Für die Suche nach Inhalten geben Sie »Content:« vor den Suchbegriffen ein, für die Suche nach Orten geben Sie »Orte:« oder »Ort:« vor den Suchbegriffen ein. Wenn Sie nichts eingeben, wird in beiden Bereichen gesucht.

 

 

Schutz vor trojanischen Pferden: Beschaffung sicherer IoT-Technik für UnternehmenZoom Button

Informationen zu Creative Commons (CC) Lizenzen, für Pressemeldungen ist der Herausgeber verantwortlich, die Quelle ist der Herausgeber

Schutz vor trojanischen Pferden: Beschaffung sicherer IoT-Technik für Unternehmen

Bad Homburg vor der Höhe (ots) Bei der Beschaffung von IoT-Devices – also Geräten, die in ein IT-Netzwerk eingebunden sind – sollte Vorsicht walten. In Stichproben zeigten mehr als 50 Prozent der geprüften Geräte eklatante Schwachstellen, die einen Hackerangriff auf eine gesamte IT-Infrastruktur zulassen würden. »Unternehmen holen sich mit Druckern, Routern, Sicherheitskameras oder smarten Beleuchtungslösungen eine unberechenbare Blackbox ins eigene Haus. Hacker kennen die Schwachstellen und können sich leicht Zugriff auf sensible Informationen verschaffen. Daher ist bei der Beschaffung dieser Geräte Sorge dafür zu tragen, dass es Security-Vorgaben gibt und diese auch geprüft werden«, sagt Florian Lukavsky, Geschäftsführer und Gründer von IoT Inspector. Das Unternehmen betreibt eine der größten Plattformen für die Überprüfung von werksseitig verbauter Gerätesoftware, der sogenannten Firmware, auf Sicherheitslücken. Oftmals tarnen sich diese potentiellen Probleme in Zulieferprodukten: In jedem Gerät stecken im Durchschnitt Softwarekomponenten von mehr als zehn unterschiedlichen Herstellern, sogenannten OEM-Produzenten. Mit einer Checkliste geben die Security-Experten von IoT-Inspector eine Guideline.

Checkliste für die sichere Beschaffung von IoT-Devices

Um einen angemessenen Grundschutz der IoT-Infrastruktur innerhalb des Unternehmens zu erreichen, empfehlen sich folgende Maßnahmen: Zunächst sollte eine Schutzbedarfsbestimmung und Bedrohungsanalyse stattfinden, um klare Leitlinien für die IoT-Sicherheit festzulegen.

Definition von konkreten technischen Security-Anforderungen für die Beschaffung. Diese werden in einem Security-Lastenheft festgehalten und sind vom Hersteller nachweislich umzusetzen. Orientierung hierfür bieten internationale Vorgaben, wie zum Beispiel ISA/IEC 62443 oder ETSI 303 645. Des Weiteren gibt es auf Sicherheit fokussierte Beschaffungsplattformen, wie zum Beispiel »IT – sicher kaufen«, denen konkrete Beschaffungstexte entnommen werden können.

Prüfung des Herstellers hinsichtlich Vertrauenswürdigkeit und Sorgfalt im Rahmen der Hardware- und Software-Entwicklung. Zur Orientierung dienen etablierte Reifegradmodelle wie OWASP SAMM oder BSIMM. Der Hersteller muss nachweisen, dass er den geforderten Reifegrad – abhängig vom Schutzbedarf des Geräts – für alle Entwicklungsaktivitäten umsetzt.

Durchführung von automatisierten Sicherheitstests der Geräte-Firmware, sowohl bei der Abnahme als auch in festen Intervallen, um eventuell durch Firmware-Updates neu eingeschleuste Schwachstellen aufzufinden.

Empfohlen werden Whitebox-Audits basierend auf den OWASP-IoT-Testing-Guides.

Einforderung der schriftlichen Zusicherung des Herstellers, dass alle definierten Sicherheitsanforderungen erfüllt sind.

Sichtung von Security-Dokumentation, die im Rahmen der Software-Entwicklung erstellt wurde (zum Beispiel Dokumentation der Sicherheitsarchitektur, Datenfluss-Analysen, Ergebnisse von internen Sicherheitstests des Herstellers).

Bekommt ein IoT-Gerät Zugriff auf vertrauliche Informationen oder wird in besonders schutzwürdigen Bereichen eingesetzt, sollte ein vollständiges Security Source Code Review der Firmware sowie eine physische Sicherheitsüberprüfung des IoT-Geräts selbst mit Fokus auf versteckte Hintertüren in der Software und Hardware durchgeführt werden.

Für Interessenten bietet IoT-Inspector ein Whitepaper zum Download.

Über IoT-Inspector

Die Technologie von IoT-Inspector ermöglicht mit wenigen Mausklicks eine automatisierte Firmware-Prüfung von IoT-Devices auf kritische Sicherheitslücken. Der integrierte Compliance Checker deckt gleichzeitig Verletzungen internationaler Compliance-Vorgaben auf. Schwachstellen für Angriffe von außen und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können gezielt behoben werden. Die einfach per Web-Interface zu bedienende Lösung deckt für Hersteller und Inverkehrbringer von IoT-Technologie unbekannte Sicherheitsrisiken auf. Dies gilt insbesondere für Produkte, die von einem OEM-Partner gefertigt werden. Auch Infrastrukturanbieter, Beratungsunternehmen, Wissenschaftler und Systemhäuser profitieren von dem Angebot und können Ihren Kunden wertvollen Mehrwert bieten. Universitäten und Forschungseinrichtungen steht mit IoT-Inspector-Edu die Plattform kostenlos zur Verfügung unter https://www.iot-inspector.com/de/iot-inspector-edu-lehre-forschung/ …
 
Gütsel
Termine und Events

Veranstaltungen
nicht nur in Gütersloh und Umgebung

Dezember 2024
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
293031
Februar 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
232425262728
September 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
282930
November 2025
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30
Dezember 2025
So Mo Di Mi Do Fr Sa
123456
78910111213
14151617181920
21222324252627
28293031
Februar 2026
So Mo Di Mi Do Fr Sa
1234567
891011121314
15161718192021
22232425262728
September 2026
So Mo Di Mi Do Fr Sa
12345
6789101112
13141516171819
20212223242526
27282930
Oktober 2026
So Mo Di Mi Do Fr Sa
123
45678910
11121314151617
18192021222324
25262728293031
November 2042
So Mo Di Mi Do Fr Sa
1
2345678
9101112131415
16171819202122
23242526272829
30