IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr

IoT-Sicherheitsreport 2022: Industrielle Steuerungen in Gefahr
Anzeige

Beitrag teilen

IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware: Industrielle Steuerungen, Produktion und das Smart Home sind oft „nicht ausreichend“ gegen Hacker geschützt. Experten fordern Nachweis aller genutzten Software-Komponenten.

Shampoo, Kekse, Dosensuppe und Arzneien haben eine Gemeinsamkeit: Die Aufzählung aller Inhaltsstoffe auf der Packung sowie deren Rückverfolgbarkeit über den Hersteller bis zum Erzeuger der einzelnen Zutat. Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen direkt mit – ohne einen genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.

Anzeige

Was steckt drin in Routern, Netzwerk & Co?

Im Rahmen der Studie „IoT-Sicherheitsreport 2022“ sprechen sich daher 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, der sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. „Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten“, sagt Jan Wendenburg, CEO von ONEKEY (vormals IoT Inspector). Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als einfach integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.

Hersteller vernachlässigen die Sicherheit

Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für „nicht ausreichend“, weitere 54 Prozent maximal für „teilweise ausreichend“. Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen – Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen. Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als „teilweise ausreichend“ an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.

Anzeige

Vernetzte Fertigung steigert die Risiken

„Das Risiko nimmt durch den fortschreitenden Ausbau einer vernetzten Fertigung noch weiter zu. Generell ist zu erwarten, dass sich die Anzahl vernetzter Geräte in wenigen Jahren verdoppeln wird“, sagt Jan Wendenburg von ONEKEY. Neben der automatischen Analyseplattform zur Überprüfung der Geräte-Firmware betreibt das Unternehmen auch ein eigenes Testlabor, in dem die Hardware großer Hersteller geprüft und regelmäßig Schwachstellenberichte, sogenannte Advisories, veröffentlicht werden.

Unklare Zuständigkeiten in Unternehmen

Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig auch mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es allerdings auch meist keine Update-Richtlinien in den Unternehmen. Hinzu kommt eine häufig sehr unklare Situation rund um die Zuständigkeit: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen.

Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen hingegen nur 23 Prozent vor. „Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints – vom Router bis zur Produktionsmaschine – gehören“, resümiert Jan Wendenburg von ONEKEY.

Mehr bei Onekey.com

 

[ONEKEY]

 

Passende Artikel zum Thema

Report: IT-Führungskräfte halten XDR für notwendig

Eine neue Studie unterstreicht die Unsicherheit bei XDR-Definition, Implementierung und benötigte Ressourcen. Der Report von ExtraHop zeigt, dass 78 Prozent ➡ Weiterlesen

Gefahrenlage ganzheitlich unter Kontrolle

Zentralisiertes Monitoring und automatisierte Gefahrenabwehr über alle Netzwerksicherheits- und Endpoint-Security-Produkte hinweg: Mit ThreatSync bietet WatchGuard ab sofort eine umfassende XDR-Lösung als ➡ Weiterlesen

Password-Management zum Schutz von Enterprise-Nutzern

Neue und erweiterte Funktionen für Workforce Password Management: Die Cloud-basierte Enterprise-Lösung für das Passwort-Management erlaubt es Mitarbeitern, ihre Passwörter und ➡ Weiterlesen

Proaktives Incident Response für SaaS

Mit der Einführung von Proactive Incident Response verbessert Varonis die Datensicherheit seiner Kunden. Im Rahmen des SaaS-Angebots überwacht ein Team ➡ Weiterlesen

Spray-and-Pray-Angriffe gegen ManageEngine-IT-Tools

Mit einer opportunistischen Attacke greifen Cyberkriminelle seit Januar 2023 weltweit Implementierungen der ManageEngine-Softwarelösungen der Zoho Corporation an. Durch automatisierte Scans ➡ Weiterlesen

Emotet übernimmt Microsoft OneNote-Anhänge

Emotet geht wieder neue Wege und infiziert Microsoft OneNote-Dokumente. Das in Unternehmen beliebte digitale Notizbuch ist für viele Anwender somit ➡ Weiterlesen

Phishing-Attacken erreichen Allzeithoch

Mehr als 30 Prozent der Unternehmen und Privatanwender waren in jedem Quartal von 2022 mobilen Phishing-Angriffen ausgesetzt. Stark regulierte Branchen ➡ Weiterlesen

High-End-Plattformen gegen DDoS 

Radware stellt unter der Bezeichnung DefensePro X eine leistungsstarke neue Serie von sechs -Abwehrplattformen gegen Cyberangriffe und DDoS vor. Ebenfalls ➡ Weiterlesen