Die 10 typischen IoT Security-Fehler

Veröffentlicht am 26. November 2024 | von Ivo Steiner | Cyber Security | IoT-Ökosystem | IoT Security

Diese IoT Security-Fehler gilt es zu vermeiden

WEBP - 065_CyOne10TopFehler_RBG_700x500_1

3. Unsichere IoT-Ökosystem-Schnittstellen

4. Fehlender sicherer Aktualisierungsmechanismus

WEBP - 065_CyOne10TopFehler_RBG_700x500_5

6. Unzureichender Schutz der Privatsphäre

7. Unsicherer Datentransfer und unsichere Datenspeicherung

WEBP - 065_CyOne10TopFehler_RBG_700x500_10

Schwache, erratbare oder hardcoded Passwörter

Verwendung von leicht erratbaren, öffentlich zugänglichen oder unveränderlichen Anmeldeinformationen wie z. B. fixe Herstellerpasswörter, Default-Servicezugänge.

Unsichere Netzwerkdienste
Nicht benötigte oder unsichere Netzwerkdienste, die auf dem Gerät selbst ausgeführt werden, insbesondere solche, die dem Internet ausgesetzt sind, sowie die Vertraulichkeit, Integrität / Authentizität oder Verfügbarkeit von Informationen beeinträchtigen oder eine unbefugte Fernsteuerung ermöglichen.

Unsichere IoT-Ökosystem-Schnittstellen
Unsichere Web-, Backend-API-, Cloud- oder mobile Schnittstellen im IoT-Ökosystem ausserhalb des Geräts, die eine Gefährdung des Geräts oder der zugehörigen Komponenten ermöglichen. Häufige Probleme sind ein Mangel an Authentifizierung / Autorisierung, fehlende oder schwache Verschlüsselung und ein Mangel an Ein- und Ausgangsfilterung.

Fehlender sicherer Aktualisierungsmechanismus
Fehlende Möglichkeiten, das Gerät sicher zu aktualisieren. Dazu gehören fehlende Firmware-Validierung auf dem Gerät, mangelnde sichere Bereitstellung (unverschlüsselt während der Übertragung), fehlende Anti-Rollback-Mechanismen und fehlende Benachrichtigungen über Sicherheitsänderungen aufgrund von eingespielten Updates.

Verwendung von unsicheren oder veralteten Komponenten
Verwendung von veralteten oder unsicheren Softwarekomponenten / Bibliotheken, die eine Gefährdung des Geräts ermöglichen könnten. Dazu gehört die unsichere Anpassung von Betriebssystemplattformen. Auch die Verwendung von Soft- oder Hardwarekomponenten von Drittanbietern aus einer gefährdeten Lieferkette fällt darunter.

Unzureichender Schutz der Privatsphäre
Persönliche Daten des Benutzers, die auf dem Gerät oder im IoT-Ökosystem gespeichert sind und unsicher, unsachgemäss oder ohne Genehmigung verwendet werden.

Unsicherer Datentransfer und unsichere Datenspeicherung
Fehlende Verschlüsselung oder Zugriffskontrolle auf sensible Daten innerhalb des gesamten IoT-Ökosystems. Dies betrifft Daten im Ruhezustand, während des Transports oder während der Verarbeitung. Sicheres Protokollieren von Login, Setzen von Einstellungen oder Signieren von erzeugten Daten wie Files und PDF fehlt.

Fehlende Geräteverwaltung
Fehlende Sicherheitsunterstützung für Geräte, die in der Produktion eingesetzt werden, einschliesslich Asset-Management, Update-Management, sichere Ausserbetriebnahme, Systemüberwachung und Reaktionsfähigkeiten.

Unsichere Standardeinstellungen
Geräte oder Systeme, die mit unsicheren Standardeinstellungen ausgeliefert werden, oder die nicht in der Lage sind, das System sicherer zu machen, indem sie die Bediener daran hindern, Konfigurationen zu ändern.

Fehlende physikalische Härtung
Fehlende physische Härtungsmassnahmen, die es potenziellen Angreifern ermöglichen, sensible Informationen zu erhalten, die bei einem zukünftigen Remote-Angriff helfen oder die lokale Kontrolle über das Gerät übernehmen können.

Product Cyber Security von Anfang an

Für Hersteller von IoT-Anwendungen ist es eminent wichtig, nicht durch Nachlässigkeit oder frühere Fehlentscheide in der Sicherheitsarchitektur ihren guten Ruf zu verlieren. Im Internet of Things muss die IoT Security ein integraler Bestandteil in der Produktentwicklung sein. Sie darf nicht nur auf die einzelnen Geräte beschränkt bleiben, sondern soll zwingend systemübergreifend betrachtet werden.

Betreiber von IoT Devices müssen von den Herstellern einfordern, dass die notwendigen Security-Massnahmen ergriffen worden sind, damit ein reibungsloser Betrieb und die sichere Integration der IoT-Geräte in die IT-Landschaft gewährleistet ist.

IoT Security im Product Lifecycle

Mit Blick auf den Lebenszyklus von IoT-Geräten können verschiedene Herausforderungen ausgemacht werden. Vernetzte Produkte und Systeme müssen deshalb:

mit den kontinuierlichen Veränderungen der Sicherheit in Unternehmensnetzwerken schritthalten können;

sich innerhalb eines operativen und regulatorisch geprägten Prozessumfeldes behaupten;

sich gegen die sich dauernd weiterentwickelnden Cyber-Bedrohungen schützen lassen.

Oftmals konzentrieren sich Hersteller bei der Entwicklung von IoT Devices auf Features, die Kunden einen Mehrwert bieten. Bei der Sicherheit greifen viele auf Standardlösungen zurück – wegen Kosten- und Zeitdruck oder aus Unwissenheit. Doch das kann sich rächen: denn die Betreiber und Regulatorien stellen immer höhere Ansprüche an die Product Cyber Security. Standardlösungen, ohne spezifisch deren Sicherheitskonzeption und das Einsatzszenario zu kennen, werden diesen wachsenden Anforderungen nicht gerecht. Es braucht einen vollumfänglichen, nachhaltigen Schutz bei Hard- und Software.

Sind die Sicherheitsanforderungen in der Produktentwicklung sowie Implementierung von Projektbeginn an berücksichtigt, können ein erfolgreicher Betrieb gewährleistet, Kosten minimiert und fatale Reputationsschäden verhindert werden.

Laden Sie jetzt die Infografik «Die 10 typischen IoT Security-Fehler» kostenlos herunter, damit Sie in Zukunft grundlegende Sicherheitsfehler in Ihrem IoT-Projekt vermeiden können.