Der Fluch des IoT: Das World Wide Web kann einen Atomkrieg überstehen… und scheitert am smarten Toaster

Der Fluch des IoT: Das World Wide Web kann einen Atomkrieg überstehen… und scheitert am smarten Toaster

Der Siegeszug des IoT, des Internet of Things, begann mit einem Toaster. 1990 verbanden der US-amerikanische Software- und Netzwerkexperte John Romkey und der australische Computerwissenschaftler Simon Hackett während einer Konferenz einen Toaster mit dem Internet. Das Resultat: Das Gerät konnte online ein- und ausgeschaltet werden. Mittlerweile reicht die Palette an IoT-konformen Devices, die über Netzwerke oder Cloud-basierte Plattformen mit dem Internet verbunden sind, von Wearables wie Smartwatches bis hin zu RFID-Inventarisierungschips – und natürlich ist auch der eine oder andere smarte Toaster dabei…

Die enge Vernetzung der physischen mit der digitalen Welt macht unseren Alltag komfortabler. Wir genießen es, in der Früh vom smarten Kaffeeautomaten mit einer duftenden Tasse empfangen zu werden, lassen uns vom Kühlschrank informieren, was ihm gerade fehlt, und entgehen dank intelligenter Navigationssysteme dem Stau auf dem Weg zur Arbeit. In der Wirtschaft wird das IIoT, das Industrial Internet of Things genutzt, um etwa Verbraucherbedürfnisse in Echtzeit zu verstehen, die Maschinen- und Systemqualität im laufenden Betrieb zu verbessern und Lieferketten zu rationalisieren. Also das perfekte Netzwerk an Technologien für ein schönes und erfolgreiches Leben wie aus dem Werbeclip?

IoT-Geräte sind der perfekte Host für Bots

Nicht ganz – es gibt da einen nicht ganz so kleinen Haken an der Sache: Cyberkriminelle können IoT-Geräte leicht ausnutzen, um in Systeme einzudringen. Viel zu oft handelt es sich hierbei nämlich um Produkte mit niedrigen Sicherheitsstandards, permanent eingeschaltet und auch online, sie werden nur selten überwacht und oft schlecht gewartet. Die heimliche Übernahme der IoT Devices beginnt mit der Ausnutzung einer Schwachstelle und der Angreifer übernimmt die Kontrolle über das System: Das Device agiert wie ein Roboter, kurz: Bot. Gesteuert werden die gekaperten Geräte meistens über sogenannte Command-and-Control-Server (C&C-Server), die Angreifer, die das so kreierte Botnet kontrollieren, werden Bot-Master oder Bot-Herder genannt.

Das erste IoT-Botnet wurde im Jahr 2009 entdeckt, mit der steigenden Digitalisierung nahm auch die Anzahl der Botnets und Angriffe stark zu. Besonders bekannt wurde eine Serie von Attacken durch die Linux-Schadsoftware „Mirai“ im Herbst 2016, vor allem jene am 21. Oktober gegen den US-amerikanischen DNS-Provider Dyn: Die DNS Infrastruktur von Dyn und davon betroffene Dienste wie Twitter, Reddit, GitHub, Amazon, Netflix, Spotify, Airbnb u.a. waren zeitweise lahmgelegt, Dyn verlor acht Prozent seines Managed-Service-Geschäfts. Seitdem wächst die Zahl der entdeckten Botnets exponentiell an.

Wie aus einem harmlosen Gerät ein Bot werden kann

Eine Infektion durch einen Bot oder ein Botnet ist über verschiedene Wege möglich:

  • Über hart kodierte, also in den Quelltext eingegebene, Anmeldeinformationen wie Benutzername und Passwort
  • Über öffentliche Exploits sowie Zero-Day-Exploits in IoT-Geräten durch remote Code-Ausführung, Umgehung der Authentifizierung, Privilege Escalation, u.a. Hier werden Schwachstellen, die bei der Entwicklung der Firmware entstanden sind, ausgenutzt, wobei dies bei einem sogenannten Zero-Day-Exploit geschieht, noch bevor ein Patch / Fix verfügbar ist.
  • Über Fehlkonfigurationen

Was wollen Bot-Herder eigentlich erreichen?

  • Ein Distributed Denial of Service (DDoS), die absichtlich herbeigeführte Überlastung des Netzwerks. Da beim DDoS-Angriff die Anfragen von einer Vielzahl von Quellen ausgehen, ist es nur schwer möglich, den Angreifer zu blockieren, ohne die Kommunikation mit dem Netzwerk komplett einzustellen.
  • Ein Permanent Denial of Service (PDoS), auch „Phlashing“ genannt: Es richtet so starke Schäden am System an, dass die Hardware ersetzt werden muss. Dabei handelt es sich um einen reinen Hardware-Zielangriff, der viel schneller durchgeführt werden kann und nur wenige Ressourcen benötigt.
  • Den Missbrauch des IoT-Geräts, um es in beispielsweise in einen Proxy-Server zu verwandeln, es zum Cryptomining oder zum Versand von Spam-Mails zu verwenden
  • Datendiebstahl
  • Netzwerk-Monitoring
  • Den Schutz der übernommenen IoT-Geräte durch den Herder selbst, um weitere Infektionen durch andere „KollegInnen“ zu verhindern – zumindest konnten White-Hat-Hacker in vereinzelten Fällen Malware identifizieren, die zu diesem Zweck eingeschleust wurde.

Die Evolution des IoT-Ökosystems

Um das Jahr 2000 begann das Internet der Dinge Form anzunehmen. Zunächst fand es vor allem in der Wirtschaft Anwendung, etwa für Tracking & Tracing von mit RFID-Tags ausgestatteten Waren. Mittlerweile ist es auch in unserem privaten Alltag angekommen: Das IoT hat sich von auf passiven Devices beruhenden Architekturen zu einem smarten, dynamisch wachsenden IoT-Ökosystem entwickelt. Allerdings ist es dadurch verwundbarer geworden und erfolgreiche Attacken haben wesentlich größere Auswirkungen.

Konnten Mitte der 2000er-Jahre IoT-Geräte nur direkt via Internetverbindung und somit nur isoliert attackiert werden, entwickelte sich mit der zunehmenden Vernetzung der Devices auch ein größeres Gefahrenpotenzial. Der Einsatz von Universal Plug and Play (UPnP) vereinfacht die Verbindung und Steuerung herstellerübergreifend netzwerkfähiger Geräte, eröffnet jedoch auch neue Einfallstore: So kann etwa die Firewall eines UPnP-fähigen Routers von einer auf den Computer gelangten Malware unwirksam gemacht werden.

