Unsicheres Hardwaredesign und Schwachstellen in der Software von IoT Devices sind keine Seltenheit – im Gegenteil: Speziell bei IoT-Geräten, die schon länger im Einsatz sind, kommen immer wieder Verwundbarkeiten ans Licht. Inwiefern professionelles Monitoring sicherstellt, dass rechtzeitig Massnahmen getroffen werden können und Hacker keine Einfallstore ins firmeneigene Netzwerk erhalten und an sensible Daten gelangen, erfahren Sie in diesem Blogpost.

Oftmals hängen sie irgendwo unscheinbar an der Decke: Smarte Kameras begleiten uns auf Schritt und Tritt. Sie filmen jeden Winkel und übermitteln die Bilder an einen Rechner im firmeninternen IT-Netzwerk. Sie liefern Echtzeit-Informationen und sorgen damit für Sicherheit. Doch die Sicherheit trügt. Solche Überwachungskameras tauchen häufig nirgends auf dem Sicherheitsradar auf. Teilweise sind sie schlicht nicht inventarisiert.

IoT Security betrifft alle IoT Devices

Was für mit dem Internet verbundene Kameras gilt, trifft auch auf andere IoT-Geräte zu. In Gesprächen mit der Kundschaft haben wir festgestellt: Es sind verbreitet alte, unsichere IoT Devices im Einsatz – Sensoren, Gateways, Smart Beacons –, die alle via Datentransfer miteinander kommunizieren, an das zentrale Netzwerk des Unternehmens angebunden sind und nicht selten Schwachstellen oder Fehler in der Software haben. Zudem stammt ihre Software vielfach von kommerziellen Quellen oder sogar Open-Source-Organisationen. Oft fehlt ein nachhaltiges Life Cycle Management, welches das Einspielen von wichtigen Software- und Firmware-Updates ermöglicht.

Häufig vernetzen Unternehmen bereits existierende Produkte wie ein Medtech Device oder eine Maschinensteuerung neu. Problematisch daran ist, dass diese ursprünglich nicht für eine Vernetzung entwickelt worden sind. Das heisst, sie sind ungenügend gehärtet und oft ungepatched. Alte IoT Devices können Hackern folglich Tür und Tor ins IT- und OT-Netzwerk öffnen sowie den unbefugten Zugang zu sensitiven Daten ermöglichen.

 

HubSpot Video

 

Viele aktuelle IoT-Malwares nutzen die im Grunde trivialen Schwachstellen, um existierende IoT-Systeme zu infizieren und sich weiterzuverbreiten.

Monitoring aktueller Schwachstellen ist zwingend

Eine Vielzahl an IoT Devices ist bereits mehrere Jahre im Einsatz. Etliche davon wurden während der gesamten Betriebszeit aber nie einem Software-Update unterzogen. Hier sind die Hersteller in der Pflicht. Sie müssen die Software der IoT-Geräte regelmässig den aktuellsten Sicherheitsrisiken anpassen.

Um bei Open-Source-Software (OSS) sowie kommerziellen Komponenten in puncto Schwachstellen immer up-to-date zu sein, ist ein kontinuierliches Monitoring und die Verwendung von Tools für die Software Composition Analysis (SCA) zwingend. Tritt eine neue Schwachstelle in einer eingesetzten Komponente auf, verschickt das Tool automatisch eine Warnung. Hersteller können darauf reagieren und für ihre Geräte entsprechende Patches bereitstellen.

Security-Kompetenz ist matchentscheidend

Die Verwendung von SCA-Software erfordert Security-Expertise. Besonders dann, wenn alle Funktionalitäten voll ausgeschöpft werden sollen. Die Software umfasst Scanning- und Workflow-Funktionalitäten, mit denen die Hersteller die eingesetzten Komponenten ermitteln, verwalten, aktualisieren und implementieren können.

Wichtig auch: Die Integrität der bereitgestellten Updates und Patches muss sichergestellt sein. Zudem ermöglicht bei der Produktenwicklung nur der «Security by Design»-Ansatz, dass ein Schwachstellen-Management überhaupt implementiert und gelebt werden kann. Wer bei der Sicherheit keine Experimente eingehen will, steht vor der Entscheidung: IoT Security-Kompetenz selber aufbauen oder externe Experten beiziehen.

Entscheiden Sie selbst: Prüfen Sie alle Faktoren mit der Checkliste «IoT Security – Make or Buy?».

Jetzt Entscheidungs-Checklisten herunterladen

Vertrauen und Expertise gehen Hand in Hand

Die CyOne Security unterstützt Hersteller und Betreiber von IoT-Anwendungen mit Fachwissen in IoT Security und Product Cyber Security. Dies trifft sowohl für Hardware als auch Software zu – und zwar über den gesamten Lebenszyklus von IoT Devices. Nur so lässt sich nachhaltige und umfassende Sicherheit erreichen.

Unsere Kundschaft profitiert dabei gleich mehrfach: Sie muss nicht intern spezifische IoT Security-Kompetenz aufbauen, sondern kann diese projektbezogen abrufen. Damit gewinnt sie wertvolle Time-to-Market und ihr Fokus liegt auf ihrem Kerngeschäft: der Entwicklung von innovativen IoT Devices.

Erfahren Sie hier mehr über die spezifischen Security Services