Product Security and Telecommunications Infrastructure

PSTI: Neue britische Gesetzgebung für intelligente Geräte

Product Security and Telecommunications Infrastructure, PSTI, Gesetz

Das britische Gesetz zur Produktsicherheit und Telekommunikationsinfrastruktur (Product Security and Telecommunications Infrastructure, PSTI) verschärft die Anforderungen an die Cybersicherheit von IoT-Geräten und soll die Hersteller von Smart Devices stärker in die Verantwortung nehmen. Neben den Produzenten betrifft das Gesetz aber auch Importeure und Händler.

Wenn es darum geht, die gesetzlichen Grundlagen für neue Technologien und mehr Cybersicherheit zu schaffen, ist das gemeinhin keine triviale Aufgabe. Es gilt, alle notwendigen sicherheitsrelevanten Bestimmungen zu berücksichtigen und gleichzeitig ein Gleichgewicht zwischen Privatsphäre und Praktikabilität zu wahren. Gesetzgeberisch Verantwortliche sind zudem nicht unbedingt Cybersicherheitsexperten. An vielen Stellen mangelt es an einem tiefergehenden Verständnis für die Feinheiten der Technologien, mögliche Risiken und für digitale Infrastrukturen im Allgemeinen.

Anzeige

Das britische Gesetz zur Produktsicherheit und Telekommunikationsinfrastruktur (Product Security and Telecommunications Infrastructure, PSTI) verschärft die Anforderungen an die Cybersicherheit von IoT-Geräten und soll die Hersteller von Smart Devices stärker in die Verantwortung nehmen. Neben den Produzenten betrifft das Gesetz aber auch Importeure und Händler. Es ist das erste seiner Art mit einem derart breiten Anwendungsbereich und der entsprechenden Durchsetzungskraft.

Die Zahl der IoT-Devices ist in den letzten Jahren schier explodiert und mit ihr die Zahl der ausnutzbaren Sicherheitslücken – mit teils schwerwiegenden Folgen für die Privatsphäre der Nutzer und die Integrität von IT-Systemen. Vor diesem Hintergrund wurde das Gesetz konzipiert, einschließlich der Definition einer neuen Art von Risiken, welche zukünftig bei der Bewertung der Produktkonformität einbezogen werden sollten. Ganz ähnlich den Risikobewertungen in anderen Bereichen wie etwa bei Gefahrenstoffen. Die Beteiligten innerhalb der Lieferkette müssen die Risiken bewerten und verhindern, dass sie zur Gefahr werden.

Erlangt ein Unternehmen Kenntnis von einer Schwachstelle, muss es sie schließen, die Nutzer informieren und die getroffenen Maßnahmen dokumentieren, einschließlich eines sogenannten „Statements of Compliance“- eine Neuerung in diesem Bereich. Wer als Importeur oder Händler nicht direkt mit dem betreffenden Hersteller in Kontakt steht, für den mag das schwierig werden.

Anzeige

Intelligente Geräte und das Internet der Dinge

Internetfähige Geräte, die im Internet der Dinge Daten austauschen, unterstützen diverse berufliche und private Anforderungen, indem sie mühsame und zeitraubende Prozesse automatisieren. Das ist bequem, sowohl für Unternehmen wie Verbraucher, und es gibt kaum einen Bereich, in dem wir aktuell keine IoT-Geräte finden. Entsprechend breit gefächert sind die damit verbundenen Sicherheitsrisiken. Webfähige, vernetzte Geräte sind ein beliebtes Ziel von Angreifern. Ohne wirksame Sicherheitsmaßnahmen, und das auf Hersteller- wie Verbraucherebene, ist das IoT überaus anfällig für eine Reihe von Angriffen.

Einige der Branchen, in denen das IoT von Anfang an einen hohen Nutzen versprach, wie etwa im etwa im Gesundheitswesen oder im Bereich Finanzdienstleistungen, nutzen das IoT, um große Mengen sensibler Daten zu sammeln, nachzuverfolgen und weiterzuverarbeiten. Gleichzeitig sind die Geräte ein ideales Einfallstor für Cyberkriminelle, um sich Zugang zu einem Netzwerk zu verschaffen und Angriffe zu lancieren. Größere Unternehmen und Institutionen in diesen Branchen sind sich der Problematik schon seit etlichen Jahren bewusst. Trotzdem fehlt es nach wie vor an ausreichenden Sicherheitsmaßnahmen.

Das neue Gesetz und aktuelle EU-Vorschriften werden nun hoffentlich viele von ihnen veranlassen, sich endlich stärker mit der Sicherheit der von ihnen genutzten Smart Devices zu befassen. Zusätzlich sollte man die dahinter liegende Netzwerkarchitektur überprüfen. Das heißt aber auch, dass Firmen und Organisationen sich mit den notwendigen Eskalationsprozessen befassen müssen. Etwa, wie sich eine auf einem Produkt installierte Firmware patchen lässt, wie man Kunden am besten über eine Schwachstelle informiert und wie man den kompletten Rückruf eines Geräts möglicherweise verhindern kann.

Gesetz über Produktsicherheit und Telekommunikationsinfrastruktur

Die Verabschiedung des britischen PSTI-Gesetzes ist ein wichtiger Schritt für mehr Sicherheit im IoT. Ziel des PSTI für die Herstellung und den Verkauf intelligenter Geräte ist es, die Hersteller in die Pflicht zu nehmen. Tools und Cybersicherheitspraktiken auf Verbraucherseite sind fraglos wichtig. Unsichere Geräte führen aber zu Sicherheitslücken, egal wie sorgfältig Verbraucher versuchen, ihrerseits die Risiken zu senken.

