NIST legt überarbeitete IoT-Sicherheitsrichtlinien zur öffentlichen Prüfung vor

Zusammenfassung

Das National Institute of Standards and Technology (NIST) hat eine überarbeitete Fassung seiner Sicherheitsrichtlinien für Internet-of-Things-Produkte zur öffentlichen Kommentierung freigegeben. Der Entwurf mit dem Titel „SP 800-213 Revision 1: Leitlinien zur Cybersicherheit von IoT-Produkten für die Bundesregierung: Festlegung von Cybersicherheitsanforderungen an IoT-Produkte“ soll Behörden dabei unterstützen, Sicherheitsanforderungen für IoT-Produkte zu definieren, die in Informationssysteme und Netze von Bundesbehörden eingebunden werden. Nach Angaben von NIST trägt die neue Fassung veränderten technischen, betrieblichen und risikobezogenen Rahmenbedingungen der vergangenen fünf Jahre Rechnung. Im Mittelpunkt stehen allgemeine Überlegungen dazu, wie sich IoT-Produkte auf Risikoanalysen auswirken, und welche Cybersicherheitsanforderungen nötig sind, um Sicherheitskontrollen zu unterstützen. Die Kommentierungsfrist für den auf der NIST-Website verfügbaren Entwurf endet am 24. August.

NIST begründet die Überarbeitung damit, dass Unternehmen und Behörden IoT-Produkte zunehmend als Bestandteil ihrer Systeme einsetzen und diese daher im Risikomanagement ausdrücklich berücksichtigen müssen. Aus Sicht der Behörde sind IoT-Produkte keine isolierten Einzelgeräte, sondern Systemelemente, die in Risikoanalysen einbezogen werden müssen.

Die nun vorgelegte erste öffentliche Entwurfsfassung von SP 800-213 Revision 1 baut auf SP 800-213A auf. Dieses Dokument enthält laut NIST einen Katalog technischer und nichttechnischer Cybersicherheitsfähigkeiten von IoT-Produkten, die sowohl für Hersteller als auch für Anwender relevant sind.

NIST betont dabei, dass nicht jede Fähigkeit aus diesem Katalog in jedem IoT-Produkt erforderlich ist. Wörtlich erklärt die Behörde, genauso wie nicht jedes föderale IT-System jede einzelne Sicherheitskontrolle nutze, werde auch nicht jede im Katalog enthaltene Fähigkeit für jedes IoT-Produkt benötigt. Das Ziel sei letztlich, Organisationen in die Lage zu versetzen, IoT-Produkte sicher in ihre Systeme zu integrieren und ihre Sicherheitsanforderungen zu erfüllen.

Eine zentrale Änderung der neuen Fassung ist der Fokus auf „IoT-Produkte“ statt auf „IoT-Geräte“. NIST begründet diesen Schritt damit, den Unterschied zwischen dem Produkt und dem System, in dem es eingesetzt wird, klarer herauszuarbeiten. Außerdem solle so sichergestellt werden, dass Organisationen alle Komponenten eines IoT-Produkts berücksichtigen und mehr Klarheit und Flexibilität bei der Anwendung von Cybersicherheitsanforderungen auf solche Produkte erhalten.

Der aktuelle Entwurf konzentriert sich auf neue IoT-Produkte. NIST bittet die Öffentlichkeit insbesondere um Rückmeldungen zu den im Update enthaltenen Änderungen sowie dazu, ob die verwendeten Begriffe klar definiert sind und zu den beabsichtigten Ergebnissen passen.

Zusätzlich empfiehlt NIST Organisationen, bei der Prüfung der aktualisierten Leitlinien auch weitere Veröffentlichungen zur Risikoanalyse heranzuziehen. Genannt werden unter anderem SP 800-30 Revision 1, der Leitfaden zur Durchführung von Risikoanalysen, sowie SP 800-53 Revision 5 zu Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen.

Nach Darstellung der Behörde spiegelt der Entwurf die aktuellen Anforderungen wider und greift Erkenntnisse von Interessengruppen auf, die diese Leitlinien bereits nutzen. Besonders im Vordergrund stünden klarere Vorgaben, relevantere Inhalte und eine bessere Ausrichtung auf die heutige Einsatzumgebung.

NIST legt überarbeitete IoT-Sicherheitsrichtlinien zur öffentlichen Prüfung vor

Ähnliche Artikel

Neueste Artikel