Kaspersky Lab präsentiert gemeinsam mit dem Industrial Internet Consortium den Security Maturity Model Practioner’s Guide. Dieser Leitfaden unterstützt Betreiber beim Einschätzen des Security-Reifegrads im Internet der Dinge.
Leitlinien für die Praxis: Der Practioner’s Guide nach dem Security Maturity Model (SMM) baut auf Konzepten auf, die 2016 als IIC Industrial Internet Security Framework definiert wurden. Das Modell beschäftigt sich als erstes seiner Art mit dem neu etablierten Security-Maturity-Ansatz (Security-Reifegrad) für das Internet der Dinge (IoT). Es identifiziert einen Sicherheitsrahmen für IoT-Interessengruppen auf Grundlage ihres Sicherheitsniveaus und bewertet den Reifegrad der Security von IoT-Systemen eines Unternehmens anhand von Governance, Technologie und Systemmanagement. Andere Modelle beziehen sich bisher nur auf eine bestimmte Branche wie zum Beispiel IoT, jedoch nicht auf Security oder auf Security, ohne IoT einzubeziehen. Das SMM deckt alle diese Aspekte ab und hebt relevante Elemente bestehender Modelle hervor, um bestehende Arbeiten dazu anzuerkennen und Dopplungen zu vermeiden.
Die Leitlinien berücksichtigen verschiedene Interessengruppen. Die Sicherheit von Infrastruktur, die Informationssysteme mit physischen Objekten verbindet, ist in Zeiten der Digitalisierung für Betreiber von Industrieanlagen, Entwickler von Spezialsoftware, Inhaber relevanter Unternehmen und Aufsichtsbehörden essenziell. Das IoT-SMM berücksichtigt daher im Gegensatz zu anderen Regulierungsstandards und -anforderungen die Interessen und Sicherheitsanforderungen aller Organisationen und Einzelpersonen, die an IoT-Vorgängen beteiligt sind und diese verwalten. Zudem hilft der Guide bei der Optimierung des IoT-Sicherheitsniveaus und empfiehlt anhand von 36 Parametern entsprechende Verbesserungen.
Der Leitfaden enthält drei Fallstudien, die bei der Anwendung des Security Maturity Models helfen. Dazu gehören:
- ein datengesteuertes Abfüllsystem,
- ein Automotive-Gateway, der Over the Air-Updates unterstützt
- sowie Sicherheitskameras, die in Wohngebieten eingesetzt werden.
„Das Priorisieren von Sicherheitsmaßnahmen, das Festlegen von Zielen und das Entwickeln einer Strategie, um ein System ,ausreichend sicher‘ zu machen, wirkt sich auf die langfristige Wirtschaftsplanung von Organisationen aus“, so Ekaterina Rudina, Senior System Analyst bei Kaspersky Lab ICS CERT. „Ein hierfür passender und zeitgemäßer Ansatz umfasst die Verwendung eines sogenannten ,Nudge‘, also das Schaffen einer ausgewählten Architektur, die eine effiziente Entscheidungsfindung im IoT-Bereich unterstützt. Das IoT-SMM bildet ein Framework für solch eine Wahlarchitektur. Damit können die IoT-Akteure den ersten Schritt – und dann den zweiten, dritten und so weiter – in Richtung eines sicheren Systems machen, unabhängig davon, ob es sich um eine große industrielle Produktionsanlage oder den Hersteller eines Fitnessarmbands handelt.“
Der Security Maturity Model Practitioner’s Guide ist hier verfügbar. Jürgen Frisch
