IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr

IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr
Anzeige

Beitrag teilen

IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware: Industrielle Steuerungen, Produktion und das Smart Home sind oft „nicht ausreichend“ gegen Hacker geschützt. Experten fordern Nachweis aller genutzten Software-Komponenten.

Shampoo, Kekse, Dosensuppe und Arzneien haben eine Gemeinsamkeit: Die Aufzählung aller Inhaltsstoffe auf der Packung sowie deren Rückverfolgbarkeit über den Hersteller bis zum Erzeuger der einzelnen Zutat. Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen direkt mit – ohne einen genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.

Anzeige

Was steckt drin in Routern, Netzwerk & Co?

Im Rahmen der Studie „IoT-Sicherheitsreport 2022“ sprechen sich daher 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, der sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. „Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten“, sagt Jan Wendenburg, CEO von ONEKEY (vormals IoT Inspector). Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als einfach integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.

Hersteller vernachlässigen die Sicherheit

Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für „nicht ausreichend“, weitere 54 Prozent maximal für „teilweise ausreichend“. Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen – Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen. Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als „teilweise ausreichend“ an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.

Anzeige

Vernetzte Fertigung steigert die Risiken

„Das Risiko nimmt durch den fortschreitenden Ausbau einer vernetzten Fertigung noch weiter zu. Generell ist zu erwarten, dass sich die Anzahl vernetzter Geräte in wenigen Jahren verdoppeln wird“, sagt Jan Wendenburg von ONEKEY. Neben der automatischen Analyseplattform zur Überprüfung der Geräte-Firmware betreibt das Unternehmen auch ein eigenes Testlabor, in dem die Hardware großer Hersteller geprüft und regelmäßig Schwachstellenberichte, sogenannte Advisories, veröffentlicht werden.

Unklare Zuständigkeiten in Unternehmen

Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig auch mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es allerdings auch meist keine Update-Richtlinien in den Unternehmen. Hinzu kommt eine häufig sehr unklare Situation rund um die Zuständigkeit: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen.

Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen hingegen nur 23 Prozent vor. „Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints – vom Router bis zur Produktionsmaschine – gehören“, resümiert Jan Wendenburg von ONEKEY.

Mehr bei Onekey.com

 

[ONEKEY]

 

Passende Artikel zum Thema

SASE Netzwerk: Security und die Cloud verbinden

Ein zentralisierter Ansatz in der Cloud hat ebenso viele Limitierungen wie ein lokales Rechenzentrum. Aber man kann auch ein SASE ➡ Weiterlesen

Webinar 04. März 2022: AirGap war gestern – wie schützen wir vernetzte OT-Umgebungen?

Kaspersky lädt in seiner Webinar-Reihe zur einer weiteren Runde ein. Dieses Mal geht es um das Thema „AirGap war gestern ➡ Weiterlesen

Industrie in Europa: Ransomware trifft OT fast so oft wie IT 

Ransomware trifft in Europa industrielle Steuersysteme und Betriebstechnik fast ebenso häufig wie die IT-Systeme. Erhebliche Störungen bei jedem zweiten Opfer. Claroty ➡ Weiterlesen

Webinar 22. Februar 2022: Smarte Cybersicherheit für smarte Gebäude

Die Fachleute von Fortinet laden zum kostenlosen Webinar "Expert's View Secure Smart Buildings" am 22. Februar 2022 ab 14:00 Uhr ein. ➡ Weiterlesen

Ransomware-Leaks mit sensiblen OT-Informationen veröffentlicht

Mandiant hat Datensätze gesammelt und analysiert, die bei Ransomware-Erpressungsangriffen gestohlen und im Dark Web veröffentlicht wurden.  Dabei fanden die Experten ➡ Weiterlesen

Ransomware: Backup allein ist keine Sicherheitsstrategie

Viele Unternehmen denken, ihre Datensicherung schütze sie gegen Ransomware. Die verlockend einfache Logik dahinter: Wenn man alle Daten wiederherstellen kann, ➡ Weiterlesen

Mandiant: Cyber-Security-Prognosen für 2022

Mandiant veröffentlicht seinen Bericht „14 Prognosen zur Cyber-Sicherheit für 2022 und darüber hinaus“, der die größten Cyber-Bedrohungen der kommenden Jahre ➡ Weiterlesen

250. Industrial Cybersecurity – ICS-Schwachstelle identifiziert

Team82, die Forschungsabteilung von Claroty, identifiziert die 250. ICS-Schwachstelle und zieht Bilanz: Mehrzahl der Schwachstellen ermöglicht Ausführung von unautorisiertem Code ➡ Weiterlesen