Mit der leistungsfähigen Cloud-Technologie und der Möglichkeit, die IoT-Devices auch mit mobilen Endgeräten zu kontrollieren, hat sich die Menge der praktischen, den Alltag erleichternden Geräte drastisch erhöht. Größer ist nun allerdings auch der mögliche Impact einer Infektion durch Schadprogramme, die über die Verbindung mit der Cloud ins private IoT-Netzwerk gelangen, etwa mittels gepushter Softwareupdates. Über eine einzige Schwachstelle in der Cloud kann so eine Unzahl von Devices attackiert werden, wie etwa beim Hijacking von mehr als 50.000 Baby-Cams im Jahr 2018 geschehen.

IoT Inspector für sichere Firmware

Besonders sorgfältig müssten daher in dieser boomenden Branche die Hersteller von IoT-Geräten vorgehen. Der chinesische Erstausrüster Xiongmai beliefert weltweit mehr als 100 Anbieter von Überwachungskameras, digitalen Videorekordern und Netzwerk-Videorekordern mit mehr als neun Millionen seiner IoT-Geräte. Im Jahr 2018 überprüften MitarbeiterInnen des SEC Consult Vulnerability Labs Xiongmai-Geräte und konnten mithilfe der Firmware-Sicherheitsanalyse-Plattform IoT Inspector eine Sicherheitslücke entdecken: Das unsichere Cloud-Feature „XMEye P2P cloud“  ist standardmäßig aktiv und eröffnet so Angreifern millionenfach Tür und Tor.

Dieses Beispiel zeigt auf, wie wichtig die Weiterentwicklung und die konsequente Anwendung von IoT-Sicherheitsstandards ist und dass deren Einhaltung von den IoT-Geräte-Herstellern eingefordert werden muss. Mit dem Compliance Checker, einem Feature des „IoT Inspector“, können Provider von IoT-Geräten auf Knopfdruck überprüfen, ob geforderte Normen von Herstellern verletzt werden.

Steht die nächste Generation von IoT-Botnets vor der Tür?

Der technologische Wettlauf zwischen den „Räubern“ Botnets und den „Gendarmen“ Hersteller oder auch IT-Security-Unternehmen hat sich durch die immer stärkere Digitalisierung intensiviert: Millionen von Geräten sind über nur eine anfällige IoT-Cloud zugänglich, Command-und-Control-Kommunikation findet versteckt in regulären Cloud-Kommunikationsprotokollen statt, damit ergibt sich für Bot-Herder ein bequemer Weg zur Umgehung der NAC (Network Access Control) – und letzten Endes erhalten sie damit Einsicht in Millionen von privaten Netzwerken.

Es ist jedoch kein schicksalhaftes, unabwendbares Ereignis, in ein Botnet eingegliedert zu werden. Auch gewitzte Cyberkriminelle können nicht zaubern, sondern bedienen sich lediglich der geringen IT-Kenntnisse und Sorglosigkeit vieler Anwender sowie der Sparsamkeit so mancher Hersteller, was die Implementierung von IoT-Sicherheit betrifft. Sich vor der Infektion durch einen Bot zu schützen, ist keine Hexerei, es sollten die gleichen Maßnahmen gesetzt werden, die auch dem Schutz vor anderen IT-Gefahren dienen.

Checkliste: Sind Ihre IoT-Geräte sicher?

1) Kennen Sie den aktuellen Sicherheitsstatus Ihrer IoT-Geräte?
Inventarisieren und analysieren Sie die Firmware Ihrer vorhandenen IoT-Geräte.

2) Bewerten Sie die Sicherheit von IoT-Geräten, bevor Sie sie zu Ihrem Netzwerk hinzufügen?
Analysieren Sie die Firmware Ihrer IoT-Geräte während des Beschaffungsprozesses.

3) Wie schützen Sie sich vor neu auftretenden IoT-Bedrohungen?
Überwachen Sie die Firmware Ihrer IoT-Geräte auf Schwachstellen.

4) Wie skaliert Ihr Prozess mit der exponentiell wachsenden Zahl von IoT-Geräten in Ihrem Netzwerk?
Die Kalibrierbarkeit und Automatisierung der Firmware-Sicherheitsanalyse von IoT-Geräten ist entscheidend.

Mehr darüber, wie Sie Ihr Netzwerk vor Angriffen per IoT-Geräten schützen können, erfahren Sie in einem persönlichen Gespräch.


Volle Kontrolle über die Einhaltung von IoT-Sicherheitsstandards

PRESSEMITTEILUNG

Volle Kontrolle über die Einhaltung von IoT-Sicherheitsstandards

[Liste der Sicherheitsstandards aktualisiert: Juli 2020]

Neue Funktionalität deckt Non-Konformitäten mit ENISA-, ETSI- und OWASP-Richtlinien automatisiert auf

Berlin / Wien – 2. März 2020 – Mit dem neuen Compliance Checker wurde der
IoT Inspector jüngst um ein wertvolles Feature erweitert, das es den Nutzern der Analyseplattform ab sofort ermöglicht, IoT-Firmware auf die Erfüllung internationaler Sicherheitsstandards hin zu untersuchen. Auf diese Weise können Provider ihre Produkte in kürzester Zeit auf Herstellerkonformität überprüfen und Unternehmen ohne großen Aufwand feststellen, ob die von ihnen eingesetzten IoT-Geräte gegen Compliance-Vorschriften ihrer Branche verstoßen. Erste Einblicke in das neue Tool gewähren die IoT Inspector-Experten auf der NetSec 2020, dem Partner-Event von Exclusive Networks, am 3. März in Wien.

Sicherheit ist nach wie vor die große Schwachstelle im Internet der Dinge und Sicherheitslücken in IoT-Geräten eher die Norm als die Ausnahme. Angesichts der rund 27 Milliarden vernetzten Geräte, die bereits heute weltweit im Einsatz sind, ergibt sich eine Cyberangriffsfläche von unvorstellbarer Größe. Organisationen und Behörden, darunter das Europäische Institut für Telekommunikationsnormen (ETSI), die Agentur der Europäischen Union für Cybersicherheit (ENISA) und das Open Web Application Security Project (OWASP), haben es sich zur Aufgabe gemacht, dem gegenzusteuern, indem sie IoT-Sicherheitsrichtlinien – etwa für kritische Infrastrukturen – veröffentlichen. Der Compliance Checker unterstützt Unternehmen, Infrastrukturanbieter, Hersteller und Berater bei der Umsetzung dieser Richtlinien und überprüft automatisiert Abweichungen von den folgenden IoT-Sicherheitsstandards:

  • BITAG – Broad Internet Technical Advisory Group
  • DIN – Deutsches Institut für Normung
  • ENISA Baseline Security Recommendations for IoT
  • ETSI TS 103 645
  • GOV.UK – Government of the United Kingdom: Department for Digital, Culture, Media and Sport
  • LEGINFO CA GOV – State of California Legislative Information
  • OWASP TOP 10 IoT 2018 

„Gesetzgeber setzen Hersteller von IoT-Geräten zunehmend unter Druck, die wichtigsten IoT-Sicherheitsstandards einzuhalten. Und das ist auch gut so, denn nur so können wir endlich die Sicherheit flächendeckend gewährleisten, die im Internet der Dinge seit Jahren überfällig ist“, so Rainer M. Richter, Director Channels & Alliances bei SEC Technologies. „Mit dem Compliance Checker haben wir nun eine Möglichkeit geschaffen, Firmware auf Konformität bzw. Non-Konformität mit den essenziellsten Sicherheitsstandards zu überprüfen – und zwar automatisiert und ohne großen Aufwand. Hiervon profitieren alle Beteiligten – Hersteller, Service-Provider und End-User – auf ihre Weise.“

Mit dem IoT Inspector hat der führende europäische Entwickler von Cybersicherheitslösungen SEC Technologies eine Analyseplattform entwickelt, die es ermöglicht, Sicherheitsanalysen von IoT-Firmware zu automatisieren und eine skalierbare Grundlage zu schaffen. Die Plattform bietet eine einzigartige Transparenz darüber, was sich in einem Firmware-Image befindet und identifiziert kritische Schwachstellen wie programmierte Passwörter im Firmware-Dateisystem, veraltete Komponenten von Drittanbietern, Lücken in der Systemkonfiguration oder SSH Host-Keys schnell und umfassend, wobei kein Quellcode erforderlich ist. Dabei deckt der IoT Inspector eine breite Palette von IoT- Geräten ab – darunter IP-Kameras, Drucker, Router etc.

weitere Infos

Wie findet man Sicherheitslücken im Internet der Dinge?

Mehrere schwerwiegende Angriffe auf IoT-Geräte in den letzten Monaten haben deutlich gemacht, dass das Internet der Dinge nicht sicher ist. Aber wie findet und behebt man Fehler in IoT-Geräten? In einem Interview gibt Rainer Richter, Director Channels bei der SEC Technologies GmbH, einige Antworten aus seiner Erfahrung mit IoT Inspector.

Richterrainer Iotinspector SmallDie Anzahl der IoT-Geräte nimmt von Tag zu Tag zu. Laut einer Gartner-Erhebung werden bis 2021 voraussichtlich 25 Milliarden IoT-Geräte mit dem Internet der Dinge verbunden sein. Mehrere prominente Beispiele für IoT-Angriffe haben bei den Verbrauchern zu wachsenden Bedenken hinsichtlich (fehlender) Sicherheitsmaßnahmen für IoT-Geräte geführt. Die Folgen solcher Angriffe können schwerwiegend sein.

Sogar die EU-Agentur für Cybersicherheit ENISA erklärt: "Das Internet der Dinge wird jeden Aspekt unseres Lebens beeinflussen und wir müssen vorbereitet sein."

In einem Interview mit Oliver Schonschek, Nachrichtenanalyst bei Insider Research, erklärt Rainer Richter, wie das IoT besser geschützt werden kann, und geht auf folgende Fragen ein:

  • Warum ist das IoT eine so große Sicherheitsherausforderung?
  • Wo hat das IoT die meisten Schwachstellen?
  • Was genau ist der IoT Inspector? Wie hilft der IoT-Inspektor bei der Sicherung des IoT?
  • Wie kam es zum IoT Inspector?
  • Wer verwendet den IoT Inspector?
  • Wie kann ein Anbieter von IoT-Lösungen seine Produkte mit dem IoT Inspector sicherer machen?
  • Wie hilft der IoT Inspector einem IoT-Benutzer?

Der neue Podcast ist auf Soundcloud verfügbar, viel Spaß beim Reinhören.

 


Iot Patient Header

Fehlkonfiguration in Telekom-Router leakt 30.000 Patientendaten

Fehlkonfiguration in Telekom-Router leakt 30.000 Patientendaten

Kommentar von Rainer Richter, Director Channels, SEC Technologies

 

„Das Internet der Dinge ist Fluch und Segen zugleich: Während vernetzte Geräte unseren Alltag optimieren und Unternehmen neue lukrative Geschäftsmöglichkeiten eröffnen, sind die Auswirkungen der zunehmenden Vernetzung auf unsere physische und digitale Sicherheit weniger positiv. Tatsache ist: Im gleichen Maße, indem die Zahl von IoT-Geräten steigt, steigt auch das Risiko für Missbrauch, Datendiebstahl oder gefährlichen Manipulationen.

Und dafür ist nicht einmal großes Hackergeschick vonnöten: Vielmehr reichen ein herkömmlicher Telekom-Router und eine einfache Fehlkonfiguration aus, um für einen schweren Datenschutzvorfall zu sorgen. So passiert jüngst in einer niedersächsischen Arztpraxis. Deren 30.000 sensible Patienten- und Mitarbeiterdaten waren über einen Windows-Server für jedermann im Internet frei zugänglich. Ein Supergau – nicht nur in Hinblick auf die EU-DSGVO.

Iot Patient Imgs

Schuld an dieser Misere war eine falsche Konfiguration der Ports. Untersuchungen zeigten später, dass der Business-Router bei der Freigabe des Dienstes „HTTPS“ nicht wie vorgesehen nur den Standardport 433, sondern gleich zehn Ports für Zugriffe aus dem Internet öffnet. Ein kleiner Fehler, der schwerwiegende Konsequenzen für den Nutzer nach sich zieht.

Der Vorfall ist ein ideales Abbild unserer momentanen IoT-Sicherheit: Wie eine Untersuchung der Firmware-Analyseplattform IoT Inspector gezeigt hat, weisen mehr als 90 Prozent der IoT-Firmwaredateien kritische Sicherheitslücken auf. Dazu zählen neben Fehlkonfigurationen vor allem fest programmierte Passwörter im Firmware-Dateisystem, versteckte Standard-User-Credentials oder SSH Host-Keys. Dies betrifft Netzwerkkameras genauso wie modernes Kinderspielzeug.

Für Hersteller von IoT-Geräten zählt heutzutage vor allem eine möglichst günstige Entwicklung und schnelle Time-to-Market, was zur Folge hat, dass eine wirksame Überprüfung auf potenzielle Sicherheitslücken regelmäßig vernachlässigt wird. Dies ist freilich riskant, denn eine nachträgliche Behebung einer solchen Lücke – zum Beispiel in zehntausenden, weltweit eingesetzten IoT-Komponenten – dürfte sie teurer zu stehen kommen als eine frühzeitige Analyse und eventuelle Schwachstellenbehebung vor dem Rollout. Sie sollten stets bedenken: Vorbeugung ist besser als Heilen.

Unternehmen und Serviceprovidern kann ich nur raten, selbst aktiv zu werden und nach Verwundbarkeiten in den eingesetzten Geräten zu suchen. Um später keine bösen Überraschungen zu erleben, sollten sie die Firmware von neuen IoT-Devices idealerweise schon vor deren Einsatz auf Sicherheitslücken untersuchen. Nur so können sie eingreifen und Schutzmaßnahmen rechtzeitig daran anpassen.“

Iot Patient Room

Header Iotinspector Kongress2019

IoT Fachkongress Wien 2019

Highlights vom 3. IoT Fachkongress in Wien 2019 

Auf dem diesjährigen IoT-Fachkongress, der von Austrian Standards organisiert wird, ging es um Chancen und Herausforderungen von Künstlicher Intelligenz, 5G und anderen Innovationen rund um das Internet der Dinge.

Iot Kongress Fbi Alert
Source: https://www.ic3.gov/media/2018/180802.aspx

 

Einige Fakten und Zahlen (Quelle: Europol EC3):

  • 69% der Unternehmen haben mehr IoT-Geräte als reguläre Endpunkte in ihrem Netzwerk
  • 67% aller von Januar bis Juni 2019 gemeldeten Vorfälle betrafen das Internet der Dinge oder nicht verwaltete IoT-Geräte

 

Offizieller Rückblick und Fotos der Veranstaltung: https://www.austrian-standards.at

Iotkongress Wien1
Iotkongress Wien2

Licht ins Dunkel bei Firmware-Schwachstellen

PRESSEMITTEILUNG

IoT Inspector auf der it-sa 2019: Licht ins Dunkel bei Firmware-Schwachstellen

Berlin / Nürnberg – 27. August 2019 – 90 Prozent der Firmware-Dateien in IoT-Geräten enthalten kritische Sicherheitslücken, wie eine aktuelle Untersuchung der Firmware-Analyseplattform IoT Inspector zeigt. Wie sich Hersteller und Nutzer von IoT-Geräten vor diesen Sicherheitsrisiken schützen und Firmware-Schwachstellen schnell und automatisch identifizieren können, erklären die IoT Inspector-Experten auf der diesjährigen it-sa in Nürnberg vom 8. bis 10. Oktober am Exclusive Networks-Partnerstand #316 in Halle 9.  

Das Testen von Firmware auf Schwachstellen ist zeitaufwändig und dennoch absolut notwendig, um den gängigen Sicherheitsstandards und gesetzlichen Anforderungen zu entsprechen. Mit dem IoT Inspector wurde deshalb eine Lösung entwickelt, die es ermöglicht, Sicherheitsanalysen von Firmware zu automatisieren und eine skalierbare Grundlage zu schaffen. Die Analyseplattform bietet eine einzigartige Transparenz darüber, was sich in einem Firmware-Image befindet und identifiziert Schwachstellen wie programmierte Passwörter im Firmware-Dateisystem, veraltete Komponenten von Drittanbietern, Lücken in der Systemkonfiguration oder SSH Host-Keys schnell und absolut verlässlich.

„Mit dem IoT Inspector greifen Unternehmen im Handumdrehen auf mehr als zehn Jahre Erfahrung im Bereich Firmware-Sicherheit sowie auf Erkenntnisse unzähliger durchgeführter Schwachstellenscans zurück. Die durch die Analysen gewonnenen Erkenntnisse über Schwachstellen helfen Unternehmen, auch bisher nicht bekannte Angriffsvektoren zu schließen“, so Rainer M. Richter, Director Channel beim IoT Inspector. „Wie effektiv und nutzerfreundlich der Einsatz der Plattform wirklich ist, davon können sich die it-sa-Besucher bei den Live-Präsentationen an unserem Stand selbst überzeugen und bei Interesse sogar eine Demo-Lizenz für das Testen einer IoT Firmware im eigenen Unternehmen mitnehmen.“

Gerne stehen Ihnen die Experten von IoT Inspector für individuelle Presseinterviews und Hintergrundgespräche auf der it-sa zur Verfügung. Vereinbaren Sie hierfür bereits vorab einen Termin unter IoT-inspector_PR@weissenbach.de oder 089/ 5506 7773.


IoT-Sicherheit in Luxemburg

PRESSEMITTEILUNG

IoT-Sicherheit in Luxemburg: Das Cybersecurity Competence Center unterstützt Unternehmen mit dem IoT Inspector

Luxemburg als Vorreiter in Sachen IoT-Gerätesicherheit

Berlin / Luxembourg – 17. Oktober 2019 – Das Luxemburgische Cybersecurity Competence Center (C3) und die Analyseplattform IoT Inspector gehen im Rahmen einer strategischen Partnerschaft erfolgreich gemeinsame Wege. So bietet das C3 Start-Ups und KMUs mit Sitz in Luxemburg mit dem IoT Inspector ab sofort eine kostengünstige Möglichkeit, Schwachstellen in der Firmware von IoT-Geräten automatisiert und effektiv zu identifizieren.

 

Dass Cybersicherheit unverzichtbar für die wirtschaftliche Entwicklung eines Landes ist, hat Luxemburg bereits vor mehr als 15 Jahren erkannt und seitdem, auch auf Anregung des Wirtschaftsministeriums, vielfältige Initiativen ins Leben gerufen. Im Jahr 2017 wurde schließlich das Cybersecurity Competence Center gegründet – das fehlende Element, um Unternehmen bei der Bewältigung von sich verschärfenden Cyberrisiken noch besser zu unterstützen und die luxemburgische Wirtschaft im Bereich der IT-Sicherheit weiter zu stärken. Der steigenden Gefahr durch Sicherheitslücken im Internet der Dinge und der wachsenden Bedeutung von IoT-Gerätesicherheit trägt das C3 nun mit der neuen Partnerschaft mit dem IoT Inspector Rechnung.

