Ein Jahr nach Veröffentlichung der Spezifikation wird der Standard von Herstellern untersucht, die die Einhaltung ihrer Produktdesignkriterien überprüfen.
Die Norm EN 303645 feierte ihren ersten Geburtstag. Diese Zahlen sagen Ihnen vielleicht nichts, aber dies ist der erste europäische benutzerorientierte Cybersicherheitsstandard für vernetzte Dinge. Seine Spezifikationen wurden am 30. Juni 2020 von Etsi, dem europäischen Normungsgremium, mit einem Ziel veröffentlicht: alle Parteien zu unterstützen, die an der Entwicklung und Herstellung sicherer Produkte für das Internet der Dinge für Verbraucher beteiligt sind, von Babyphones bis hin zu Rauchmeldern und mehr. mit Rat. „In diesem Sektor gibt es viele Industriestandards zur Verschlüsselung oder Verwaltung von Sicherheitsschlüsseln, aber dieser Standard dient der Produktsicherheit für die breite Öffentlichkeit, und das macht ihn so originell“, sagt Sylvain Gilly, Professor bei Télécom ParisTech, sowie der Mitbegründer und technischer Leiter von Secure-IC, Anbieter von Cybersicherheitslösungen für eingebettete Systeme und vernetzte Objekte.
Die Norm EN 303 645 legt 13 Cybersicherheitsanforderungen fest, unter denen es keine standardmäßig zu verwendenden öffentlichen Passwörter gibt, um ein Mittel zur Verwaltung von Schwachstellenberichten einzurichten oder die Sicherheit personenbezogener Daten zu gewährleisten. „Sein Vorteil ist die Erinnerung an logische Sicherheitsregeln, die von allen, Endverbrauchern und der Industrie verstanden werden, was ihre Annahme fördert“, fährt Sylvain Gilli fort, der der breiten Öffentlichkeit gegenüber Gafa und den von Whatsapp angekündigten neuen Nutzungsbedingungen misstrauisch gegenübersteht. der über den Schutz personenbezogener Daten belehrt wurde.
Die Geschichte des Standards begann vor etwas mehr als zwei Jahren. “Die erste Version des Standards ist ETSI TS 103 145, eine lokale Initiative, die im Vereinigten Königreich gestartet wurde. Wir wurden 2019 zu einem runden Tisch eingeladen, um die Meinung der Hersteller zu seiner Einführung zum Ausdruck zu bringen, um die Sicherheit vor Ort zu regulieren. IoT”, sagt Alexandre Luga , CISO für das Eliot-Programm in Legrand. Wir haben seine Annahme unterstützt, nicht auf nationaler Ebene, sondern auf europäischer Ebene, da die Verbreitung lokaler Standards für Hersteller kompliziert ist, um ihre Produkte zu internationalisieren. Daran wird eine Expertengemeinschaft arbeiten und es wird glaubwürdiger.“ Die Arbeit, die bei Etsi-Mitgliedern große Begeisterung auslöste, wurde beschleunigt, um ETSI TS 103145 in ETSI EN 303645 umzuwandeln.
50 bis 70 % der Designzeit für die Validierung von Standards
Wo stehen wir heute, ein Jahr nach der Veröffentlichung der Spezifikationen? Etwa einhundert Etsi-Mitglieder, die jeweils ein Unternehmen oder eine Organisation vertreten, nehmen an den öffentlichen Sitzungen des Etsi Cyber Committee teil, um Empfehlungen anderer vertikaler Standards zum Standard hinzuzufügen. Darunter sind Legrand, Schneider Electric oder auch Silicon Laboratories, damit die Sicherheit von Endprodukten „für den Endverbraucher sinnvoll ist“, versichert Jerome Boisseau, Elliott Program Manager bei Legrand. “Wir verbringen 50-70 % der Zeit mit der Projektplanung, um die Einhaltung von Standards sicherzustellen. Wenn wir also 12-18 Monate an einer neuen Maschine arbeiten, wird mehr als die Hälfte der Überprüfung der Zertifizierung gewidmet”, bezeugt Ludovic de Nicolay, Stellvertretender General Manager des Geschäftsbereichs Digital für die Zekat-Gruppe, die High-Tech-Lösungen entwickelt und produziert. Die Hauptschwierigkeit besteht darin, “diesen Standard durch die besonderen Zeichen, die daneben erscheinen, zu verdeutlichen”, identifiziert Jerome Boisseau, der daran festhält, aber Schwierigkeiten hat, Standards auf kontinentaler Ebene zu setzen.
Für Secure-IC wird die Integration seiner Sicherheitsempfehlungen eine Quelle des ROI sein: „Durch die Stärkung der Sicherheit geben wir konkrete Garantien für das Design unserer Produkte, und dies ist ein zusätzliches kommerzielles Argument und dies wird einige Kunden dazu motivieren, vernetzt zu kaufen Produkte“, betont Sylvain Guili.
Die Verabschiedung des Standards ist daher eine langfristige Aufgabe, aber es besteht kein Zweifel, dass darüber in den nächsten Monaten gesprochen werden wird. Mit der Unterstützung von Enisa, der Europäischen Agentur für Netz- und Informationssicherheit, nimmt es Gestalt an, während die Europäische Union strengere Cybersicherheitsstandards für das Internet der Dinge fordert. Die Anliegen des Standards werden während einer Konferenz auf der IoT World Trade Fair am 6. Oktober hervorgehoben. „Deutschland schlug später vor, ein Logo für Eigenwerbung zu erstellen, ein Vorschlag, der 2022 diskutiert werden könnte“, bemerkt Sylvain Gilley, der diese Maßnahme für die Sicherheitsebene auf die gleiche Weise wie Etiketten für den Produktverbrauch sichtbar machen wird. Es ist eine Initiative, die auch Guillaume Etorre, Managing Director Smart Home beim Hersteller Delta Dore, begrüßt: „Alles, was dazu beiträgt, unser Sicherheitsbedürfnis zu definieren, sollte bekannt sein.“
Für Legrand sind die Aussichten vielversprechender, weil die Spezifikation des Standards internationales Interesse weckt: „Europa ist ein Vorbild und der Standard inspirierte Brasilien zu seinem im vergangenen Januar veröffentlichten Gesetz 77 zur Sicherheit von Telekommunikationsgeräten“, sagt Alexandre Luga. Bei Secure-IC gibt es auch einen Pull-Faktor für Standards in asiatischen Ländern. „Auf europäischer Ebene gibt es eine echte Überlegung, über diesen Standard auf der gleichen Grundlage wie die Datenschutz-Grundverordnung (DSGVO) nachzudenken. Er wird einen Cybersicherheitsstandard für das Internet der Dinge darstellen“, schließt Patrizio Piacentin, Vertriebsleiter von Semiconductor Hersteller Silicon Labs.