Anzeige

Huawei

Quelle: DANIEL CONSTANTE / Shutterstock.com

Huawei, ZTE, Hytera, Hikvision und Dahua stehen gemäß des US-amerikanischen Secure Networks Act zwar auf der Verbotsliste für den Einsatz in US-Behörden. IoT Inspector weist auf große Gefahren durch OEM-Hersteller im Auftrag für Unternehmen hin.

Diese Produzenten arbeiten aber auch als OEM-Hersteller für bekannte Unternehmen, deren Produkte in großer Stückzahl auch in Deutschland beziehungsweise Europa im Einsatz sind - undercover sozusagen, was laut Analyse von IoT Inspector problematisch ist.

Firmware genau untersuchen

"Die Lieferketten von IoT-Geräten sind komplex - das zeigt bereits das Beispiel von Huawei-Zertifikaten in Geräten von Cisco, die unser Team gefunden hat. Die jetzt betroffenen chinesischen Firmen zählen zu den größten OEM-Herstellern weltweit, ihre Technologie kommt undercover auch in Produkten namhafter Hersteller wie Abus oder Panasonic zum Einsatz", warnt IoT-Inspector-Chef Rainer M. Richter.

Das Bad Homburger Unternehmen prüft IoT-Devices auf Sicherheitslücken in der enthaltenen Firmware. Die Problematik reicht laut Richter jedoch weit über die betroffenen fünf Unternehmen hinaus. Viele Überwachungskameras und Telekommunikationsgeräte enthalten laut IoT Inspector Sicherheitslücken und kaum geschützte Zugänge, die durch Angreifer oder Geheimdienste einfach ausgenutzt werden können.

"Die Spanne reicht vom unerkannten Administrator-Zugang eines der OEM-Herstellers bis zu über ein IoT-Device leicht hackbaren WLAN-Zugang", führt Richter aus. Dies betreffe auch Hersteller, die außerhalb von China angesiedelt sind. Das Verbot der US-Behörden geht derweil noch einen Schritt weiter und umfasst auch sogenannte "subsidiaries and affiliates of these entities" sowie "telecommunications or video surveillance services provided by such entities or using such equipment". Subunternehmer, Sicherheitsdienstleister oder Firmen, die Produkte dieser OEM-Zulieferer und Partner mit eigenem Label versehen oder einsetzen, sind damit ebenso Teil des US-Banns, der auch in Europa Schule machen könnte.

Mangelndes Problembewusstsein

"Der einzige Weg zur Offenlegung der Supply-Chain und Identifikation des originalen Herstellers ist die Untersuchung der Firmware - zusätzlich zur Analyse auf Sicherheitslücken", sagt Richter. Im Regelfall würden sein Unternehmen und dessen Partner gemeinsam mit den jeweiligen Herstellern an der Identifikation und Behebung der Lücken; ein generelles Bewusstsein für IoT-Security sei allerdings längst noch nicht ausreichend ausgeprägt.

Es herrsche immense Sorglosigkeit bei der Implementierung dieser Geräte, die in kritischer Infrastruktur und immer mehr Unternehmen und Haushalten eine stille Gefahr darstellen. "Es muss klar sein, dass jede dieser Einrichtungen in einem IT-Netzwerk eingebunden ist und entsprechend als trojanisches Pferd missbraucht werden kann. IoT sollte nicht als 'Plug, Play & Forget' betrachtet werden", kritisiert Richter und mahnt Unternehmen zu mehr Weitblick.

www.pressetext.com
 


Weitere Artikel

Cybercrime

Cyberattacke auf IT-Dienstleister der Landeshauptstadt Schwerin

Update Di, 19.10.2021, 07:59 Uhr Nach dem Cyberangriff bleiben die Bürgerbüros im Landkreis Ludwigslust-Parchim auch am Dienstag geschlossen.
Facebook

«Metaverse»: Facebook will Tausende Jobs in Europa schaffen

Facebook-Gründer Mark Zuckerberg will «eine virtuelle Umgebung schaffen, in der man mit Menschen in digitalen Räumen zusammen sein kann». Dieses «Metaverse» soll nicht mehr nur als abstrakte Utopie existieren, sondern mit tatkräftiger Unterstützung aus Europa…
Dokumentenmanagement

Nuxeo-Plattform von Hyland bei DIN im Einsatz

Das Deutsche Institut für Normung e. V. (DIN) implementiert die Nuxeo-Plattform, um die Zusammenarbeit seiner Mitarbeitenden in Deutschland bei der Bearbeitung von mehr als 5,2 Terabyte an normenbasierten Dokumenten zu verbessern. Nuxeo ist die Low-Code- und…
Android

Heimliches Datensammeln auf Android belegt

Googles mobiles Betriebssystem Android sammelt eifrig Daten seiner Besitzer und teilt diese sogar mit anderen Unternehmen wie Microsoft, LinkedIn und Facebook - insbesondere bei den europäischen Geräten von Samsung, Xiaomi, Huawei und Realme ist dies der…
Cybersecurity

Zscaler tritt der CrowdStrike CrowdXDR Alliance bei

Zscaler erweitert die Integrationen mit CrowdStrike. Durch eine der Integrationen kann Zscaler ZIA™ die Bewertung der Geräte durch CrowdStrike Falcon ZTA (Zero Trust Assessment) für die Konfiguration von Zugriffsrichtlinien nutzen.
Authentifizierung

Kundenauthentifizierung braucht innovative Lösungen

Im Rahmen der IT-Security-Messe it-sa 2021 wurde die neue Studie „CIAM 2022“ im Auftrag vom Identitätsanbieter Auth0 in Zusammenarbeit mit IDG Research Services vorgestellt. Auth0 fasst die wichtigsten Erkenntnisse zusammen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.