IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr

IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr

Beitrag teilen

IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware: Industrielle Steuerungen, Produktion und das Smart Home sind oft „nicht ausreichend“ gegen Hacker geschützt. Experten fordern Nachweis aller genutzten Software-Komponenten.

Shampoo, Kekse, Dosensuppe und Arzneien haben eine Gemeinsamkeit: Die Aufzählung aller Inhaltsstoffe auf der Packung sowie deren Rückverfolgbarkeit über den Hersteller bis zum Erzeuger der einzelnen Zutat. Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen direkt mit – ohne einen genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.

Was steckt drin in Routern, Netzwerk & Co?

Im Rahmen der Studie „IoT-Sicherheitsreport 2022“ sprechen sich daher 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, der sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. „Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten“, sagt Jan Wendenburg, CEO von ONEKEY (vormals IoT Inspector). Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als einfach integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.

Hersteller vernachlässigen die Sicherheit

Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für „nicht ausreichend“, weitere 54 Prozent maximal für „teilweise ausreichend“. Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen – Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen. Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als „teilweise ausreichend“ an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.

Vernetzte Fertigung steigert die Risiken

„Das Risiko nimmt durch den fortschreitenden Ausbau einer vernetzten Fertigung noch weiter zu. Generell ist zu erwarten, dass sich die Anzahl vernetzter Geräte in wenigen Jahren verdoppeln wird“, sagt Jan Wendenburg von ONEKEY. Neben der automatischen Analyseplattform zur Überprüfung der Geräte-Firmware betreibt das Unternehmen auch ein eigenes Testlabor, in dem die Hardware großer Hersteller geprüft und regelmäßig Schwachstellenberichte, sogenannte Advisories, veröffentlicht werden.

Unklare Zuständigkeiten in Unternehmen

Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig auch mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es allerdings auch meist keine Update-Richtlinien in den Unternehmen. Hinzu kommt eine häufig sehr unklare Situation rund um die Zuständigkeit: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen.

Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen hingegen nur 23 Prozent vor. „Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints – vom Router bis zur Produktionsmaschine – gehören“, resümiert Jan Wendenburg von ONEKEY.

Mehr bei Onekey.com

 

[ONEKEY]

 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen

BKA Cybercrime Report 2022: Schäden von 200 Mrd. Euro 

Das vor kurzem veröffentlichte Bundeslagebild Cybercrime 2022 des BKA zeigt wieder teils erschütternde Fakten. Zwar waren die registrierten Fälle rückläufig, ➡ Weiterlesen