Ob in der Medizintechnik, Industrie, Logistik oder im Bereich Smart City oder Smart Mobility – die IoT Devices werden immer zahlreicher. Häufig steht dabei aus kurzfristig ökonomischen Überlegungen die Funktionalität im Fokus und die Sicherheit wird vernachlässigt. Lernen Sie im Blogbeitrag die 10 typischen IoT Security-Fehler kennen.

IoT-Geräte kommunizieren zusehends nicht nur untereinander, sondern auch mit Smartphones, Backend Services, Clouds und anderen Diensten von Herstellern oder Drittanbietern. Dadurch entstehen ganze IoT-Ökosysteme, deren Mehrwert sich im Zusammenspiel aller Komponenten ergibt. In unseren IoT Security-Projekten stellen wir in diesem heterogenen und komplexen Gebilde immer wieder typische IoT Security-Fehler fest.

Diese IoT Security-Fehler gilt es zu vermeiden

1. Schwache, erratbare oder hardcoded Passwörter
2. Unsichere Netzwerkdienste
3. Unsichere IoT-Ökosystem-Schnittstellen
4. Fehlender sicherer Aktualisierungsmechanismus
5. Verwendung von unsicheren oder veralteten Komponenten
6. Unzureichender Schutz der Privatsphäre
7. Unsicherer Datentransfer und unsichere Datenspeicherung
8. Fehlende Geräteverwaltung
9. Unsichere Standardeinstellungen
10. Fehlende physikalische Härtung

Schwache, erratbare oder hardcoded Passwörter

Verwendung von leicht erratbaren, öffentlich zugänglichen oder unveränderlichen Anmeldeinformationen wie z. B. fixe Herstellerpasswörter, Default-Servicezugänge.

Unsichere Netzwerkdienste
Nicht benötigte oder unsichere Netzwerkdienste, die auf dem Gerät selbst ausgeführt werden, insbesondere solche, die dem Internet ausgesetzt sind, sowie die Vertraulichkeit, Integrität / Authentizität oder Verfügbarkeit von Informationen beeinträchtigen oder eine unbefugte Fernsteuerung ermöglichen.

Unsichere IoT-Ökosystem-Schnittstellen
Unsichere Web-, Backend-API-, Cloud- oder mobile Schnittstellen im IoT-Ökosystem ausserhalb des Geräts, die eine Gefährdung des Geräts oder der zugehörigen Komponenten ermöglichen. Häufige Probleme sind ein Mangel an Authentifizierung / Autorisierung, fehlende oder schwache Verschlüsselung und ein Mangel an Ein- und Ausgangsfilterung.

Fehlender sicherer Aktualisierungsmechanismus
Fehlende Möglichkeiten, das Gerät sicher zu aktualisieren. Dazu gehören fehlende Firmware-Validierung auf dem Gerät, mangelnde sichere Bereitstellung (unverschlüsselt während der Übertragung), fehlende Anti-Rollback-Mechanismen und fehlende Benachrichtigungen über Sicherheitsänderungen aufgrund von eingespielten Updates.

Verwendung von unsicheren oder veralteten Komponenten
Verwendung von veralteten oder unsicheren Softwarekomponenten / Bibliotheken, die eine Gefährdung des Geräts ermöglichen könnten. Dazu gehört die unsichere Anpassung von Betriebssystemplattformen. Auch die Verwendung von Soft- oder Hardwarekomponenten von Drittanbietern aus einer gefährdeten Lieferkette fällt darunter.

Unzureichender Schutz der Privatsphäre
Persönliche Daten des Benutzers, die auf dem Gerät oder im IoT-Ökosystem gespeichert sind und unsicher, unsachgemäss oder ohne Genehmigung verwendet werden.

Unsicherer Datentransfer und unsichere Datenspeicherung
Fehlende Verschlüsselung oder Zugriffskontrolle auf sensible Daten innerhalb des gesamten IoT-Ökosystems. Dies betrifft Daten im Ruhezustand, während des Transports oder während der Verarbeitung. Sicheres Protokollieren von Login, Setzen von Einstellungen oder Signieren von erzeugten Daten wie Files und PDF fehlt.

Fehlende Geräteverwaltung
Fehlende Sicherheitsunterstützung für Geräte, die in der Produktion eingesetzt werden, einschliesslich Asset-Management, Update-Management, sichere Ausserbetriebnahme, Systemüberwachung und Reaktionsfähigkeiten.

Unsichere Standardeinstellungen
Geräte oder Systeme, die mit unsicheren Standardeinstellungen ausgeliefert werden, oder die nicht in der Lage sind, das System sicherer zu machen, indem sie die Bediener daran hindern, Konfigurationen zu ändern.

Fehlende physikalische Härtung
Fehlende physische Härtungsmassnahmen, die es potenziellen Angreifern ermöglichen, sensible Informationen zu erhalten, die bei einem zukünftigen Remote-Angriff helfen oder die lokale Kontrolle über das Gerät übernehmen können.

Product Cyber Security von Anfang an

Für Hersteller von IoT-Anwendungen ist es eminent wichtig, nicht durch Nachlässigkeit oder frühere Fehlentscheide in der Sicherheitsarchitektur ihren guten Ruf zu verlieren. Im Internet of Things muss die IoT Security ein integraler Bestandteil in der Produktentwicklung sein. Sie darf nicht nur auf die einzelnen Geräte beschränkt bleiben, sondern soll zwingend systemübergreifend betrachtet werden.

Betreiber von IoT Devices müssen von den Herstellern einfordern, dass die notwendigen Security-Massnahmen ergriffen worden sind, damit ein reibungsloser Betrieb und die sichere Integration der IoT-Geräte in die IT-Landschaft gewährleistet ist.

IoT Security im Product Lifecycle

Mit Blick auf den Lebenszyklus von IoT-Geräten können verschiedene Herausforderungen ausgemacht werden. Vernetzte Produkte und Systeme müssen deshalb:

  1. mit den kontinuierlichen Veränderungen der Sicherheit in Unternehmensnetzwerken schritthalten können;
  2. sich innerhalb eines operativen und regulatorisch geprägten Prozessumfeldes behaupten;
  3. sich gegen die sich dauernd weiterentwickelnden Cyber-Bedrohungen schützen lassen.

Oftmals konzentrieren sich Hersteller bei der Entwicklung von IoT Devices auf Features, die Kunden einen Mehrwert bieten. Bei der Sicherheit greifen viele auf Standardlösungen zurück – wegen Kosten- und Zeitdruck, oder aus Unwissenheit. Doch das kann sich rächen: denn die Betreiber und Regulatorien stellen immer höhere Ansprüche an die Product Security. Standardlösungen, ohne spezifisch deren Sicherheitskonzeption und das Einsatzszenario zu kennen, werden diesen wachsenden Anforderungen nicht gerecht. Es braucht einen vollumfänglichen, nachhaltigen Schutz bei Hard- und Software.

Sind die Sicherheitsanforderungen in der Produktentwicklung sowie Implementierung von Projektbeginn an berücksichtigt, können ein erfolgreicher Betrieb gewährleistet, Kosten minimiert und fatale Reputationsschäden verhindert werden.

Laden Sie jetzt die Infografik «Die 10 typischen IoT Security-Fehler» kostenlos herunter, damit Sie in Zukunft grundlegende Sicherheitsfehler in Ihrem IoT-Projekt vermeiden können.

Jetzt Infografik herunterladen