Erste IoT Device Security Specification der CSA verlangt offenen Umgang mit Sicherheitslücken in Geräten
Die Connectivity Standards Alliance (CSA) hat die Internet of Things Device Security Specification 1.0 veröffentlicht. Damit einhergehend ist ein Zertifizierungsprogramm aufgesetzt worden, sodass Hersteller sicherstellen können, dass sie der Spezifikation entsprechen. Dies hat auch Vorteile bei der Anerkennung nationaler Regelungen.
Die Hoffnung ist, dass IoT-Geräte so global zertifiziert werden können. Die Product Security Working Group der CSA hat sich daher an den drei beliebtesten Sicherheitsregularien der USA, der Europäischen Union und Singapurs orientiert.
Der Standard wird Herstellern also die Gelegenheit geben, mit einer Zertifizierung durch die CSA auch diverse nationale und internationale Regeln einhalten zu können. Eines der Ziele der IoT Device Security Specification war nämlich die Zusammenführung der wichtigsten Anforderungen von Regularien wie dem US Cyber Trust Program (National Institute of Standards and Technology, NIST), dem EU Cyber Resilience Act (European Telecommunications Standards Institute, ETSI) und der Institution Singapore Cybersecurity Agency (Cybersecurity Labeling Scheme, CLS), wie die CSA Notebookcheck.com mitteilte.
Im Standard finden sich daher drei Anhänge mit informativem Charakter, die entsprechende Verweise des CSA-Standards auf die entsprechenden Regelungen im NIST, ETSI und CLS zeigen.
Um die Spezifikation zu erfüllen, müssen Hersteller diverse Anforderungen erfüllen. Die wichtigsten nennt die CSA bereits in der Pressemitteilung. Darunter fällt etwa ein Verbot, Standardpasswörter fest in die Hardware zu integrieren (hardcoded passwords). Kritische Daten müssen zudem sicher gespeichert werden.
Hersteller müssen Sicherheitsprobleme zudem öffentlich dokumentieren, ein Management für solche Vorfälle haben und auch den Support-Zeitraum für ihre Geräte definieren. Damit soll verhindert werden, dass Geräte in den Handel kommen, die anschließend nie wieder ein Sicherheitsupdate bekommen.
Für den Fall, dass keine Updates mehr geliefert werden können, muss der Hersteller dies klar kommunizieren.
Die rund 32 Seiten umfassende IoT Device Security Specification 1.0 sollte in Kürze auf der Downloadseite für Spezifikationen bei der Connectivity Standards Alliance herunterladbar sein.
Quelle(n)
Presseaussendung