IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware: Industrielle Steuerungen, Produktion und das Smart Home sind oft „nicht ausreichend“ gegen Hacker geschützt. Experten fordern Nachweis aller genutzten Software-Komponenten.
Shampoo, Kekse, Dosensuppe und Arzneien haben eine Gemeinsamkeit: Die Aufzählung aller Inhaltsstoffe auf der Packung sowie deren Rückverfolgbarkeit über den Hersteller bis zum Erzeuger der einzelnen Zutat. Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen direkt mit – ohne einen genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.
Was steckt drin in Routern, Netzwerk & Co?
Im Rahmen der Studie „IoT-Sicherheitsreport 2022“ sprechen sich daher 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, der sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. „Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten“, sagt Jan Wendenburg, CEO von ONEKEY (vormals IoT Inspector). Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als einfach integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.
Hersteller vernachlässigen die Sicherheit
Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für „nicht ausreichend“, weitere 54 Prozent maximal für „teilweise ausreichend“. Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen – Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen. Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als „teilweise ausreichend“ an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.
Vernetzte Fertigung steigert die Risiken
„Das Risiko nimmt durch den fortschreitenden Ausbau einer vernetzten Fertigung noch weiter zu. Generell ist zu erwarten, dass sich die Anzahl vernetzter Geräte in wenigen Jahren verdoppeln wird“, sagt Jan Wendenburg von ONEKEY. Neben der automatischen Analyseplattform zur Überprüfung der Geräte-Firmware betreibt das Unternehmen auch ein eigenes Testlabor, in dem die Hardware großer Hersteller geprüft und regelmäßig Schwachstellenberichte, sogenannte Advisories, veröffentlicht werden.
Unklare Zuständigkeiten in Unternehmen
Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig auch mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es allerdings auch meist keine Update-Richtlinien in den Unternehmen. Hinzu kommt eine häufig sehr unklare Situation rund um die Zuständigkeit: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen.
Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen hingegen nur 23 Prozent vor. „Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints – vom Router bis zur Produktionsmaschine – gehören“, resümiert Jan Wendenburg von ONEKEY.
Mehr bei Onekey.com[ONEKEY]