Ist eine Stückliste erstellt, folgt der Abgleich mit Komponenten, die bekannte Sicherheitslücken enthalten. Eine Liste dieser Schwachstellen findet sich beispielsweise in der National Vulnerability Database oder in der Schwachstellenampel des BSI. Erfahrungsgemäß lässt sich so bereits im ersten Durchlauf eine Vielzahl an gefährdeten Komponenten identifizieren. Da sich die Schwachstellen hinsichtlich ihres Risikopotenzials stark voneinander unterschieden, ist es gängige Praxis zunächst Prioritäten zu vergeben und eine Handlungsreihenfolge für den Ernstfall festzusetzen. Zu den wirkungsvollsten Maßnahmen der Gefahrenbehebung zählen Updates auf die nächste Softwareversion, Patch-Prozesse sowie das Blockieren des Zugangs. In manchen Fällen kann es sogar nötig sein, die Komponente sowie alle Produktfeatures vollständig zu entfernen.

Updaten, Updaten, Updaten

Vor allem bei Programmierroutinen verwenden IoT-Entwickler OSS.

Vor allem bei Programmierroutinen verwenden IoT-Entwickler OSS. Flexera

Software- und Firmware-Updates sind entscheidend für Sicherheits- und Compliance-Prozesse. Vor wenigen Jahren reichte es noch völlig aus, Software alle paar Monate zu aktualisieren. Vernetzte Geräte innerhalb des IoTs erfordern allerdings noch häufigere Updates, die sich über manuelle und isoliert voneinander ablaufende Prozesse kaum noch realisieren lassen. Gefragt sind daher automatisierte Systeme, die sich dem Kundenbestand, der Anzahl an Software-Produkten und Versionen sowie der nötigen Update-Frequenz anpassen können.

Doch auch beim automatisierten Updaten ist Vorsicht geboten. Hacker und Cyberkriminelle sind dazu übergangen, entsprechende Systeme zur Verbreitung von Malware zu missbrauchen. Werden beispielsweise einprogrammierte Passwörter über mehrere Geräte oder Gerätefamilien geteilt, kann sich die Malware großflächig und blitzschnell verbreiten. Bleibt dieser Angriffsvektor versperrt, nutzen die Schadprogramme auch weit verbreitete Schwachstellen wie Open SSL oder Bash aus oder versuchen über eine gemeinsame kommerzielle Firmware digitale Videorekorder (DVR) oder Kameraplatinen zu infizieren.

Die richtige Strategie auf Anwendungsebene

Fast 90 Prozent der Angriffe auf Software zielen auf die Anwendungsebene selbst ab, darunter Software-Schwachstellen und fehlerhafte Codes. Um hier Software-Produkte zuverlässig zu schützen, empfiehlt es sich für IoT-Entwickler, das Management von Open-Source-Komponenten explizit in ihre allgemeine Sicherheitsstrategie miteinzubinden. Dazu zählt unter anderem:

  • Prüfungen auf Code-Ebene und Penetrationstests für intern entwickelten Code vor der Bereitstellung.
  • Einfordern von Audits auf Code-Ebene auf Seiten externer Entwicklungs- und Geschäftspartner.
  • Code von Dritten in den eigenen Software-Anwendungen auf Sicherheitsschwachstellen und Updates prüfen und nachverfolgen.
  • Intern entwickelte Anwendungen mit ausreichenden Prüfpunkten versehen, um gründliche Audit-Trails zu ermöglichen.

Neue Technologien machen es IoT-Entwicklern deutlich einfacher, die Übersicht über Open-Source- und kommerzielle Komponenten zu behalten und melden darüber hinaus neu entdeckte Schwachstellen in den genutzten Komponenten. Auf dieser Basis lassen sich Berechtigungs-Workflows implementieren, die sicherstellen, dass Produkte nicht nur bei der Auslieferung keine bereits bekannten Schwachstellen enthalten, sondern auch über ihren Produktlebenszyklus hinweg überwacht und bei Bedarf neu veröffentlichte Schwachstellen gepatcht werden können.

Seite 2 von 212