Schwerwiegende Schwachstellen: Studie belegt Bedarf an IoT-Schutz

Was ist ein Brand Voice ?

IoT, IIoT und OT – Die Revolution der Interkonnektivität und intelligenten Automatisierung verdeutlicht, dass die Gegenwart und Zukunft effizienter industrieller Produktion und kritischen Infrastrukturen im Grad der Vernetzung liegen.

Eines ist den vernetzten Geräten jedoch gemeinsam: Sie alle kommen mit einer Vielzahl an eigenen Software-Systemen und Firmware-Bausteinen, die bisher nur wenig Beachtung in der Beschaffung und im Einsatz von IT-Technologie finden. Insgesamt 318 Fach- und Führungskräfte hat das IT-Security-Unternehmen ONEKEY befragt, die entscheidenden Ergebnisse liegen hier als IoT-Sicherheitsreport 2022 vor.

Kaum eigene Vorschriften zu IoT-Einsatz & Sicherheit

Insgesamt zeichnet die Industrie ein gemischtes Bild – die Unsicherheit rund um das Thema IoT-Security ist hoch. Daher haben auch nur wenige Unternehmen bisher solche Vorschriften, auch Compliance-Regeln genannt, aufgestellt: Nur etwa die Hälfte der 318 befragten Branchenvertreter geben an, über Compliance-Regelungen für IoT-Sicherheit im Unternehmen zu verfügen, 35 Prozent haben keine Regeln.

„Die vernetzte Fertigung ist ebenso effizient wie gefährlich. Die Anlagen verfügen über zahlreiche Hardware-Bausteine, die eine eigene Firmware nutzen und mittlerweile mehr denn je im Fokus von Hackern stehen. Daher sind eigene Vorschriften und Kontrollen unbedingt erforderlich.“ Jan Wendenburg, CEO von ONEKEY

Zu den verwundbarsten Bereichen gehören IoT-Devices in der Medizin (47 Prozent), der kritischen Infrastruktur (45 Prozent) sowie der Fertigung (39 Prozent).

Der Großteil aller Unternehmen vertraut bei der Absicherung von IoT-Infrastrukturen auf Bedrohungsanalysen (50 Prozent) und vertragliche Anforderungen an Lieferanten (42 Prozent). Damit ist im Zweifel zwar die Haftungsfrage geklärt, eine dezidierte Attacke auf Fertigungsanlagen kann jedoch innerhalb weniger Tage die wirtschaftliche Existenz einer Firma bedrohen.

Geringes Vertrauen in eigene Sicherheit

Einig sind sich die befragten Unternehmensvertreter bei der herstellerseitig gegebenen Sicherheit von IoT-Anlagen: Nur 12 Prozent halten die Maßnahmen zum Hackerschutz für ausreichend, 54 Prozent sehen sie als teilweise ausreichend an, 24 Prozent als nicht ausreichend, und sogar 5 Prozent als mangelhaft. Und das rächt sich – denn zahlreiche Unternehmen mussten bereits Vorfälle durch gehackte Endpoints verzeichnen. Alleine bei den 318 Unternehmensvertretern, die für den IoT-Sicherheitsreport 2022 befragt wurden, bestätigten 37 Prozent sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind. IT-Experten sind sich einig, dass die Anzahl der vernetzten Geräte in unterschiedlichsten Funktionen – auch in der Fertigung – in den nächsten Jahren exponentiell zunehmen wird.

Nur 26 Prozent halten daher die eigene IoT-Sicherheit des Unternehmens für vollständig ausreichend, 49 Prozent nur für teilweise ausreichend. Fast 15 Prozent hingegen erklären die eigenen Maßnahmen für nicht ausreichend oder mangelhaft.

Selbst Penetration Testing – oft als Königsklasse der IT-Sicherheit genannt – genießt kein volles Vertrauen: Nur 14 Prozent sehen darin einen effizienten Weg, die Sicherheit einer Infrastruktur zu prüfen. 68 Prozent sehen es als teilweise effizient an.

