Risikomanagement in der Software-Lieferkette für IoT-Geräte: Ein Leitfaden zur Verbesserung der Cybersicherheit
München (ots)
In der heutigen vernetzten Welt, in der Internet der Dinge (IoT) und Operational Technology (OT) immer weiter zusammenwachsen, wird die Sicherheit von Software-Lieferketten zu einem drängenden Thema. Ein neuer Bericht von Forescout Technologies und Finite State mit dem Titel „Rough Around the Edges“ bietet eine tiefe Analyse der Sicherheitslage in dieser kritischen Infrastruktur.
Entdeckte Sicherheitsanfälligkeiten
Die Untersuchung zeigt, dass gängige Router-Firmware-Images erhebliche Schwachstellen aufweisen. Durchschnittlich finden sich 20 ausnutzbare N-Day-Schwachstellen im Kernel. Insgesamt analysierten die Experten Firmware-Images von Anbietern wie Acksys, Digi, MDEX, Teltonika und Unitronics. Diese Images, oft auf OpenWrt basierenden Betriebssystemen, enthalten im Schnitt 662 Komponenten mit 2.154 Sicherheitsfeststellungen.
Besonders alarmierend ist, dass 161 bekannte Schwachstellen pro Image identifiziert wurden, darunter 24 als kritisch eingestuft. Viele dieser Probleme sind auf das Alter der verwendeten Open-Source-Komponenten zurückzuführen, die im Schnitt 5,5 Jahre alt sind und sich somit weit hinter den aktuellsten Versionen befinden. Sicherheitsfeatures wie RELRO, Stack Canaries und NX fehlen häufig.
Herausforderungen für die Cybersicherheit
Deutschland nimmt mit über 40 Millionen exponierten Geräten in der DACH-Region eine Spitzenstellung ein. Zu den am häufigsten ausgenutzten Schwachstellen zählen Sicherheitslücken in Geräten von Citrix ADC, Cisco IOS und Huawei Home Gateway. Diese Situation wird von Experten wie Daniel dos Santos von Forescout als ernst eingeschätzt. Er weist auf das wachsende Risiko durch Botnets, Advanced Persistent Threats (APTs) und Hacktivisten hin.
Zudem wird von Larry Pesce, einem weiteren Experten von Finite State, die Dringlichkeit unterstrichen, die Risikominderung in der Software-Lieferkette zu priorisieren. „Neuere Firmware weist in der Regel weniger Schwachstellen auf und bietet besseren Binärschutz. However, selbst neueste Images zeigen oft Mängel in Bezug auf kritische Komponenten wie Kernel und OpenSSL,“ erläutert Pesce.
Empfehlungen für Unternehmen
Barry Mainz, CEO von Forescout, plädiert für robuste Cybersicherheitsmaßnahmen zum Schutz kritischer Infrastrukturen. Er empfiehlt die Erstellung eines umfassenden Anlageninventars, die Integration von Software Bills of Materials (SBOMs) und eine gezielte Risikoanalyse. Eine positive Entwicklung ist, dass Standard-Anmeldedaten häufig individuell generiert werden und bei der Konfiguration geändert werden müssen. Dennoch gibt es Herausforderungen, da Hersteller manchmal Schwachstellen patchen, was zu neuen Problemen führen kann.
Fazit: Notwendigkeit zur Handlungsorientierung
Die Ergebnisse des Berichts heben die Dringlichkeit hervor, Risiken in der Software-Lieferkette von OT/IoT-Geräten entschlossen anzugehen. Unternehmen sind gefordert, klare Maßnahmen zur Verbesserung der Cybersicherheit zu ergreifen. Angesichts der fortschreitenden Vernetzung von Systemen sind gezielte Strategien zur Risikominderung nicht nur sinnvoll, sondern auch notwendig, um die digitale Infrastruktur zu schützen.
Weitere Informationen sind im Bericht „Rough Around the Edges“ zu finden.
