Categories: IoTSicherheitSoftware

Wissen, was in intelligenten Produktionsanlagen drin steckt

Auf Lebensmittel- oder Arzneimittelverpackungen sind Aufzählungen der Inhaltsstoffe Pflicht. Die Zutaten lassen sich sogar vom Hersteller bis zum Erzeuger zurückverfolgen. Industrielle Steuerungs- und Produktionsanlagen oder Geräte wie Router, Netzwerkkameras und Drucker enthalten Firmware mit Betriebssystem und Applikationen, der über die enthaltenen Software-Komponenten erfahren Nutzer meist wenig. Dies bedeutet oft immense Risiken für den Befall durch Hacker und Datendiebe in Unternehmen, die diese Steuerungen und Geräte einsetzen.

Aus diesem Grund sprechen sich 75 Prozent der Fach- und Führungskräfte aus der IT-Industrie laut “IoT-Sicherheitsreport 2022” von Onekey für die “Software Bill of Materials” (SBOM) für alle Komponenten aus. “Praktisch alle Geräte mit Anschluss an ein Netzwerk enthalten versteckte Mängel in der Firmware und den Applikationen, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten”, sagt Jan Wendenburg, CEO von Onekey.

Hersteller vernachlässigen Sicherheit

Viel Vertrauen besteht daher auch nicht in die herstellerseitige Absicherung von IoT-Devices: 24 Prozent der 318 befragten Personen halten dies für “nicht ausreichend”, weitere 54 Prozent maximal für “teilweise ausreichend”. Hacker haben daher bereits seit längerer Zeit ein Auge auf die verletzlichen Geräte geworfen – Tendenz steigend. 63 Prozent der IT-Experten bestätigen, dass Hacker bereits einen Missbrauch von IoT-Geräten als Einfallstor in Netzwerke nutzen.

Besonders in Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als “teilweise ausreichend” an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.

Unklare Zuständigkeiten in Unternehmen

Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig mehr als zehn Jahre im Firmeneinsatz. Ohne Compliance-Strategien gibt es meist keine Update-Richtlinien in den Unternehmen. Hinzu kommen unklare Situation Zuständigkeiten: Für IoT-Security sind vom CTO über CIO, Risk & Compliance Manager bis zum IT-Purchasing Manager verschiedenste Führungskräfte verantwortlich. Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen. Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen hingegen nur 23 Prozent vor.

“Das ist fahrlässig. Eine Untersuchung der Gerätesoftware dauert wenige Minuten, das Ergebnis gibt klar Aufschluss über die Risiken und ihre Klassifizierung in Risikostufen. Dieser Prozess sollte zum Pflichtprogramm vor und während des Einsatzes von Endpoints – vom Router bis zur Produktionsmaschine – gehören”, sagt Jan Wendenburg.

Roger Homrich

Recent Posts

Hohe Burnout-Rate bei Cybersicherheitsexperten

Wachsende Bedrohung durch Angriffe in Kombination mit Qualifikationsdefiziten frustriert Sicherheitsteams.

1 Tag ago

Von “Hack-for-Hire”-Gruppen genutzte Domains gesperrt

Threat Analysis Group (TAG) von Google sperrt bösartige Domains und Websites, die Hack-for-Hire-Gruppen für Angriffe…

1 Tag ago

Big-Data-Analysen im Mittelstand

KMU fehlt es an Know-how, Zeit und den richtigen Technologien, um das Potenzial ihrer Daten…

1 Tag ago

Podcast Silicon DE im Fokus: Gefahr für Produktionsanlagen

Wie sieht aktuell die Gefährdungslage für Operational Technology (OT) aus? Carolina Heyder im Gespräch mit…

2 Tagen ago

Microsoft: Linux-Malware installiert Cryptomining-Software

Als Einfallstor dient eine bekannte Schwachstelle in Software von Atlassian. Alternativ nehmen die Cyberkriminellen auch…

3 Tagen ago

Mit Low-Code Prozesse rund um Personaldaten optimieren

TraveNetz betreibt SAP HCM onPremise und hat noch keine Cloud-Produkte im Einsatz. Daher war die…

3 Tagen ago