Die Cloud Security Alliance hat eine Richtlinie für Sicherheitsdesign und Entwicklung von IoT-Produkten veröffentlicht (Englisch). Die Richtlinie befasst sich mit den folgenden Aspekten:
- Sicherheitsanforderungen („Herausforderungen2) für IoT-Produkte
- Ergebnisse einer Umfrage zur IoT-Sicherheit von CSA IoT WG
- Sicherheitsoptionen der verfügbaren IoT-Entwicklungsumgebungen/-platformen
- Kategorisierung von IoT-Typen und eine Übersicht von Gefahren, s. auch Open Web Application Security Project (OWASP)
- Sicherheitsempfehlungen zum Design und für die Entwicklung von IoT-Produkten
- Ausführliche Checkliste für sichere Entwicklungsprozesse
- Beispiele für IoT-Produkte und ihren Sicherheitsrisiken
Sie verweist u.a. auf
- IoT-Richtlinien der US Federal Trade Commission (FTC)
- Security Guidance for Critical Areas of Embedded Computing der PRPL Foundation
- CSA Mobile Application Security Testing (MAST)
- Für Gesundheitsprodukte s. Cybersecurity for Medical Devices and Hospital Networks: FDA Safety Communication, Medical Devices: Digital Health und ISO14971 Application of Risk Management for Medical Devices
Kernpunkte sind danach:
- Ein sicherer, also stablier und geschützter Prozess zur Aktualisierung von Firmware und Software
- Sichere Schnittstellen mit Authentifizierung, integrierten Schutzmechanismen und Verschlüsselung
- Unabhängige (externe) Sicherheitsbewertung
- Absicherung auch der Kommunikationssoftware und -schnittstellen der Kommunikationskanäle und beteiligten Systeme
- Sichere root of trust für root chains und private Schlüssel