Die Experten von Kaspersky Lab haben gemeinsam mit weiteren Mitgliedern des IICs (Industrial Internet Consortium) den Security Maturity Model (SMM) Practioner’s Guide‘ veröffentlicht. Der Leitfaden soll IoT-Betreiber bei der Einschätzung ihres aktuellen und anvisierten Security-Reifegrads unterstützen. Zudem helfe der Guide bei der Optimierung des Niveaus der IoT-Sicherheit, so Kaspersky, und empfiehlt dazu anhand von 36 Parametern entsprechende Verbesserungen.

Der SMM-Leitfaden baut auf Konzepten auf, die im Jahr 2016 als IIC Industrial Internet Security Framework definiert wurden. Das Modell beschäftigt sich als erstes seiner Art mit dem neu etablierten Security-Maturity-Ansatz (Security-Reifegrad) für das Internet der Dinge. Es identifiziert einen Sicherheitsrahmen für IoT-Interessengruppen auf Grundlage ihres Sicherheitsniveaus und bewertet den Reifegrad der IoT-Sicherheit eines Unternehmens anhand von Governance, Technik und System-Management. Andere Modelle beziehen sich bisher nur auf eine bestimmte Branche. Das SMM decke dagegen alle Aspekte ab und hebe relevante Elemente bestehender Modelle hervor.

Die Leitlinien entstanden nach Kaspersky-Angaben unter Berücksichtigung verschiedener IoT-Interessengruppen. Der Grund: Die Sicherheit von Infrastruktur, die Informationssysteme mit physischen Objekten verbindet, ist in Zeiten der Digitalisierung für Betreiber von Industrieanlagen, Entwickler von Spezialsoftware, Inhaber relevanter Unternehmen und Aufsichtsbehörden essenziell. Das IoT-SMM berücksichtigt daher im Gegensatz zu den üblichen Regulierungsstandards und -anforderungen die Interessen und Sicherheitsanforderungen aller Organisationen und Einzelpersonen, die an IoT-Vorgängen beteiligt sind und diese verwalten.

Darüber hinaus enthält der Leitfaden drei Fallstudien, die bei der Anwendung des Security Maturity Models helfen. Dazu gehören:

  • ein intelligentes, datengesteuertes Abfüllsystem,
  • ein Automotive-Gateway, das OTA-Updates unterstützt und
  • Sicherheitskameras, die in Wohngebieten zum Einsatz kommen.

„Das Priorisieren von Sicherheitsmaßnahmen, das Festlegen von Zielen und das Entwickeln einer Strategie, um ein System ,ausreichend sicher‘ zu machen, wirkt sich auf die langfristige Wirtschaftsplanung von Organisationen aus“, so Ekaterina Rudina, Senior System Analyst bei Kaspersky Lab ICS CERT. „Ein hierfür passender und zeitgemäßer Ansatz umfasst die Verwendung eines sogenannten ,Nudge‘, also das Schaffen einer ausgewählten Architektur, die eine effiziente Entscheidungsfindung im IoT-Bereich unterstützt. Das IoT-SMM bildet ein Framework für solch eine Wahlarchitektur. Damit können die IoT-Akteure den ersten Schritt – und dann den zweiten, dritten und so weiter  – in Richtung eines sicheren Systems machen, unabhängig davon, ob es sich um eine große industrielle Produktionsanlage oder den Hersteller eines Fitnessarmbands handelt.“

Die Expertengruppe arbeitete fast zwei Jahre lang an dem Projekt: Anfang 2017 untersuchte das Team für Security Applicability, das sich auf die Anwendung von Sicherheitspraktiken in realen IoT-Anwendungen im IIC konzentriert, ein Reifegradmodell. Der SMM Practitioner’s Guide ist ein Begleitdokument zum IoT SMM: Description and Intended Use White Paper, das bereits im Jahr 2018 erschienen ist.

Der Security Maturity Model (SMM) Practitioner’s Guide ist verfügbar unter www.iiconsortium.org/pdf/IoT_SMM_Practitioner_Guide_2019-02-25.pdf/.

Mehr zu Kaspersky Lab im Bereich der IoT-Sicherheit und Industrial Cybersecurity gibt es unter ics-cert.kaspersky.com/.

Weitere Informationen sind auch hier zu finden:

Dr. Jörg Schröper ist Chefredakteur der LANline.