„Indem Luxemburg das Thema IoT-Security gezielt adressiert, nimmt das Land hier eine Vorreiterrolle in der EU ein. Denn die Sicherheit von IoT-Firmware ist nach wie vor der tote Winkel der Cybersecurity“, kommentiert Rainer M. Richter, Director Channel bei SEC Technologies, die neue Partnerschaft. „Die Zahl der vernetzten Geräte nimmt ständig zu und der Großteil von ihnen enthält teils kritische Schwachstellen, die Angreifern als Einfallstor in die Firmennetze dienen. Es freut uns, dass der IoT Inspector in Luxemburg ab sofort eine Schlüsselrolle bei der Identifizierung von Schwachstellen in IoT- Firmware spielt.“

„Uns hat die Leistungsfähigkeit von IoT Inspector sofort überzeugt. Durch diese Partnerschaft werden wir in der Lage sein, unser C3-Testingangebot für Startups und KMU in Luxemburg zu vervollständigen und die IoT-Marktentwicklung zu stärken“, bemerkt Pascal Steichen, CEO von SECURITYMADEIN.LU, dem das Cybersecurity Competence Center angehört.

Über Cybersecurity Competence Center (C3)
Luxemburg genießt im Bereich der Cybersicherheit weit über die Landesgrenzen hinaus hohe Anerkennung, nicht zuletzt dank vielfältiger Cybersecurity-Initiativen wie CASES, CIRCL und SECURITYMADEIN.LU, die Unternehmen effektiv dabei helfen, sich besser vor den wachsenden Cyberbedrohungen zu schützen.  Im Oktober 2017 hat SECURITYMADEIN.LU das Cybersecurity Competence Center (C3) ins Leben gerufen, um die Luxemburger Wirtschaft im Bereich der Cybersicherheit weiter zu stärken.


IoT Inspector auf der it-sa 2019: Vorsicht ist besser als Nachsicht

PRESSEMITTEILUNG

IoT Inspector auf der it-sa 2019: Vorsicht ist besser als Nachsicht

Um kostenintensive Nachbesserungen zu vermeiden, sollten Hersteller ihre IoT-Firmware schon vor deren Rollout auf Verwundbarkeiten hin überprüfen

Berlin / Nürnberg – 4. Oktober 2019 – Die Sicherheit von IoT-Firmware wird nach wie vor stark vernachlässigt, obwohl bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Mit der Analyseplattform IoT Inspector steht Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. Wie schnell, effektiv und gründlich diese Analyse erfolgt, erklären die IoT Inspector-Experten auf der diesjährigen it-sa (8. bis 10. Oktober) am Exclusive Networks-Partnerstand #316 in Halle 9. 

Erst vor wenigen Wochen konnte das Forscher-Team rund um den IoT Inspector die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen: Auf mehreren Zyxel WLAN Access Points der Serie NWA, NAP und WAC identifizierte der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort. Diese Anmeldedaten können von Unbefugten dazu verwendet werden, sich in den FTP-Server des Access Points einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.

„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, so Rainer M. Richter, Director Channel beim IoT Inspector. „Dafür ist letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem IoT Inspector nötig. Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwendiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout. Diese Rechnung sollten sich die Hersteller stets vor Augen halten.“

Bei Live-Präsentationen am Exclusive Networks-Partnerstand (Halle 9, #316) können sich die it-sa-Besucher selbst überzeugen, wie effektiv und nutzerfreundlich der Einsatz der Plattform ist, und bei Interesse sogar eine Demo-Lizenz für das Testen einer IoT-Firmware im eigenen Unternehmen mitnehmen.

 Gerne stehen Ihnen die Experten von IoT Inspector für individuelle Presseinterviews und Hintergrundgespräche auf der it-sa zur Verfügung. Vereinbaren Sie hierfür bereits vorab einen Termin unter IoT-inspector_PR@weissenbach.de oder 089/ 5506 7773.

About Cybersecurity Competence Center (C3)

Luxembourg is well recognized in the field of cyber security far beyond national borders, not least thanks to a variety of cyber security initiatives such as CASES, CIRCL and SECURITYMADEIN.LU, which effectively help companies to better protect themselves against the growing cyber threats. In October 2017, SECURITYMADEIN.LU created the Cybersecurity Competence Center (C3) to further strengthen the Luxembourg economy in the area of cyber security.


Header Iotinspector Cat

Türöffner IoT: 90 Prozent der Firmware-Dateien enthalten kritische Sicherheitslücken

Türöffner IoT: 90 Prozent der Firmware-Dateien enthalten kritische Sicherheitslücken

Das Internet der Dinge ist ein Türöffner – und zwar in zweifacher Hinsicht. Denn einerseits eröffnet das IoT Unternehmen neue lukrative Geschäftsfelder und ermöglicht eine vollkommen vernetzte Geschäftswelt. Andererseits sind IoT-Geräte auch ideale Einfallstore für Hacker und vergrößern die Cyberangriffsfläche von Unternehmen immens.

Tatsache ist, dass die Sicherheit von IoT-Geräten nach wie vor stark vernachlässigt wird und ihre Firmware in der Regel nur so vor Schwachstellen wimmelt – ganz zur Freude der Cyberangreifer. Wie eine aktuelle Untersuchung der Firmware-Analyseplattform IoT Inspector gezeigt hat, weisen mehr als 90 Prozent der Firmwaredateien kritische Sicherheitslücken auf. Dazu zählen fest programmierte Passwörter im Firmware-Dateisystem, Schwachstellen in der Systemkonfiguration oder SSH Host-Keys. Die am häufigsten identifizierten Schwachstelle – und damit Sicherheitslücke Nr.1 – sind laut dem Report jedoch versteckte Standard-User-Credentials.

 

20 Backdoors in Netzwerkkamera: Ein Glücksfall für Hacker

Exemplarisch ist dabei die Untersuchung einer Netzwerkkamera eines amerikanischen Anbieters von Überwachungssystemen. Hier konnte die statische und dynamische Firmware-Analyse des IoT Inspector insgesamt 26 verschiedene User-Accounts identifizieren, und das, obwohl das dazugehörige Handbuch insgesamt nur drei entsprechende Accounts aufgeführt hat. Über 20 Backdoors machen so eine Netzwerkkamera, die eigentlich zu Sicherheitszwecken eingesetzt werden soll, so zum trojanischen Pferd.

Dass Schwachstellen wie diese von Cyberkriminellen auch gezielt ausgenutzt werden, zeigen die jüngsten Schlagzeilen rund um die vermutlich russische Hacker-Gruppe APT28. So griffen die Kriminellen, denen auch die Einbrüche im Bundestag, dem Auswärtigen Amt sowie Manipulationen der letzten US-Wahlen zugeschrieben werden, über ein VoIP-Phone, einen Office-Drucker und ein Video-Abspielgerät Firmennetzwerke an, um sich dort festzusetzen und weiter auszubreiten. Nicht abgeänderte Default-Passwörter des Herstellers und vernachlässigte kritische Sicherheits-Updates spielten ihnen dabei in die Hände.

