies schafft eine potenzielle Verwundbarkeit fĂŒr die persönlichen Daten des Kindes. Aus diesem Grund war der
Verkauf solcher Puppen in Deutschland generell
verboten .
Die Hauptanforderung des kalifornischen Gesetzes
besteht darin, dass jeder Hersteller von IoT-GerĂ€ten seine GerĂ€te mit âgeeigneter SchutzausrĂŒstungâ ausstatten muss. Der Schutzgrad hĂ€ngt von der Funktion des GerĂ€ts und den Informationen ab, die es verwendet und ĂŒbertrĂ€gt.
Das Gesetz sagt nicht aus, was unter âangemessenem Schutzâ zu verstehen ist, aber die Anforderungen an Authentifizierungsmechanismen sind festgelegt. Wenn das verbundene GerĂ€t ĂŒber einen Internetzugang verfĂŒgt, muss sein Authentifizierungssystem eines von zwei Kriterien erfĂŒllen. ZunĂ€chst erstellt der Hersteller selbst eindeutige Kombinationen aus Login und Passwort fĂŒr jedes einzelne GerĂ€t. Zweitens: Der Entwickler verpflichtet den KĂ€ufer, die Standard-Werksdaten fĂŒr die Anmeldung zu Ă€ndern, wenn er das GerĂ€t zum ersten Mal verwendet.
Das Gesetz gilt fĂŒr alle Unternehmen, die IoT-GerĂ€te in Kalifornien herstellen oder verkaufen. SB-327 tritt am 1. Januar 2020 in Kraft.
Meinungen zum Gesetz
Das neue Gesetz wurde mehrdeutig erfĂŒllt. Einige Benutzer und Experten waren sich einig, dass das Verbot von Standardkennwörtern zumindest ein wenig, aber die Sicherheit von IoT-GerĂ€ten erhöhen wird. Das Fehlen anderer spezifischer Anforderungen an die Hersteller verwirrte die Community jedoch.
Cybersicherheitsexperten haben das Gesetz skeptisch verabschiedet. Einer der Hauptkritiker war Robert Graham, Experte fĂŒr Cybersicherheit bei Errata Security. Robert
schreibt, dass der Wortlaut von âRechtsmittelnâ zu vage ist, so dass es fĂŒr Organisationen schwierig sein wird, Kriterien fĂŒr die ErfĂŒllung der Anforderungen des Gesetzes zu definieren.
DarĂŒber hinaus ist es unmöglich, gesetzlich festzulegen, wie bestimmten Bedrohungen entgegengewirkt werden kann, da stĂ€ndig neue Arten von Angriffen auftreten. Graham glaubt, dass Möglichkeiten zum Schutz des Internet der Dinge nicht gesetzlich definiert werden können, und der SB-327 wird nur die Kosten fĂŒr die Herstellung intelligenter GerĂ€te erhöhen.
Das Gesetz ist auch nach
Meinung von Joe Lea, Vice President von Armis Product, nutzlos. Sein Unternehmen schafft eine Plattform zum Schutz von IoT-Netzwerken. Laut Joe ist die Sicherheit des Internets der Dinge eine komplexe Branche, die sich nicht nur auf Kennwortprobleme fĂŒr GerĂ€te beschrĂ€nkt.
Eine Reihe von Experten fĂŒr Informationssicherheit unterstĂŒtzten die neue Gesetzesvorlage. Eine solche Person war Beau Woods, ein Sicherheitsspezialist des Think Tanks des Atlantic Council. Ihm zufolge wurde vage Wortlaut in der Gesetzgebung absichtlich verwendet. Auf diese Weise können Unternehmen GerĂ€teschutzanforderungen unabhĂ€ngig entwickeln.
Viele Experten glauben, dass selbst ein unvollkommenes Gesetz besser ist als seine Abwesenheit. Der Cybersicherheitsautor und Kryptograf Bruce Schneier
sagte, der SB-327 sei ein Schritt in die richtige Richtung, obwohl dieses Dokument nicht ausreiche, um das Internet der Dinge vollstÀndig zu regulieren.
