Egal wo, ob in der Medizinaltechnik, Industrie, Logistik, Smart City oder Smart Energy – ihre Produkte werden als Dinge vernetzt, sei es lokal oder über das Internet. Aus kurzfristig ökonomischen Überlegungen heraus steht oft ausschliesslich die Funktionalität im Fokus, die Sicherheit wird dabei vernachlässigt. In diesem Blog lernen Sie die 10 typischen IoT Security-Fehler kennen.

Die IoT-Geräte kommunizieren zusehends nicht nur miteinander, sondern auch mit Smartphones, Backend Services, Clouds und anderen Diensten von Herstellern oder Drittanbietern. Dadurch entstehen ganze IoT-Ökosysteme, deren Mehrwert sich im Zusammenspiel aller Komponenten ergibt. In unseren IoT Security-Projekten stellen wir in diesem heterogenen und komplexen Gebilde immer wieder typische Security-Fehler fest.

Lernen Sie hier die 10 typischen IoT Security-Fehler kennen

065_CyOne10TopFehler_RBG_700x500_1
2. Unsichere Netzwerkdienste
3. Unsichere IoT-Ökosystem-Schnittstellen
4. Fehlender sicherer Aktualisierungsmechanismus
5. Verwendung von unsicheren oder veralteten Komponenten
6. Unzureichender Schutz der Privatsphäre
7. Unsicherer Datentransfer und unsichere Datenspeicherung
8. Fehlende Geräteverwaltung
9. Unsichere Standardeinstellungen
RZ_CyOne_Slider_10 Top Fehler_RBG_700x500_10

Schwache, erratbare oder hardcoded Passwörter
Verwendung von leicht erratbaren, öffentlich zugänglichen oder unveränderlichen Anmeldeinformationen wie z. B. fixe Herstellerpasswörter, Default-Servicezugänge.

Unsichere Netzwerkdienste
Nicht benötigte oder unsichere Netzwerkdienste, die auf dem Gerät selbst ausgeführt werden, insbesondere solche, die dem Internet ausgesetzt sind, sowie die Vertraulichkeit,  Integrität / Authentizität oder Verfügbarkeit von Informationen beeinträchtigen oder eine unbefugte Fernsteuerung ermöglichen.

Unsichere IoT-Ökosystem-Schnittstellen
Unsichere Web-, Backend-API-, Cloud- oder mobile Schnittstellen im IoT-Ökosystem ausserhalb des Geräts, die eine Gefährdung des Geräts oder der zugehörigen Komponenten ermöglichen. Häufige Probleme sind ein Mangel an Authentifizierung / Autorisierung, fehlende oder schwache Verschlüsselung und ein Mangel an Ein- und Ausgangsfilterung.

Fehlender sicherer Aktualisierungsmechanismus
Fehlende Möglichkeiten, das Gerät sicher zu aktualisieren. Dazu gehören fehlende Firmware-Validierung auf dem Gerät, mangelnde sichere Bereitstellung (unverschlüsselt während der Übertragung), fehlende Anti-Rollback-Mechanismen und fehlende Benachrichtigungen über Sicherheitsänderungen aufgrund von eingespielten Updates.

Verwendung von unsicheren oder veralteten Komponenten
Verwendung von veralteten oder unsicheren Softwarekomponenten / Bibliotheken, die eine Gefährdung des Geräts ermöglichen könnten. Dazu gehört die unsichere Anpassung von Betriebssystemplattformen. Auch die Verwendung von Soft- oder Hardwarekomponenten von Drittanbietern aus einer gefährdeten Lieferkette fällt darunter.

Unzureichender Schutz der Privatsphäre
Persönliche Daten des Benutzers, die auf dem Gerät oder im IoT-Ökosystem gespeichert sind und unsicher, unsachgemäss oder ohne Genehmigung verwendet werden.

Unsicherer Datentransfer und unsichere Datenspeicherung
Fehlende Verschlüsselung oder Zugriffskontrolle auf sensible Daten innerhalb des gesamten IoT-Ökosystems. Dies betrifft Daten im Ruhezustand, während des Transports oder während der Verarbeitung. Sicheres Protokollieren von Login, Setzen von Einstellungen oder Signieren von erzeugten Daten wie Files und PDF fehlt.

