All Stories
Follow
Subscribe to ONEKEY GmbH

ONEKEY GmbH

IT-Experten fordern im IoT-Sicherheitsreport 2022 eine Bill of Materials (SBOM) für Gerätesoftware

Düsseldorf (ots)

Industrielle Steuerungen, Produktion und das Smart Home sind oft "nicht ausreichend" gegen Hacker geschützt

Shampoo, Kekse, Dosensuppe und Arzneien haben alle eine Gemeinsamkeit: Die Aufzählung aller Inhaltsstoffe auf der Packung sowie deren Rückverfolgbarkeit über den Hersteller bis zum Erzeuger der einzelnen Zutat. Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen direkt mit - ohne einen genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.

Im Rahmen der Studie "IoT-Sicherheitsreport 2022" sprechen sich daher 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, der sogenannten "Software Bill of Materials" (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. "Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten", sagt Jan Wendenburg, CEO von ONEKEY (vormals IoT Inspector). Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als einfach integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.

Hersteller vernachlässigen Sicherheit

Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für "nicht ausreichend", weitere 54 Prozent maximal für "teilweise ausreichend". Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen - Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen. Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als "teilweise ausreichend" an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind. "Das Risiko nimmt durch den fortschreitenden Ausbau einer vernetzten Fertigung noch weiter zu. Generell ist zu erwarten, dass sich die Anzahl vernetzter Geräte in wenigen Jahren verdoppeln wird", sagt Jan Wendenburg von ONEKEY. Neben der automatischen Analyseplattform zur Überprüfung der Geräte-Firmware betreibt das Unternehmen auch ein eigenes Testlabor, in dem die Hardware großer Hersteller geprüft und regelmäßig Schwachstellenberichte, sogenannte Advisories, veröffentlicht werden.

Unklare Zuständigkeiten in Unternehmen

Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig auch mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es allerdings auch meist keine Update-Richtlinien in den Unternehmen. Hinzu kommt eine häufig sehr unklare Situation rund um die Zuständigkeit: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen. Die einfachste Sicherheitskontrolle - eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken - nehmen hingegen nur 23 Prozent vor. "Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints - vom Router bis zur Produktionsmaschine - gehören", resümiert Jan Wendenburg von ONEKEY.

Über ONEKEY:

ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte "Digital Twins" und "Software Bill of Materials (SBOM)" der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z.B. SWISSCOM, VERBUND AG und ZYXEL nutzen heute diese Plattform - Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.

Pressekontakt:

Kontakt: ONEKEY GmbH,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com
Web: www.onekey.com

PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
Tel.: +49 (0)611-973150, E-Mail: team@euromarcom.de,
Web: www.euromarcom.de

Original content of: ONEKEY GmbH, transmitted by news aktuell

More stories: ONEKEY GmbH
More stories: ONEKEY GmbH