„Das Problem muss an der Wurzel gepackt werden, direkt während der Entwicklung und Produktion der Anlagen und Maschinen mit Anschluss an ein Netzwerk. Die IT-Branche könnte sich an der Prozessindustrie – beispielsweise der Pharmabranche – orientieren. Dort ist es gesetzliche Pflicht, eine komplette Rückverfolgbarkeit und Transparenz über jeden Bestandteil eines Produktes zu haben. Das müsste in der IT ebenso Standard sein – für Hard-wie sämtliche Softwarekomponenten!“

Jan Wendenburg, CEO ONEKEY

IoT-Technik ist lange im Einsatz

Ein weiteres Risiko ist die lange Nutzungsdauer solcher Technologien. Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig mehr als zehn Jahre im Firmeneinsatz. Die fehlenden Compliance-Strategien erschweren allerdings auch eine Update-Policy, mit der wichtige Sicherheitsfeatures über ein Überschreiben der bisherigen Firmware mit einer aktualisierten Fassung implementiert werden können.

In vielen Unternehmen ist allerdings auch die Zuständigkeitsfrage ungeklärt. Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedliche Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent). Bei 21 Prozent der Unternehmen übernehmen sogar externe Berater den Einkauf von IoT-Geräten und Systemen.

Wenig innerbetrieblichen Kontrollen

Einen Test in Form einer Analyse der enthaltenen Anlagen- und Geräte-Firmware auf Sicherheitslücken nehmen überraschenderweise nur 23 Prozent der Unternehmen vor.

Das Bewusstsein für das Erfordernis einer IoT Sicherheitsanalyse scheint relativ gering zu sein. Für typische (Windows-)PCs und Clients sind Sicherheitsmaßnahmen, d.h. Firewalls, Anti-Virus etc. obligatorisch – bei den IoT-Geräten scheinen solche Anforderungen meist nicht zu existieren. Fortschrittliche, automatisierte Plattformen bieten automatisierte Software-Analyse in nur wenigen Minuten, und das Ergebnis liefert klare Informationen über die Risiken und deren Einstufung in Risikostufen.

Die Implementierung einer solchen automatisierten Sicherheits- und Konformitätsanalyse im Firmware-Entwicklungs-Lebenszyklus (SDLC) oder im Beschaffungsprozess kann dazu beitragen, die IoT-Sicherheit wesentlich verbessern.

Software Bill of Materials (SBOM)

Die Forderung nach einem Herkunftsnachweis der enthaltenen Gerätesoftware – und damit auch nach einem Sicherheitscheck – wird daher in der Studie klar geäußert. Im Rahmen der Studie „IoT-Sicherheitsreport 2022“ sprechen sich 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für einen genauen Nachweis aller Software-Komponenten, einem sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints.

Der mögliche Schaden durch gehackte IoT-Anlagen kann zudem laut den Branchenexperten schnell Millionensummen verschlingen: 35 Prozent der für die Studie befragten IT-Verantwortlichen und Entscheider halten einen jährlichen Schaden von bis zu 100 Millionen Euro für realistisch, weitere 24 Prozent sogar bis zu 500 Millionen, 17 Prozent mehr als 500 Millionen Euro. In der Zwischenzeit dürfte sich die Bedrohungslage noch verschärft haben. Die Befragungen fanden vor dem Einmarsch Russlands in der Ukraine statt, und spätestens seit dem Beginn des Kriegs gehören Cyberattacken weltweit zur hybriden Kriegsführung der Aggressoren.

IoT nicht gut in Form –
braucht mehr Aufmerksamkeit!
Generell ist es um die Sicherheit im IoT-Bereich nicht gut bestellt – diese Schlussfolgerung lässt die Studie eindeutig zu. Unternehmen selbst haben kaum Vorgaben, viele Hersteller arbeiten nach dem Zufallsprinzip, und erst im Einsatz der Anlagen erfolgt der Test auf Sicherheit. Die Schäden können in den kommenden Jahren noch deutlich höher werden, je mehr der Grad der Vernetzung in der Wirtschaft zunimmt. Hinzu kommen schärfere Haftungsfragen, die auch die Entscheider in Unternehmen zukünftig in die Pflicht nehmen werden. Es ist daher absehbar, dass zukünftig das Management direkt für Versäumnisse in der IT-Sicherheit direkt haftbar gemacht werden kann.

Über ONEKEY:

ONEKEY ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance-Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance-Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z. B. SWISSCOM, VERBUND AG und ZYXEL, nutzen heute diese Plattform – Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.