Eine neue Funktion des IoT Inspectors deckt Non-Konformitäten von IoT-Geräten mit ENISA-, ETSI- und OWASP-Richtlinien automatisiert auf. [...]
Mit dem IoT Inspector hat SEC Technologies eine Analyseplattform entwickelt, die es ermöglicht, Sicherheitsanalysen von IoT-Firmware zu automatisieren und eine skalierbare Grundlage zu schaffen. Die Plattform bietet Transparenz darüber, was sich in einem Firmware-Image befindet, und identifiziert kritische Schwachstellen wie programmierte Passwörter im Firmware-Dateisystem, veraltete Komponenten von Drittanbietern, Lücken in der Systemkonfiguration oder SSH Host-Keys schnell und umfassend, wobei kein Quellcode erforderlich ist. Dabei deckt der IoT Inspector eine breite Palette von IoT-Geräten ab – darunter IP-Kameras, Drucker, Router etc.
Mit dem neuen Compliance Checker wurde der IoT Inspector jüngst um ein Feature erweitert, das es den Nutzern der Analyseplattform ab sofort ermöglicht, IoT-Firmware auf die Erfüllung internationaler Sicherheitsstandards hin zu untersuchen. Auf diese Weise können Provider ihre Produkte in kürzester Zeit auf Herstellerkonformität überprüfen und Unternehmen ohne großen Aufwand feststellen, ob die von ihnen eingesetzten IoT-Geräte gegen Compliance-Vorschriften ihrer Branche verstoßen. Erste Einblicke in das neue Tool gewähren die IoT Inspector-Experten auf der NetSec 2020, dem Partner-Event von Exclusive Networks, das am 3. März in Wien stattfindet.
Riesige Angriffsfläche
Sicherheit ist nach wie vor die große Schwachstelle im Internet der Dinge und Sicherheitslücken in IoT-Geräten sind eher die Norm als die Ausnahme. Angesichts der rund 27 Milliarden vernetzten Geräte, die bereits heute weltweit im Einsatz sind, ergibt sich eine Cyberangriffsfläche von unvorstellbarer Größe. Organisationen und Behörden, darunter das Europäische Institut für Telekommunikationsnormen (ETSI), die Agentur der Europäischen Union für Cybersicherheit (ENISA) und das Open Web Application Security Project (OWASP), haben es sich zur Aufgabe gemacht, dem gegenzusteuern, indem sie IoT-Sicherheitsrichtlinien – etwa für kritische Infrastrukturen – veröffentlichen. Der Compliance Checker unterstützt Unternehmen, Infrastrukturanbieter, Hersteller und Berater bei der Umsetzung dieser Richtlinien und überprüft automatisiert Abweichungen von den folgenden IoT-Sicherheitsstandards:
- ETSI TS 103 645
- ENISA Baseline Security Recommendations for IoT
- OWASP TOP 10 IoT 2018
„Gesetzgeber setzen Hersteller von IoT-Geräten zunehmend unter Druck, die wichtigsten IoT-Sicherheitsstandards einzuhalten. Und das ist auch gut so, denn nur so können wir endlich die Sicherheit flächendeckend gewährleisten, die im Internet der Dinge seit Jahren überfällig ist“, sagt Rainer M. Richter, Director Channels & Alliances bei SEC Technologies, dem Entwicklungspartner von SEC Consult. „Mit dem Compliance Checker haben wir nun eine Möglichkeit geschaffen, Firmware auf Konformität bzw. Non-Konformität mit den essenziellsten Sicherheitsstandards zu überprüfen – und zwar automatisiert und ohne großen Aufwand. Hiervon profitieren alle Beteiligten – Hersteller, Service-Provider und End-User – auf ihre Weise.“
Be the first to comment