Schutz vor trojanischen Pferden

Stichproben der IT-Beratungsfirma IoT-Inspector aus Bad Homburg zufolge weisen oft 50 Prozent an Geräten eklatante Schwachstellen auf, die einen Hackerangriff auf die ganze Systeminfrastruktur zulassen würden. Besonders bei der Beschaffung von Druckern, Routern, Sicherheitskameras und Beleuchtungsoptionen sei Vorsicht geboten. Die Hacker kennen die Schwachstellen und nutzen diese gerne aus. Laut IoT-Inspector stecken in jedem Gerät im Durchschnitt Softwarekomponenten von mehr als zehn unterschiedlichen Herstellern, sogenannten OEM-Produzenten. In einer ausführlichen Checkliste rät die IT-Beratungsfirma zu folgenden Sicherheitstipps:

• Zunächst sollte eine Schutzbedarfsbestimmung und Bedrohungsanalyse stattfinden, um klare Leitlinien für die IoT-Sicherheit festzulegen.
• Definition von konkreten technischen Security-Anforderungen für die Beschaffung. Diese werden in einem Security-Lastenheft festgehalten und sind vom Hersteller nachweislich umzusetzen. Orientierung hierfür bieten internationale Vorgaben, wie z.B. ISA/IEC 62443 oder ETSI 303 645. Des Weiteren gibt es auf Sicherheit fokussierte Beschaffungsplattformen, denen konkrete Beschaffungstexte entnommen werden können.
• Prüfung des Herstellers hinsichtlich Vertrauenswürdigkeit und Sorgfalt im Rahmen der Hardware- und Software-Entwicklung. Zur Orientierung dienen etablierte Reifegradmodelle wie OWASP SAMM oder BSIMM. Der Hersteller muss nachweisen, dass er den geforderten Reifegrad – abhängig vom Schutzbedarf des Geräts – für alle Entwicklungsaktivitäten umsetzt.
• Durchführung von automatisierten Sicherheitstests der Geräte-Firmware, sowohl bei der Abnahme als auch in festen Intervallen, um eventuell durch Firmware-Updates neu eingeschleuste Schwachstellen aufzufinden.
• Empfohlen werden Whitebox-Audits basierend auf den OWASP IoT Testing Guides.
  Einforderung der schriftlichen Zusicherung des Herstellers, dass alle definierten Sicherheitsanforderungen erfüllt sind.
• Sichtung von Security-Dokumentation, die im Rahmen der Software-Entwicklung erstellt wurde (z.B. Dokumentation der Sicherheitsarchitektur, Datenfluss-Analysen, Ergebnisse von internen Sicherheitstests des Herstellers).
• Bekommt ein IoT-Gerät Zugriff auf vertrauliche Informationen oder wird in besonders schutzwürdigen Bereichen eingesetzt, sollte ein vollständiges Security Source Code Review der Firmware sowie eine physische Sicherheitsüberprüfung des IoT-Geräts selbst mit Fokus auf versteckte Hintertüren in der Software und Hardware durchgeführt werden.

Für Interessenten bietet IoT Inspector ein Whitepaper zum Download.

Quelle: IoT Inspector GmbH