 

Mangelndes Risikobewusstsein

Werden klassische Endgeräte wie PCs, Server oder Notebooks heutzutage meist hinreichend überwacht und dank innovativer KI-basierter Endpoint Protection auch immer effektiver abgesichert, wird die Gefahr, die von IoT-Devices ausgeht, immer noch stark unterschätzt und entsprechende Sicherheitsüberprüfungen falsch priorisiert – mit fatalen Folgen. Drucker, Webcams, Router, WLAN Access-Points oder Klima-Kontrollen sind jedoch mindestens genauso gefährdet wie der klassische Computer und bieten Angreifern dieselben Möglichkeiten, um Netzwerke zu infiltrieren oder sensible Daten abzugreifen. Man denke hier auch an die neuesten Schlagzeilen rund um Ransomware-Angriffe auf Spiegelreflexkameras von Canon.

 

Sicherheitstests zeigen, wo Handlungsbedarf besteht

So lange es auch Markführern wie Cisco oder Microsoft nicht gelingt, Firmware frei von Schwachstellen zu liefern, sind Unternehmen und Serviceprovider aufgefordert, selbst aktiv nach Verwundbarkeiten in den eingesetzten Geräten zu suchen. Um später keine bösen Überraschungen zu erleben, muss die Firmware von neuen IoT-Devices idealerweise schon vor deren Einsatz auf Sicherheitslücken wie hartkodierte Hashes überprüft werden. Nur so können Schutz- und Abwehrmaßnahmen wie z.B. Firewall-Konfigurationen rechtzeitig daran angepasst werden.

Autor: Rainer Richter, Director Channel, SEC Technologies


IoT Inspector: Ausbau der Markenkommunikation in Deutschland

PRESSEMITTEILUNG

IoT Inspector: Ausbau der Markenkommunikation in Deutschland

Berlin – 12. August 2019 – Ab sofort verantwortet die Münchner Agentur Weissenbach PR die deutsche Markenkommunikation für den IoT Inspector, einer Firmware-Analyseplattform, die weltweit von Unternehmen, Infrastrukturanbietern, Herstellern, Beratungsunternehmen und Forschern eingesetzt wird. Das Testen von Firmware auf Schwachstellen ist zeitaufwändig und dennoch absolut notwendig, um den gängigen Sicherheitsstandards und gesetzlichen Anforderungen zu entsprechen. Mit dem IoT Inspector wurde deshalb eine Lösung entwickelt, die es ermöglicht, Sicherheitsanalysen von Firmware zu automatisieren und eine skalierbare Grundlage zu schaffen.

 

Erst vor wenigen Wochen konnte das Forscher-Team rund um den IoT Inspector die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen: Im Rahmen einer internen Analyse von Firmware-Images verschiedener Hersteller entdecken sie eine Schwachstelle in den Cisco Small Business 250 Series Switches, genauer gesagt einige Zertifikate und einen entsprechenden privaten Schlüssel eines Huawei-Mitarbeiters. Wie eine Überprüfung von Cisco später bestätigte, stammten die fraglichen Zertifikate aus OpenDaylight Github, einem Open Source-Paket, das in einigen Cisco-Produkten verwendet wird.

„So lange es auch Markführern nicht gelingt, Firmware frei von Schwachstellen zu liefern, sind Firmen und Serviceprovider aufgefordert, selbst aktiv nach Verwundbarkeiten der eingesetzten Geräte zu suchen. Mit dem IoT Inspector steht ihnen hier eine kostengünstige und effektive Lösung zur Verfügung“, so Rainer M. Richter, Director Channel beim

IoT Inspector. „Dies wollen wir wollen gerade in Deutschland noch stärker kommunizieren, weshalb wir uns mit Weissenbach PR einen starken Partner für den Ausbau unserer Produktkommunikation ins Boot geholt haben.“

„Um später keine bösen Überraschungen zu erleben, sollten Unternehmen die Firmware von neuen IoT-Devices idealerweise schon vor dem Kauf auf Verwundbarkeiten hin überprüfen und ihre Kaufentscheidung letztlich auch davon abhängig machen“, so Helmut Weissenbach, Geschäftsführer von Weissenbach PR. „Der IoT Inspector ist hierfür das ideale Instrument, da er schnell brauchbare Ergebnisse liefert, wie der aktuelle Cisco-Fall hat gezeigt hat.“

Über Weissenbach Public Relations

Weissenbach PR wurde 1990 gegründet und ist eine Full-Service-Agentur mit Schwerpunkten in Technologie, IT-Sicherheit, Telekommunikation und Dienstleistung. Der zentrale Medien-, IT- und Industriestandort München dient dabei als Ausgangspunkt für die Arbeit in der gesamten DACH-Region. Zu den Kunden gehören sowohl kreative Start-ups, Mittelständler als auch internationale Großunternehmen mit hohem Umsatzvolumen, Weissenbach PR ist zudem Gründungsmitglied des internationalen Agenturnetzwerkes Code Red Security PR, das speziell IT Sicherheit adressiert.


Key 1600617 960 Cropped

Huawei Schlüsselmaterial in Cisco Firmware

Huawei Schlüsselmaterial in Cisco Firmware

Dinge passieren, wenn sie passieren. Und wenn Entwickler in ihrem eigenen Produkt Libraries von Drittanbietern oder Open Source-Libraries verwenden, sind sie sich potenzieller Sicherheitsprobleme möglicherweise nicht bewusst. Das Testen von Firmware auf Schwachstellen ist zeitaufwändig und dennoch absolut notwendig, um den gängigen Sicherheitsstandards und gesetzlichen Anforderungen zu entsprechen. Aus genau diesem Grund haben wir IoT Inspector entwickelt: um Sicherheitsanalysen von Firmware zu automatisieren und eine skalierbare Grundlage zu ermöglichen.

Wir verbessern ständig die Analysefunktionen von IoT Inspector. Um neue Funktionen und Fähigkeiten zu testen, analysieren wir regelmäßig Firmware-Images verschiedener Hersteller. Eines der jüngsten Ergebnisse hat uns überrascht…

Wer ist Gary und warum sind seine Daten in Firmware von Cisco eingebettet?

Ausgangspunkt war ein Firmware-Image für einen Cisco SG250 Smart Switch aus dem vom Cisco-Downloadportal, das in den IoT Inspector hochgeladen wurde. Die Analyseergebnisse waren seltsam. Die Firmware enthielt einige Zertifikate und einen entsprechenden privaten Schlüssel. Der Speicherort der fraglichen Dateien (/root/.ssh/) ist normalerweise für SSH-Schlüssel vorgesehen, nicht für Zertifikate.