âDas Gesetz sollte helfen, das Problem des unbefugten Zugriffs auf GerĂ€te zu lösen. Dies ist jedoch kein Allheilmittel â, kommentiert Sergey Belkin, Leiter der Entwicklungsabteilung fĂŒr Infrastrukturvermietungsdienste in der Cloud 1cloud.ru . - Eindeutige und sichere Passwörter sollten das Hacken von intelligenten Gadgets mithilfe der banalen Wörterbuchsuche erschweren. Es gibt jedoch viele andere Möglichkeiten, um Zugriff auf GerĂ€te zu erhalten, z. B. die DNS-Neubindung . Diese Art von Angriff betrifft weltweit mehr als eine halbe Milliarde IoT-GerĂ€te. â
Benutzer unterstĂŒtzen im Allgemeinen die Initiative der kalifornischen Regierung. Einwohner von Hacker News
weisen darauf hin, dass die Passwörter der Hersteller möglicherweise zu vorhersehbar sind und mit der Seriennummer ĂŒbereinstimmen. Diese Lösung ist jedoch besser als das Standardkennwort fĂŒr alle GerĂ€te desselben Modells.
Einige Benutzer finden das Gesetz bedeutungslos. Ein Kommentator zu Slashdot gab
an, dass die Sicherheitsprobleme von IoT-GerĂ€ten meistens nicht durch Ăndern des Kennworts gelöst werden und mit Schwachstellen in den Firmware- und Softwaremodulen verbunden sind. Beispielsweise wurde 2017 ein Fehler in der gSOAP-Bibliothek entdeckt, die von Herstellern von IoT-GerĂ€ten verwendet wird. WĂ€hrend der Demonstration brachen Sicherheitsexperten in eine Heimkamera ein und erhielten ein Bild von ihr.
Wer entwirft noch Gesetze fĂŒr das Internet der Dinge?
Es ist nicht nur Kalifornien, das daran arbeitet, das Internet der Dinge zu schĂŒtzen. Im vergangenen Jahr wurden dem US-Kongress mehrere Projekte zu diesem Thema vorgelegt. Dazu gehören das Securing IoT Act von 2017 und das Internet of Things Cybersecurity Improvement Act von 2017, nach denen die Bundesbehörden Standardsicherheitsanforderungen fĂŒr IoT-GerĂ€te entwickeln mĂŒssen.
Zuvor gab die US-Regierung Richtlinien fĂŒr Hersteller intelligenter GerĂ€te heraus, in denen Empfehlungen zum Schutz der persönlichen Daten der Benutzer gesammelt wurden. Beispielsweise wurde ein solches
Dokument 2015 von der Federal Trade Commission (FTC) veröffentlicht.
/ Flickr / coniferconifer / CCIn Europa gibt es auch Àhnliche Dokumente, insbesondere die im Juli 2016 verabschiedete
Richtlinie zur Sicherheit von Netzen und Informationssystemen (NIS-Richtlinie). Es befasst sich nicht direkt mit dem Internet der Dinge, sondern legt Anforderungen an den Schutz von Unternehmenssystemen in kritischen Bereichen fest: Energie, Finanzen, Gesundheitswesen und Transportindustrie. Das Dokument enthÀlt nur eine Liste von Regeln, und jeder Staat der EuropÀischen Union sollte seine Umsetzungsmethoden unabhÀngig festlegen.
Das Gesetz zum Schutz von IoT-GerÀten wird ebenfalls
von der australischen Regierung entwickelt. Laut Politikern streben sie ein ausgewogenes Dokument an, das die Verbraucher schĂŒtzt und die Innovation im Internet der Dinge nicht einschrĂ€nkt. Zu diesem Zweck steht die Regulierungsbehörde im Dialog mit Vertretern der Industrie. Bisher diskutieren Politiker nur die Anforderungen an Hersteller von Smart Devices.
Das kalifornische Recht war somit das erste, das allgemeine Anforderungen fĂŒr alle Hersteller von IoT-GerĂ€ten formulierte. Und obwohl es unvollkommen ist,
wird angenommen, dass die Richtlinie ein Leitfaden fĂŒr andere LĂ€nder sein und mit der aktiven Arbeit an der Sicherheit intelligenter GerĂ€te beginnen wird.
Neues Material aus unserem Unternehmensblog: