Der Übergang zu 5G könnte für Hersteller von IoT-Geräten eine größere Sicherheitsbelastung bedeuten

Cyber Security News

Das Pentagon mit dem Washington Monument und der National Mall im Hintergrund. Während das Verteidigungsministerium an Standards arbeitet, um die 5G-Einführung zu diktieren, könnten die Sicherheitsanforderungen für IoT-Hersteller zu hoch sein. (U.S. Air Force Foto von Senior Airman Perry Aston)

Während öffentliche und private Einrichtungen allmählich in Richtung 5G marschieren, könnte die finanzielle Belastung durch hohe Sicherheitsstandards einige Hersteller von Internet-of-Things-Geräten dazu zwingen, sich aus stark regulierten Märkten wie dem Verteidigungssektor zurückzuziehen.

Natürlich sind viele Sicherheitshürden für IoT-Gerätehersteller nicht spezifisch für 5G. Aber der Übergang zum neuesten Protokoll wird wahrscheinlich zu spezifischen Standards für die Netzwerkintegration führen, die von der Regierung angeführt werden, aber längerfristig auch von privatwirtschaftlichen Unternehmen übernommen werden könnten.

“Das Problem ist, dass kleiner, schneller, billiger nicht sehr kompatibel mit Sicherheit ist”, sagte Keith Gremban, Programmmanager im Office of the Under Secretary of Defense for Research and Engineering, in einem Interview mit SC Media. Gremban nahm auch an einer Podiumsdiskussion über 5G-Standards im Verteidigungsministerium teil, die vom D.C. Chapter der AFCEA veranstaltet wurde. “Stellen Sie sich ein Start-up vor, das versucht, ein Produkt auf den Markt zu bringen. Sie haben eine [venture capital firm] über die Schulter schauen, besorgt um den ROI. Sie haben die Konkurrenz im Nacken sitzen. Werden sie die Produktfreigabe um sechs Monate verzögern, um das Produkt sicher zu machen? Wird der VC sie das tun lassen?”

Das Gleiche gelte auch jenseits des IoT, fügte er hinzu und verwies auf die Herausforderungen bei der breiten Einführung eines “sicheren” Autos, trotz zahlreicher Vorfälle, bei denen Autos gehackt wurden.

Letztendlich müssen Hersteller von IoT-Geräten eine ganze Reihe von Sicherheitsanforderungen erfüllen, vor allem diejenigen, die auf den staatlichen Markt abzielen wollen. Der Vormarsch auf 5G schafft ein Gefühl der Dringlichkeit in Bezug auf diese Anforderungen, während gleichzeitig neue Anforderungen bei potenziellen Käufern eingeführt werden.

“Bei IoT brauchen wir zunächst eine Möglichkeit, Software-Updates durchzuführen, denn wenn eine Schwachstelle entdeckt wird, müssen Sie in der Lage sein, aktualisierte, nicht anfällige Software herauszugeben. Zweitens braucht man einen robusten Weg, um eine sichere Registrierung auf den Geräten durchzuführen, so dass es nicht irgendeinen Standard-Benutzernamen und ein Passwort gibt, die es angreifbar machen”, sagte Charles Clancy, Senior Vice President und General Manager bei MITRE, während des Panels. “Wenn man diese beiden Dinge beheben kann, hat man einen langen Weg zurückgelegt, um die grassierenden Schwachstellen zu beheben, die zu Dingen wie dem Mirai-Botnet und dem Dyn-Angriff vor ein paar Jahren geführt haben.”

Diese alten Herausforderungen haben bereits eine Bundesgesetzgebung inspiriert. Der Internet of Things Cybersecurity Improvement Act of 2020, der am 4. Dezember 2020 in Kraft getreten ist, verbietet Bundesbehörden den Kauf von IoT-Geräten, die die Mindestsicherheitsstandards nicht erfüllen, und beauftragt das National Institute of Standards and Technology mit der Entwicklung, Veröffentlichung und Aktualisierung von Sicherheitsstandards und anderen damit verbundenen Richtlinien.

Aber 5G-Überlegungen werden über die Zertifizierung gegen vordefinierte Sicherheitsstandards hinausgehen, fügte Clancy hinzu.

“Dann muss man herausfinden, wie man die Lösungen in eine viel breitere Architektur rund um 5G integriert, die die Konnektivität bereitstellt”, sagte er. “Wenn Sie zum Beispiel eine Reihe von IoT-Geräten abkapseln, um sie vor dem Internet zu schützen, müssen Sie sie auch vor Firmware-Updates schützen. Und wie überprüfen Sie diese Firmware-Updates? Es gibt alle möglichen interessanten Herausforderungen, die gelöst werden müssen.”

Das DoD erforscht in Zusammenarbeit mit der Cybersecurity and Infrastructure Security Agency einige dieser IoT-Überlegungen im Rahmen von Pilotprojekten, die derzeit laufen, so Gremban.

“Wir haben eine Reihe von Anbietern, die an verschiedenen Sicherheitsansätzen arbeiten, Zero-Trust-Architekturen, PKI-as-a-Service und so weiter, mit denen wir versuchen könnten, die Möglichkeiten, die das IoT bietet, zu nutzen, ohne irgendwelche Schwachstellen zu öffnen”, sagte er. “Das wird in den nächsten Jahren ein interessantes Forschungsgebiet für uns sein.”

Und dennoch werden sich viele IoT-Unternehmen nicht die Mühe machen, zu warten. Die Kombination aus den bestehenden Zertifizierungsanforderungen und der Notwendigkeit, die aufkommenden 5G-Standards zu erfüllen, stellt eine große wirtschaftliche Belastung dar, die einige dazu veranlassen könnte, die Zusammenarbeit mit der Regierung zu verzögern oder sogar ganz aufzugeben. Sollten dieselben Standards auf den privaten Sektor übergreifen, wie es oft der Fall ist, könnten diese Unternehmen ihre Produkte langfristig weniger rentabel finden.

Eine zentrale Herausforderung wird sein, “ob man das wirtschaftliche Problem lösen kann, denn Sicherheit kostet etwas”, sagte Vincent Sritapan, Abteilungsleiter für das Cyber Quality Service Management Office der CISA. “Im IoT, [manufacturers] wollen wir den kostengünstigen Sensor. Wir [within CISA] haben uns das angeschaut und gesagt: “Nun, man kann einfach diesen Sicherheitsteil anbringen. Nun, das erhöht [cost] um X Cents. Wenn Sie über das IoT und Millionen, Milliarden oder Billionen von Endpunkten sprechen, die es geben kann, entspricht das unterm Strich einem Dollar.”

“Für die Industrie ist es dieses Gleichgewicht bei dem Versuch, das zum Laufen zu bringen”, fügte Sritapan hinzu. “Die Kostenbarriere ist eine Herausforderung.”

In der Tat wies Gremban auf Start-ups hin, die den Zeitaufwand für die Einhaltung zusätzlicher Sicherheitsstandards als Hindernis für ihre Fähigkeit sehen, in einem zunehmend überfüllten Raum an Boden zu gewinnen.

“Gerade für kleine Unternehmen ist es sehr schwer, sich durchzusetzen”, sagte er. “DoD ist ein so winziger Teil des Marktes, dass die meisten Hersteller nicht einmal darüber nachdenken werden. Ich würde mir allerdings wünschen, dass wir etwas tun könnten, um das Thema Sicherheit in der gesamten Entwicklergemeinde zu verankern.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com