Fehlende Geräteverwaltung
Fehlende Sicherheitsunterstützung für Geräte, die in der Produktion eingesetzt werden, einschliesslich Asset-Management, Update-Management, sichere Ausserbetriebnahme, Systemüberwachung und Reaktionsfähigkeiten.

Unsichere Standardeinstellungen
Geräte oder Systeme, die mit unsicheren Standardeinstellungen ausgeliefert werden, oder die nicht in der Lage sind, das System sicherer zu machen, indem sie die Bediener daran hindern, Konfigurationen zu ändern.

Fehlende physikalische Härtung
Fehlende physische Härtungsmassnahmen, die es potenziellen Angreifern ermöglichen, sensible Informationen zu erhalten, die bei einem zukünftigen Remote-Angriff helfen oder die lokale Kontrolle über das Gerät übernehmen können.

Für Sie als Hersteller von IoT-Geräten einerseits ist es überlebenswichtig, nicht durch Nachlässigkeit oder frühere Fehlentscheide in der Sicherheitsarchitektur Ihren guten Ruf zu verlieren. Im Internet of Things muss die Security ein integraler Bestandteil sein. Sie darf nicht nur auf die einzelnen Geräte beschränkt bleiben, sondern soll zwingend systemübergreifend betrachtet werden.Als Betreiber von IoT-Lösungen müssen Sie andererseits sicherstellen, dass die notwendigen Security-Massnahmen ergriffen wurden, damit ein reibungsloser Betrieb und die sichere Integration der IoT-Geräte in die IT-Landschaft gewährleistet ist.

Ihre Herausforderungen - sind unsere Kompetenzen

Vernetzte Produkte und Systeme werden während ihrem gesamten Lebenszyklus und ihrer Integration in die Unternehmensnetzwerke mit verschiedenen Herausforderungen konfrontiert. Sie müssen deshalb:

  1. mit den kontinuierlichen Veränderungen der Sicherheit in Unternehmensnetzwerken schritthalten können.
  2. sich innerhalb eines operativen und regulatorisch geprägten Prozessumfeldes behaupten.
  3. sich gegen die sich dauernd weiterentwickelnden Cyber-Bedrohungen schützen lassen.

Sind die Sicherheitsanforderungen in der Produktentwicklung sowie Implementierung von Projektbeginn an berücksichtigt, können ein erfolgreicher Betrieb gewährleistet, Kosten minimiert und fatale Reputationsschäden verhindert werden.

Dienstleistungen für eine nachhaltige IoT Security

Hersteller

  • Pentesting existierender Produkte und Systeme
  • Überprüfen und analysieren von Sicherheitsarchitekturen
  • Design der optimalen Sicherheitsarchitektur und Update-Fähigkeiten
  • Design und Implementation kryptologischer Funktionen (z.B. Signieren von Updates)
  • Datenseparation von klassifizierten Daten und geräterelevanten Systemdaten
  • Design der richtigen IT-Sicherheitsarchitektur für die optimale Integration von vernetzten Produkte und Systeme
  • Betreiben einer sicheren Update-Plattform

Betreiber

  • Sicherheitsreview existierender IoT-Architekturen und Aufzeigen allfällig vorhandener Lücken
  • Design einer geeigneten Sicherheitsarchitektur bei Digitalisierungsvorhaben für die sichere Vernetzung von Anlageteilen
  • Durchführen einer Schwachstellenanalyse der neu vernetzten Produkte und Systeme mit Fokus auf die IT-Infrastruktur / ERP-System (Innensicht)
  • Durchführen einer Schwachstellenanalyse aus dem Internet mit Blick auf das gesamte IoT-Ökosystem (Aussensicht)
  • Durchführen eines Sicherheitsscans und Dokumentieren der gefundenen Sicherheitslücken für existierende oder für einzelne integrierte Gerätekomponenten
  • Design und Implementation von sicheren Fernzugriffskonzepten und den dazugehörigen Berechtigungsmodellen
  • Betreiben einer sicheren Update-Plattform

Laden Sie jetzt die Infografik «Die 10 typischen IoT Security-Fehler» kostenlos herunter, damit Sie in Zukunft grundlegende Sicherheitsfehler in Ihrem IoT-Projekt vermeiden können. Oder fordern Sie noch heute ein kostenloses Expertengespräch mit unseren IoT Security-Experten an.

Infografik «Die 10 typischen IoT Security-Fehler» downloaden