Anzeige

IoT-Produkte

Fünf bekannte chinesische Elektronikhersteller wurden gemäß des US-amerikanischen Secure Networks Act von der FCC zur Bedrohung für die nationale Sicherheit erklärt. Neben Huawei und ZTE, die bereits seit 2019 als Sicherheitsrisiko gelten, betrifft es nun auch Hytera, Hikvision und Dahua.

Alle Unternehmen stehen ab sofort auf der Verbotsliste für den Einsatz in US-Behörden. Diese Produzenten arbeiten auch als OEM-Hersteller für bekannte Unternehmen, deren Produkte in großer Stückzahl auch in Deutschland bzw. Europa im Einsatz sind. „Die Lieferketten von IoT-Geräten sind komplex – das zeigt bereits das Beispiel von Huawei Zertifikaten in Geräten von Cisco, die unser Team gefunden hat. Die jetzt betroffenen chinesischen Firmen zählen zu den größten OEM-Herstellern weltweit, ihre Technologie kommt ‚undercover‘ auch in Produkten namhafter Hersteller wie Abus oder Panasonic zum Einsatz“, warnt Rainer M. Richter, Geschäftsführer von IoT Inspector. Das deutsche Unternehmen prüft IoT-Devices auf Sicherheitslücken in der enthaltenen Firmware. Die Problematik reiche jedoch weit über die betroffenen fünf Unternehmen hinaus. Viele Überwachungskameras und Telekommunikationsgeräte enthalten laut IoT Inspector Sicherheitslücken und kaum geschützte Zugänge, die durch Angreifer oder Geheimdienste einfach ausgenutzt werden können. „Die Spanne reicht vom unerkannten Administrator-Zugang eines der OEM-Herstellers bis zu über ein IoT-Device leicht hackbaren WLAN-Zugang“, führt Richter aus. Das betrifft auch Hersteller, die außerhalb von China angesiedelt sind.

Verbot umfasst auch Partnerunternehmen und Dienstleister

Das Verbot der US-Behörden geht derweil noch einen Schritt weiter und umfasst auch „subsidiaries and affiliates of these entities“ sowie „telecommunications or video surveillance services provided by such entities or using such equipment“. Subunternehmer, Sicherheitsdienstleister oder Firmen, die Produkte dieser OEM-Zulieferer und Partner mit eigenem Label versehen oder einsetzen, sind damit ebenso Teil des US-Banns, der möglicherweise auch in Europa Schule machen wird. „Bei unseren Untersuchungen haben wir häufig Überraschungen erlebt und verborgene Lieferketten aufgezeigt. Der einzige Weg zur Offenlegung der Supply-Chain und Identifikation des originalen Herstellers ist die Untersuchung der Firmware – zusätzlich zur Analyse auf Sicherheitslücken“, sagt Richter. Im Regelfall arbeiten sein Unternehmenund dessen Partner gemeinsam mit dem jeweiligen Hersteller an der Identifikation und Behebung der Lücken; ein generelles Bewusstsein für Security im Internet der Dinge sei allerdings längst noch nicht ausreichend ausgeprägt.

Plug, Play & Forget

Es herrsche immense Sorglosigkeit bei der Implementierung dieser Geräte, die in kritischer Infrastruktur und immer mehr Unternehmen und Haushalten eine stille Gefahr darstellen. „Es muss klar sein, dass jede dieser Einrichtungen in einem IT-Netzwerk eingebunden ist und entsprechend als trojanisches Pferd mißbraucht werden kann. IoT sollte nicht als ‚Plug, Play & Forget‘ betrachtet werden!“, kritisiert Rainer M. Richter von IoT Inspector. Insofern kann das klare Verbot durch die US-Behörden als Warnschuss auch für die hiesigen Unternehmen verstanden werden – denn es sei definitv zu erwarten, dass Geräte wie Sicherheitskameras dieser Hersteller auch in kritischen deutschen Infrastrukturen im Einsatz sind. Hersteller und Inverkehrbringer sind daher dringend angehalten, die Firmware am besten schon vor der Installation auf Sicherheitslücken zu untersuchen und dann gezielt abzusichern. Aber auch die heimischen Behörden und Netzwerkbetreiber sollten mehr Bewusstsein für das mit IoT Geräten verbundene Risiko entwickeln und die Infrastruktur und deren Komponenten entsprechend gegen diese Gefahren sichern. 

https://www.iot-inspector.com


Artikel zu diesem Thema

Hackerangriff
Mär 11, 2021

Nach Hackerangriff: Sicherheitskamera-Firma schaltet FBI ein

Nachdem Hacker in einer aufsehenerregenden Aktion Überwachungskameras in amerikanischen…
IoT
Mär 03, 2021

Internet of Things (IoT): Altgeräte entpuppen sich als Sicherheitsfallen

Es klingt zu verlockend: Smarte Steckdosen und Lampen, Router oder Alarmanlagen werden…
Supply Chain
Feb 16, 2021

IT-Security Trend 2021: Supply Chain-Angriffe

Es gibt anlässlich des SolarWinds Sunburst-Vorfalls eine ganze Menge „Lessons Learned“…

Weitere Artikel

Cybersecurity

CrowdStrike und AWS bauen Partnerschaft aus

CrowdStrike kündigte heute neue Funktionen für die CrowdStrike Falcon-Plattform an, die mit den Diensten von Amazon Web Services (AWS) funktionieren und Kunden noch besser vor den wachsenden Ransomware-Bedrohungen und zunehmend komplexen Cyberangriffen…
EU Cyber Security

NIS 2 - ein Rückschritt für die Cybersicherheit der EU

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt die aktuelle Cybersicherheitsituation als „angespannt bis kritisch‟ ein. „Informationssicherheit muss einen deutlich höheren Stellenwert einnehmen und zur Grundlage aller…
DevSecOps

DevSecOps in der IT-Sicherheit: Maßnahmen zur Steigerung des Sicherheitsbewusstseins

Durch die Digitalisierung der Gesellschaft gibt es heutzutage zahllose neue Produkte und Services. Schon jetzt bieten Smartphone-Apps und Web-Services Möglichkeiten, den Alltag zu vereinfachen und neue Dinge zu erleben. Grundlage dafür sind Nutzerdaten, mit…
Cybersecurity training

Anstieg in der Nachfrage für Sicherheitstrainings

Mit schnellen Schritten nähern wir uns Halloween. Wer sich gruseln möchte, muss allerdings nicht auf den Monatswechsel warten. Denn Oktober ist Cybersecurity Awareness Month, und ein Blick auf die steigende Zahl sowie die immer gravierenderen Folgen von…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.