Andere Gesetze zur Cybersicherheit – wie die in der EU eingeführte Gesetzesvorgabe zur Chat-Überwachung – werden längst nicht immer von Menschen entwickelt und verfasst, die die Bedürfnisse (und Fähigkeiten) derjenigen verstehen, in deren Anwendungsbereich sie fallen.

Die spezifischen Bestimmungen der PSTI-Verordnung sind mit Kenntnis der bestehenden Risiken und Möglichkeiten verfasst worden. Die Anforderungen werden meistenteils als angemessen, umsetzbar und sicherheitsrelevant bewertet

Einige der wichtigsten Anforderungen, die das neue Gesetz an die Hersteller von IoT-Geräten stellt, sind:

  • Geräte nicht mit Standardpasswörtern auszustatten, die ein Angreifer problemlos offenlegen kann.
  • Eine Anlaufstelle für Verbraucher einzurichten, bei der man Sicherheitsprobleme und potenzielle Schwachstellen melden kann.
  • Verbraucher über den Mindestzeitraum zu informieren, innerhalb dessen das Gerät weiterhin Sicherheitsupdates erhält.

Die Vorschriften beziehen sich auf die größten Risiken innerhalb des IoT und wie sich diese praktisch senken lassen. Die Hersteller an dieser Stelle strenger als bislang in die Pflicht zu nehmen, ist zweifelsohne der richtige Schritt.

Allerdings bleiben sowohl die PTSI als auch vergleichbare EU-Gesetze eher vage bei der Frage, was Hersteller konkret tun müssen. Gefordert wird in beiden Fällen, dass die Produzenten die Integrität des IoT-Geräts, das sie auf den Markt bringen wollen, gewährleisten. Bis auf das bereits erwähnte Statement of Compliance bleibt aber offen, wie ein Hersteller mit den Anforderungen umgeht und wie er letztlich nachweisen kann, dass sein Produkt tatsächlich sicher ist. In der EU wird das beispielsweise in der ETSI EN 303 645 Norm aus dem Jahr 2021 festgeschrieben. Sie legt wesentliche Grundsätze eines „Security by Design“ fest, und das von der ersten Produktidee an.

EU-weit harmonisiert ist der Standard allerdings nicht. Trotzdem macht es Sinn, ein Produkt und die Architektur um ein Produkt herum dahingehend zu überprüfen, ob sie den grundlegenden Sicherheitsprinzipien der ETSI-Norm entsprechen. Das ist zumindest ein guter, auch für Nicht-Fachleute verständlicher Ausgangspunkt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Welche Folgen hat PSTI

Mit der Einführung strengerer Sicherheitsanforderungen werden die Herstellungskosten für intelligente Geräte vermutlich steigen. Wenn ein Hersteller aber bereits qualitativ hochwertige Geräte entwickelt und verkauft, dürfte die Umstellung auf eine höhere IoT-Sicherheitsstufe die Produktionskosten nicht wesentlich in die Höhe treiben.

Der Geltungsbereich des PSTI betrifft zwar nur das Vereinigte Königreich, die Auswirkungen dürften aber sehr viel weitreichender sein. Hersteller, die nun stärker in die Pflicht genommen werden, sichere Geräte anzubieten, könnten diese auch auf anderen Märkten anbieten wollen. Darüber hinaus könnten die Gesetzgeber in anderen Ländern dem Beispiel des Vereinigten Königreichs folgen und ähnliche Vorgaben verabschieden.

Schlussfolgerung

Unsichere IoT-Geräte und -Praktiken sind schon seit längerem ein Problem, und das PSTI UK Gesetz befasst sich mit einigen der grundlegenden Sicherheitsrisiken in diesem Bereich. Die im Gesetz festgelegten Bestimmungen sind praktisch und umsetzbar, und die Sanktionen bei Nichteinhaltung sollen gewährleisten, dass die Anforderungen durchsetzbar sind.

Als Importeur oder Händler, sollte man einen Hersteller oder Großhändler auffordern, das Statement of Compliance vorzulegen oder zumindest zu prüfen, ob es vorgelegt werden kann. Zusätzlich sollte man darauf vorbereitet sein, dass eine Behörde das Unternehmen bezüglich einer Sicherheitslücke anspricht. Hersteller sollten neben den Maßnahmen zur Risikobewertung und dem Erstellen eines Statements of Compliance prüfen, wie sie Patches – etwa für proprietäre Systeme auf IoT-Geräten – implementieren können.

Grundsätzlich sollten sich die betroffenen Unternehmen, Importeure und Händler möglichst frühzeitig mit dem Thema auseinandersetzen. Die Umsetzung gestaltet sich in der Praxis oft aufwendiger als anfänglich vermutet. Denn es bleibt ja nicht bei der Anpassung der Produkte selbst. Betroffen sind ebenso Entwicklung, Wartung und Verwaltung. Unterschiedliche Abteilungen und Verantwortungsbereiche sind involviert, und eventuell müssen auch Zulieferer einbezogen werden.

Mit Inkrafttreten der PSTI-Verordnung müssen Unternehmen, die intelligente Geräte für den britischen Markt herstellen, importieren oder vertreiben, also eine Reihe von Standards erfüllen, die bestimmte Aspekte der IoT-Sicherheit berücksichtigen und in andere Märkte ausstrahlen.

Autor: Jörn Koch, VIPRE Security Group

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.