Die Zertifikate stammen von Gary der Organisation Futurewei Technologies, einer Tochtergesellschaft von Huawei Technologies in den USA. Wir haben die Ergebnisse aus der IoT-Inspektor Analyse zweimal überprüft. Sie waren eindeutig. Eine manuelle Analyse bestätigte die automatisierten Ergebnisse ebenfalls. Aber wie konnte ein Zertifikat eines Huawei-Mitarbeiters in ein Cisco-Firmware-Image gelangen?

IoT Inspector results for a certificate issued by Gary Wu
IoT Inspector fand für ein Zertifikat von Gary

IoT Inspector directory browser
Verzeichnisstruktur aus dem IoT Inspector

Angesichts der anhaltenden politischen Kontroversen um Huawei, wollten wir nicht weiter spekulieren und beschlossen, all unsere Informationen an Cisco weiterzugeben. Cisco PSIRT bestätigte den Erhalt umgehend und leitete eine interne Untersuchung ein. Über den Fortschritt der Ermittlungen wurden wir auf dem Laufenden gehalten und es dauerte nur wenige Tage, bis Cisco die detaillierten Ergebnisse einer gründlichen Analyse mit uns teilte.

Wie sich herausstellte, stammten die fraglichen Zertifikate und privaten Schlüssel aus OpenDaylight Github, einem Open Source-Paket, das in einigen Cisco-Produkten verwendet wird. Alle Switches der Cisco 250/350/350X/550X -Serie sind betroffen. Entwickler hatten die Zertifikate zum Testen der Cisco FindIT-Funktion verwendet. Die Zertifikate landeten unbeabsichtigt in den finalen Firmware-Versionen verschiedener Produkte.

Laut Cisco konnten keine Angriffsvektoren gefunden werden, weil die Zertifikate von den ausgelieferten Firmware-Versionen nicht genutzt werden. Cisco hat dennoch eine aktualisierte Firmware-Version ohne diesen Zertifikaten gemeinsam mit einer umfangreichen Sicherheitsempfehlung veröffentlicht. Darüber hinaus hat Cisco auch auf andere von IoT Inspector entdeckte Probleme reagiert. Darunter befinden sich leere Passwort-Hashes, nicht benötigte Softwarepakete und mehrere Schwachstellen in TPS-Komponenten (Third Party Software). Wir möchten Cisco für die gute Zusammenarbeit und die schnelle und professionelle Abwicklung des Prozesses danken.

Als Anbieter, der Software im eigenen Haus entwickelt, möchten Sie natürlich genau wissen, welche Komponenten Ihre Entwickler verwenden und welche Drittanbieter-Libraries in Ihrer Firmware landen, bevor Sie diese an Ihre Kunden versenden. Hier können automatisierte Sicherheitsanalyselösungen für Firmware wie IoT Inspector Ihnen viel Zeit und Aufwand sparen. IoT Inspector bietet Transparenz darüber, was sich in einem Firmware-Image befindet, sei es kryptografische Schlüssel, fest codierte Kennwörter, Informationslecks, veraltete Komponenten von Drittanbietern und verschiedene andere Probleme.

Gratis IoT Inspector Demo

Wir machen das Internet der Dinge sicherer – eine Firmware nach der anderen.


Header Consumerday Iotinspector

Tag der Verbraucherrechte 2019: Unterstützung für IoT-Endverbraucher

Der Welttag der Verbraucherrechte am 15. März 2019 steht heuer ganz im Zeichen des Internet der Dinge und widmet sich dem wichtigen Thema der „Vertrauenswürdigkeit smarter Produkte“.


„Die Entwicklung intelligenter Technologien bietet den Verbrauchern viele Möglichkeiten. Zugang zu neuen Diensten, reaktionsschnelleren Produkten, mehr Komfort und Auswahl. Es gibt jedoch einige wichtige Gründe zur Besorgnis: Unzureichende Sicherheit, Privatsphäre und sinnvolle Wahl darüber, wie wir sie verwenden, sowie Unklarheit darüber, wer verantwortlich ist, wenn etwas schief geht.“ (aus dem engl. Mission-Statement des World Consumer Day 2019)


In den letzten Jahren wurden Netzwerk-Geräte wie Heimrouter, IP-Kameras, Smart-TVs, digitale Videorekorder und andere intelligente Geräte zu einem immer beliebteren Ziel für Cyber-Kriminelle. Laut dem vierteljährlichen Bedrohungsbericht von Fortinet haben im vierten Quartal 2018 rund 50% der häufigsten Exploits auf IoT-Geräte abgezielt. Manche dieser Geräte wurden von Mirai oder VPNFail mit riesigen Bot-Netzen verbunden und von Cyber-Kriminellen für groß angelegte Denial-of-Service-Angriffe (DoS / DDoS) oder Crypto Mining missbraucht. Vertrauenswürdige intelligente Geräte wie Babyphone und Überwachungskameras verwandeln sich in Spionagegeräte und richten sich gegen ihre Besitzer.

Mehrere Faktoren tragen dazu bei, dass IoT-Geräte zu einem attraktiven Ziel für Cyberkriminelle werden. Das typische IoT-Gerät ist nämlich …

  • Immer erreichbar
    IoT-Geräte sind immer online und eingeschaltet, um Sprachbefehle zu empfangen, Temperatur- oder Luftfeuchtigkeitsdaten zu übertragen, Zutritt zu beschränkten Räumlichkeiten zu gewähren oder das neueste Fußballspiel zwischen Barcelona und Madrid aufzunehmen.
  • Bereit für große Datenmengen
    IoT-Geräte ohne Tastatur und ohne Bildschirm werden häufig nicht als Computer wahrgenommen, obwohl sie sehr leistungsfähig sind. Die meisten intelligenten Geräte werden von einem Linux-Betriebssystem angetrieben. Sie benötigen viel Rechenleistung, Speicherplatz und Bandbreite, die für die Verarbeitung unzähliger Fotos und Videos erforderlich sind, oder sogar Streaming in 4K-Auflösung und das Rendern von 3D-Grafiken im laufenden Betrieb.
  • Verwahrlost
    Das IoT-Ökosystem ist heterogen. Die Protokolle und Verwaltungsschnittstellen variieren zwischen den Anbietern und sogar zwischen den verschiedenen Produktgenerationen desselben Anbieters. IoT-Geräte werden aber kaum aktualisiert, wodurch sie für bekanntwerdende Sicherheitslücken anfällig und leicht ausnutzbar sind.
  • Nicht auf Sicherheit getestet
    Bei herkömmlichen IT-Systemen und -Anwendungen ist es üblich, sie auf Sicherheitsprobleme zu testen. Im Bereich des Internet der Dinge ist diese Praxis noch nicht weit verbreitet. Die Kosten für Sicherheitsbewertungen in Kombination mit dem Mangel an erfahrenen Experten für Cyber-Sicherheit, die solche Bewertungen durchführen können, stehen in einem problematischen Verhältnis zu den Kosten der Geräte selbst. Hier kann IoT Inspector die größte Transparenz schaffen. Die Hersteller sollten verpflichtet sein, nicht nur ein sicheres Produkt bereitzustellen, sondern auch regelmäßige Firmware-Updates bereitzustellen, um die Sicherheit der Geräte in der Zukunft zu gewährleisten.

Kaufen, anstecken & wegwerfen

Heutzutage ist es viel einfacher geworden, ein intelligentes Gerät zu Ihrem Heimnetzwerk hinzuzufügen, als eine Waschmaschine zu installieren oder IKEA-Möbel zusammenzubauen. Für das Einrichten eines neuen IoT-Geräts ist praktisch kein technischer Hintergrund erforderlich. Diese Fortschritte bei der Benutzerfreundlichkeit gehen oft auf Kosten der Sicherheit. Sicherheitsstandards, die in Desktop- oder mobilen Umgebungen seit langem etabliert sind, werden unter dem Deckmantel der Benutzerfreundlichkeit beiseitegelassen.

Die Branche rund um das Internet der Dinge ist extrem schnelllebig. Die Zeit von der Entwicklung bis zum Markteintritt hat höchste Priorität. Alle paar Monate werden neue Produktgenerationen mit neuen Funktionen veröffentlicht, während der Support für vorhandene Produkte willkürlich eingestellt wird. Dies führt zu immer mehr End-of-Life- oder End-of-Support-Geräten, die vom Hersteller vernachlässigt und aufgrund ihrer langen Lebensdauer aber immer mehr Sicherheitsbedrohungen ausgesetzt sind.

IoT devices in a throwaway society.

IoT-Geräte haben sich in einer Wegwerfgesellschaft zu einem neuen Rohstoff entwickelt. Mit mehr oder weniger gleichen Merkmalen bleibt vielen Anbietern nur noch der Preis, um die hart umkämpften Kunden zu gewinnen. Dies führt zu einem hohen Kostendruck, bei dem die verschiedenen Komponenten des Endgeräts nicht mehr selbst hergestellt werden. Stattdessen entsteht ein komplexes Supply-Chain-Ökosystem, das aus Einzelhändlern, Importeuren, sogenannten White-Label-Herstellern, Original Equipment Manufacturer (OEM) und Original Design Manufacturers (ODM) besteht. Hardware- und Softwarekomponenten aus verschiedenen Quellen werden zugekauft, kopiert und zusammengesteckt, in eine neue, glänzende Kiste gelegt und an den Kunden versandt.

Die Kombination von Zeit- und Kostendruck ist nicht gerade der beste Nährboden für Qualität. Qualitätsprobleme bei funktionalen Anforderungen werden von verärgerten Kunden meist hart bestraft. Leider bleiben nicht-funktionale Qualitätsprobleme wie Sicherheitslücken oft unbemerkt, bis es zu spät ist – ein perfekter Bereich, um Kosten zu sparen. Fehlende Wertschätzung und Auseinandersetzung mit dem Thema Sicherheit tragen zu dieser Tendenz bei.

Aber wir leben in einer Zeit des Wandels. Sicherheit und Datenschutz werden für Verbraucher und Organisationen immer wichtiger. Infolgedessen achten die Aufsichtsbehörden zunehmend auf sich – die Federal Trade Commission hat ASUS gezwungen, ein umfassendes Sicherheitsprogramm zur Bekämpfung von kritischen Sicherheitslücken in Heimroutern und Cloud-Diensten einzurichten und aufrechtzuerhalten. Kalifornien verbietet angeschlossene Geräte mit Standardpasswörtern ab 2020, und das deutsche BSI fordert von Anbietern, „Sicherheit durch Design“-Prinzipien umzusetzen und die Support-Zyklen ihrer Produkte offen zu legen. Anbieter wie Huawei, die im Verdacht stehen, staatlich geförderte Spionage zu unterstützen, indem sie Hintertüren in ihren Produkten verstecken, werden von vielen Organisationen und Regierungen wie Neuseeland oder den USA verboten.

Was können Sie tun?

Es wäre das Einfachste, sich zurückzulehnen und mit dem Finger auf alle anderen zu zeigen. Auf den bösen Verkäufer, weil er keine „Secure by Design“ -Geräte geliefert hat; Auf den Einzelhändler, weil er billige Geräte mit umstrittenen Sicherheitsstandards importiert; Auf die Regulierungsbehörde, weil all dies geschehen kann; Und nicht zuletzt könnte man einfach all den Konsumenten einen Vorwurf machen, die unsichere IoT-Geräte kaufen und sie einfach mit ihrem Netzwerk verbinden, ohne darüber nachzudenken, dass sie Cyber-Kriminelle damit Beihilfe leisten.

Eine der größten Herausforderungen bleibt sicherlich die Überprüfung aller Sicherheitsversprechen der Hersteller und der Behauptung, dass sie den neu festgelegten regulatorischen Anforderungen entsprechen. Hohen Kosten und das mangelnde Fachwissen, das zur Durchführung gründlicher Sicherheitsbewertungen von Tausenden von neuen IoT-Geräten, die den Markt jeden Monat überfluten, benötigt wird, machen die Sache nicht leichter. Die einzige Möglichkeit, den Ansprüchen zu genügen und eine objektive Perspektive hinzuzufügen besteht also darin, eine technische Sicherheitsbewertung der Firmware von IoT-Geräten zu automatisieren.

IoT Inspector hat sich genau das zur Mission gemacht: Wir bieten eine kostengünstige und effiziente Möglichkeit, die Sicherheitsvorkehrungen von Anbietern in Frage zu stellen und Organisationen und Einzelpersonen bei der Durchsetzung ihrer Sicherheitsanforderungen und Verbraucherrechte zu unterstützen. Wir sind stolz darauf, dass unsere Technologie bereits dazu beigetragen hat, Hunderte kritische Sicherheitslücken in den Produkten verschiedener Anbieter aufzudecken, und es werden täglich mehr.

Iot Inspector Screenshot Min

Anlässlich des Welttags der Verbraucherrechte 2019 bieten wir jedem, der die Sicherheit und Widerstandsfähigkeit des Internets der Dinge verbessern möchte, kostenlose Firmware-Analysen mit der IoT Inspector Plattform an. Werden Sie aktiv und sagen Sie uns, welche Probleme in IoT-Firmware Sie mithilfe von IoT Inspector aufdecken konnten.

zur IoT Inspector Demo