Bad Homburg v.d.H., Starnberg, 16. Juli 2021 - Nicht alle Router, Security-Kameras oder andere smarte Devices sind sicher; IoT Inspector mit Hinweisen zur Beschaffung...
Zum Beitrag: Bei der Beschaffung von IoT-Devices die in ein IT-Netzwerk eingebunden sind, sollte mit Vorsicht vorgegangen werden. In Stichproben zeigten nach Angaben der Spezialisten von IoT Inspector mehr als 50 Prozent der geprüften Geräte eklatante Schwachstellen, die einen Hackerangriff auf eine gesamte IT-Infrastruktur zulassen würden. Oftmals tarnen sich diese potentiellen Probleme in Zulieferprodukten: In jedem Gerät stecken im Durchschnitt Softwarekomponenten von mehr als zehn unterschiedlichen Herstellern, d.h. OEM-Produzenten.
Mit einer Checkliste geben Ihnen die Security-Experten von IoT Inspector nachfolgend eine erste Guideline (das Unternehmen betreibt eine der größten Plattformen für die Überprüfung von werksseitig verbauter Gerätesoftware (Firmware) auf Sicherheitslücken). Um einen angemessenen Grundschutz der IoT-Infrastruktur innerhalb des Unternehmens zu erreichen, empfehlen sich danach folgende Maßnahmen.
Checkliste für die sichere Beschaffung von IoT-Devices:
Zunächst sollte eine Schutzbedarfsbestimmung und Bedrohungsanalyse stattfinden, um klare Leitlinien für die IoT-Sicherheit festzulegen.
Definition von konkreten technischen Security-Anforderungen für die Beschaffung. Diese werden in einem Security-Lastenheft festgehalten und sind vom Hersteller nachweislich umzusetzen. Orientierung hierfür bieten internationale Vorgaben, wie z.B. ISA/IEC 62443 oder ETSI 303 645. Des Weiteren gibt es auf Sicherheit fokussierte Beschaffungsplattformen, wie z.B. 'IT - Sicher kaufen', denen konkrete Beschaffungstexte entnommen werden können. Link > https://www.it-sicher.kaufen/
Prüfung des Herstellers hinsichtlich Vertrauenswürdigkeit und Sorgfalt im Rahmen der Hardware- und Software-Entwicklung. Zur Orientierung dienen etablierte Reifegradmodelle wie OWASP SAMM oder BSIMM. Der Hersteller muss nachweisen, dass er den geforderten Reifegrad – abhängig vom Schutzbedarf des Geräts – für alle Entwicklungsaktivitäten umsetzt.
Durchführung von automatisierten Sicherheitstests der Geräte-Firmware, sowohl bei der Abnahme als auch in festen Intervallen, um eventuell durch Firmware-Updates neu eingeschleuste Schwachstellen aufzufinden.
Empfohlen werden Whitebox-Audits basierend auf den OWASP IoT Testing Guides.
Einforderung der schriftlichen Zusicherung des Herstellers, dass alle definierten Sicherheitsanforderungen erfüllt sind.
Sichtung von Security-Dokumentation, die im Rahmen der Software-Entwicklung erstellt wurde (z.B. Dokumentation der Sicherheitsarchitektur, Datenfluss-Analysen, Ergebnisse von internen Sicherheitstests des Herstellers).
Bekommt ein IoT Gerät Zugriff auf vertrauliche Informationen oder wird in besonders schutzwürdigen Bereichen eingesetzt, sollte ein vollständiges Security Source Code Review der Firmware sowie eine physische Sicherheitsüberprüfung des IoT Geräts selbst mit Fokus auf versteckte Hintertüren in der Software und Hardware durchgeführt werden.
Abb. 1: Zur Vorgehensweise (Bildquelle: IoT Inspector). Hinweis: Der IoT Inspector Compliance Checker prüft nach vorliegenden Angaben derzeit automatisch auf Abweichungen von den folgenden IoT-Sicherheitsstandards:
- BITAG - Broad Internet Technical Advisory Group
- DIN - Deutsches Institut für Normung
- ENISA Baseline Security Recommendations für IoT
- ETSI TS 103 645
- GOV.UK - Regierung des Vereinigten Königreichs: Ministerium für Digitales, Kultur, Medien und Sport
- LEGINFO CA GOV - Informationen zur Gesetzgebung des Staates Kalifornien
- OWASP TOP 10 IoT 2018
Kommentar Florian Lukavsky, Geschäftsführer und Gründer von IoT Inspector: „Unternehmen holen sich mit Druckern, Routern, Sicherheitskameras oder smarten Beleuchtungslösungen eine unberechenbare Blackbox ins eigene Haus. Hacker kennen die Schwachstellen und können sich leicht Zugriff auf sensible Informationen verschaffen. Daher ist bei der Beschaffung dieser Geräte Sorge dafür zu tragen, dass es Security-Vorgaben gibt und diese auch geprüft werden“.
Hinweis: Universitäten und Forschungseinrichtungen steht mit IoT Inspector Edu die Plattform kostenlos zur Verfügung. Link > https://www.iot-inspector.com/de/iot-inspector-edu-lehre-forschung/
Querverweis: