Unsicheres Hardwaredesign und Schwachstellen in der Software von IoT Devices sind keine Seltenheit – im Gegenteil: Speziell bei IoT-Geräten, die schon länger im Einsatz sind, kommen immer wieder Verwundbarkeiten ans Licht. Inwiefern professionelles Monitoring sicherstellt, dass rechtzeitig Massnahmen getroffen werden können und Hacker keine Einfallstore ins firmeneigene Netzwerk erhalten und an sensible Daten gelangen, erfahren Sie in diesem Blogbeitrag.

Verbreitet sind alte, unsichere IoT Devices im Einsatz – Sensoren, Gateways, Smart Beacons –, die alle via Datentransfer miteinander kommunizieren, an das zentrale Netzwerk des Unternehmens angebunden sind und nicht selten Schwachstellen oder Fehler in der Software haben. Zudem stammt ihre Software vielfach von kommerziellen Quellen oder sogar Open-Source-Organisationen. Oft fehlt ein nachhaltiges Life Cycle Management, welches das Einspielen von wichtigen Software- und Firmware-Updates ermöglicht.

Häufig vernetzen Unternehmen bereits existierende Produkte wie ein Medtech Device oder eine Maschinensteuerung neu. Problematisch daran ist, dass diese ursprünglich nicht für eine Vernetzung entwickelt worden sind. Das heisst, sie sind ungenügend gehärtet und oft ungepatched. Alte IoT Devices können Hackern folglich Tür und Tor ins IT- und OT-Netzwerk öffnen sowie den unbefugten Zugang zu sensitiven Daten ermöglichen.

 

 

 

 

Aktuelle IoT-Malware nutzt häufig die im Grunde trivialen Schwachstellen, um existierende IoT-Systeme zu infizieren und sich weiterzuverbreiten.

 

Monitoring aktueller Schwachstellen ist zwingend

Eine Vielzahl an IoT Devices ist bereits mehrere Jahre im Einsatz. Etliche davon wurden während der gesamten Betriebszeit aber nie einem Software-Update unterzogen. Hier sind die Hersteller in der Pflicht. Sie müssen die Software der IoT-Geräte regelmässig den aktuellsten Sicherheitsrisiken anpassen.

Um bei Open-Source-Software (OSS) sowie kommerziellen Komponenten in puncto Schwachstellen immer auf dem neusten Stand zu sein, ist ein kontinuierliches Monitoring und die Verwendung von Tools für die Software Composition Analysis (SCA) zwingend. Tritt eine neue Schwachstelle in einer eingesetzten Komponente auf, verschickt das Tool automatisch eine Warnung. Hersteller können darauf reagieren und für ihre Geräte entsprechende Patches bereitstellen.

Security-Kompetenz ist matchentscheidend

Die Verwendung von SCA-Software erfordert Security-Expertise. Besonders dann, wenn alle Funktionalitäten voll ausgeschöpft werden sollen. Die Software umfasst Scanning- und Workflow-Funktionalitäten, mit denen die Hersteller die eingesetzten Komponenten ermitteln, verwalten, aktualisieren und implementieren können.

Wichtig auch: Die Integrität der bereitgestellten Updates und Patches muss sichergestellt sein. Zudem ermöglicht bei der Produktentwicklung nur der «Security by Design»-Ansatz, dass ein Schwachstellen-Management überhaupt implementiert und gelebt werden kann. Wer bei der Sicherheit keine Experimente eingehen will, steht vor der Entscheidung: IoT Security-Kompetenz selber aufbauen oder externe Experten beiziehen.

Entscheiden Sie selbst: Prüfen Sie alle Faktoren mit der Checkliste «IoT Security – Make or Buy?».

Jetzt Entscheidungs-Checklisten herunterladen

Vertrauen und Expertise gehen Hand in Hand

Die CyOne Security unterstützt Hersteller und Betreiber von IoT-Anwendungen mit Fachwissen in IoT Security und Product Cyber Security. Dies trifft sowohl für Hardware als auch Software zu – und zwar über den gesamten Lebenszyklus von IoT Devices. Nur so lässt sich nachhaltige und umfassende Sicherheit erreichen.

Unsere Kundschaft profitiert dabei gleich mehrfach: Sie muss nicht intern spezifische IoT Security-Kompetenz aufbauen, sondern kann diese projektbezogen abrufen. Damit gewinnt sie wertvolle Time-to-Market, und ihr Fokus liegt auf ihrem Kerngeschäft: der Entwicklung von innovativen IoT Devices.

Erfahren Sie hier mehr über die spezifischen Security Services