Anzeige

Trojaner

Bei der Beschaffung von IoT-Devices – also Geräten, die in ein IT-Netzwerk eingebunden sind – sollte Vorsicht walten. In Stichproben zeigten mehr als 50 Prozent der geprüften Geräte eklatante Schwachstellen, die einen Hackerangriff auf eine gesamte IT-Infrastruktur zulassen würden.

„Unternehmen holen sich mit Druckern, Routern, Sicherheitskameras oder smarten Beleuchtungslösungen eine unberechenbare Blackbox ins eigene Haus. Hacker kennen die Schwachstellen und können sich leicht Zugriff auf sensible Informationen verschaffen. Daher ist bei der Beschaffung dieser Geräte Sorge dafür zu tragen, dass es Security-Vorgaben gibt und diese auch geprüft werden“, sagt Florian Lukavsky, Geschäftsführer und Gründer von IoT Inspector. Das Unternehmen betreibt eine der größten Plattformen für die Überprüfung von werksseitig verbauter Gerätesoftware, der sogenannten Firmware, auf Sicherheitslücken. Oftmals tarnen sich diese potentiellen Probleme in Zulieferprodukten: In jedem Gerät stecken im Durchschnitt Softwarekomponenten von mehr als zehn unterschiedlichen Herstellern, sogenannten OEM-Produzenten. Mit einer Checkliste geben die Security-Experten von IoT Inspector eine Guideline.

Checkliste für die sichere Beschaffung von IoT-Devices

Um einen angemessenen Grundschutz der IoT-Infrastruktur innerhalb des Unternehmens zu erreichen, empfehlen sich folgende Maßnahmen: 

  • Zunächst sollte eine Schutzbedarfsbestimmung und Bedrohungsanalyse stattfinden, um klare Leitlinien für die IoT-Sicherheit festzulegen. 
  • Definition von konkreten technischen Security-Anforderungen für die Beschaffung. Diese werden in einem Security-Lastenheft festgehalten und sind vom Hersteller nachweislich umzusetzen. Orientierung hierfür bieten internationale Vorgaben, wie z.B. ISA/IEC 62443 oder ETSI 303 645. Des Weiteren gibt es auf Sicherheit fokussierte Beschaffungsplattformen, wie z.B. „IT - Sicher kaufen“, denen konkrete Beschaffungstexte entnommen werden können. 
  • Prüfung des Herstellers hinsichtlich Vertrauenswürdigkeit und Sorgfalt im Rahmen der Hardware- und Software-Entwicklung. Zur Orientierung dienen etablierte Reifegradmodelle wie OWASP SAMM oder BSIMM. Der Hersteller muss nachweisen, dass er den geforderten Reifegrad – abhängig vom Schutzbedarf des Geräts – für alle Entwicklungsaktivitäten umsetzt. 
  • Durchführung von automatisierten Sicherheitstests der Geräte-Firmware, sowohl bei der Abnahme als auch in festen Intervallen, um eventuell durch Firmware-Updates neu eingeschleuste Schwachstellen aufzufinden.
  • Empfohlen werden Whitebox-Audits basierend auf den OWASP IoT Testing Guides. 
  • Einforderung der schriftlichen Zusicherung des Herstellers, dass alle definierten Sicherheitsanforderungen erfüllt sind. 
  • Sichtung von Security-Dokumentation, die im Rahmen der Software-Entwicklung erstellt wurde (z.B. Dokumentation der Sicherheitsarchitektur, Datenfluss-Analysen, Ergebnisse von internen Sicherheitstests des Herstellers). 
  • Bekommt ein IoT Gerät Zugriff auf vertrauliche Informationen oder wird in besonders schutzwürdigen Bereichen eingesetzt, sollte ein vollständiges Security Source Code Review der Firmware sowie eine physische Sicherheitsüberprüfung des IoT Geräts selbst mit Fokus auf versteckte Hintertüren in der Software und Hardware durchgeführt werden.

www.iot-inspector.com 


Artikel zu diesem Thema

Hackerangriff
Aug 27, 2021

Trojaner legt Landratsamt lahm: Behörde geht von Hackerangriff aus

Update Fr, 27.08.2021, 11:07 UhrDie Bundeswehr hat ihre Amtshilfe im Landkreis…
Krankenhaus
Jul 05, 2021

Warum Krankenhäuser jetzt ihre IT verbessern sollten

Um die wirtschaftliche Lage deutscher Krankenhäuser steht es oft nicht gut. Der gerade…
Smart City
Jul 24, 2020

Smart-City-Studie zu IoT-Infrastrukturen in 8 deutschen Städten

Der Ladesäulenparkplatz, der meldet, wenn er frei ist, die Straßenbeleuchtung, die mit…

Weitere Artikel

Cyber Security

Cybersecurity muss Prävention und Detektion ausbalancieren

In ihrer bisherigen Historie konzentrierten sich Cybersicherheitsprodukte hauptsächlich darauf, bösartigen Code daran zu hindern, auf Computer zu gelangen und diesen auszuführen. Joe Levy, CTO bei Sophos erjklärt, warum wir Unvollkommenheit nicht mit…
Cyber-Versicherung

Cyber-Versicherungen erleben einen Aufschwung - die Prämien auch

Unternehmen stehen heute mehr denn je unter Druck, ausreichend gegen Angriffe von außen geschützt zu sein. Regelmäßig werden Hacker-Angriffe auf Unternehmen publik – und diese sind nur die Spitze des Eisbergs.
Cyber Security

Microsoft native Security Lösungen optimal nutzen

Mit der Zunahme an Security Tools steigt die Komplexität für Administratoren und Sicherheitsverantwortliche. Sicherheitsrichtlinien, Profile und Berechtigungen müssen verwaltet werden. Anders gesagt: Je mehr Tools, Endgeräte und User desto komplexer wird…
2022 Security

Cybersicherheit 2022: Worauf sich Unternehmen einstellen müssen

Das Jahr 2021 war gespickt mit vielen öffentlich wirksamen Cyberangriffen auf Unternehmen und Behörden. Es hat sich gezeigt, dass die Zielgerichtetheit und Rafinesse der Attacken deutlich zugenommen hat. Besonders prominent waren dabei vor allem zahlreiche…
Social Engineering

Social Engineering-Attacken stoppen mit Verhaltensbiometrie

Kein Sicherheitsfaktor ist so kritisch, wie der Mensch selbst. Das BSI stellt in seinem aktuellen Lagebericht zur IT-Sicherheit in Deutschland 2021 zu Recht fest, dass der Mensch ein oft unterschätztes Sicherheitsrisiko als Einfallstor für Cyberangriffe…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.