Aktuelles, Branche - geschrieben von dp am Mittwoch, März 17, 2021 20:16 - noch keine Kommentare
Nationale Sicherheit: USA-Behörden verzichten auf IoT-Produkte fünf chinesischer OEM-Hersteller
Verbannte IoT-Komponenten auch in deutschen Kritischen Infrastrukturen im Einsatz
[datensicherheit.de, 17.03.2021] Fünf bekannte chinesische Elektronikhersteller seien gemäß des US-amerikanischen „Secure Networks Act“ von der Federal Communications Commission (FCC) zur Bedrohung für die Nationale Sicherheit erklärt worden: „Neben Huawei und ZTE, die bereits seit 2019 als Sicherheitsrisiko gelten, betrifft es nun auch Hytera, Hikvision und Dahua.“ All diese Unternehmen stehen demnach ab sofort auf der Verbotsliste für den Einsatz in US-Behörden. Diese Produzenten arbeiteten auch als OEM-Hersteller (Erstausrüster / Original Equipment Manufacturer) für bekannte Unternehmen, deren Produkte in großer Stückzahl auch in Deutschland bzw. Europa im Einsatz seien.
IoT Inspector prüft IoT-Devices auf Sicherheitslücken in der Firmware
Rainer M. Richter, Geschäftsführer von IoT Inspector warnt eindringlich: „Die Lieferketten von IoT-Geräten sind komplex – das zeigt bereits das Beispiel von Huawei-Zertifikaten in Geräten von Cisco, die unser Team gefunden hat. Die jetzt betroffenen chinesischen Firmen zählen zu den größten OEM-Herstellern weltweit, ihre Technologie kommt ‚undercover‘ auch in Produkten namhafter Hersteller wie Abus oder Panasonic zum Einsatz.“
Das deutsche Unternehmen IoT Inspector prüft nach eigenen Angaben IoT-Devices auf Sicherheitslücken in der enthaltenen Firmware. Die Problematik reiche jedoch weit über die betroffenen fünf Unternehmen hinaus. Viele Überwachungskameras und Telekommunikationsgeräte enthielten Sicherheitslücken und kaum geschützte Zugänge, welche durch Angreifer oder Geheimdienste einfach ausgenutzt werden könnten. „Die Spanne reicht vom unerkannten Administrator-Zugang eines der OEM-Herstellers bis zu über ein IoT-Device leicht hackbaren WLAN-Zugang“, erläutert Richter. Dies betreffe auch außerhalb Chinas angesiedelte Hersteller.
Bewusstsein für Security im IoT längst noch nicht ausreichend ausgeprägt
Das Verbot der US-Behörden gehe derweil noch einen Schritt weiter und umfasse auch „subsidiaries and affiliates of these entities“ sowie „telecommunications or video surveillance services provided by such entities or using such equipment“. Subunternehmer, Sicherheitsdienstleister oder Firmen, die Produkte dieser OEM-Zulieferer und Partner mit eigenem Label versehen oder einsetzen, seien damit ebenso Teil des neuen US-Banns, der möglicherweise auch in Europa Schule machen werde.
„Bei unseren Untersuchungen haben wir häufig Überraschungen erlebt und verborgene Lieferketten aufgezeigt. Der einzige Weg zur Offenlegung der Supply-Chain und Identifikation des originalen Herstellers ist die Untersuchung der Firmware – zusätzlich zur Analyse auf Sicherheitslücken“, berichtet Richter. Im Regelfall arbeiteten sein Unternehmen und dessen Partner gemeinsam mit dem jeweiligen Hersteller an der Identifikation und Behebung der Lücken – ein generelles Bewusstsein für Security im Internet der Dinge (IoT) sei allerdings längst noch nicht ausreichend ausgeprägt, so Richters Erfahrung.
IoT sollte nicht als „Plug, Play & Forget“ betrachtet werden!
Es herrsche „immense Sorglosigkeit bei der Implementierung dieser Geräte“, die in Kritischer Infrastruktur und immer mehr Unternehmen sowie Haushalten eine stille Gefahr darstellten. „Es muss klar sein, dass jede dieser Einrichtungen in einem IT-Netzwerk eingebunden ist und entsprechend als Trojanisches Pferd missbraucht werden kann. IoT sollte nicht als ‚Plug, Play & Forget‘ betrachtet werden!“, fordert Richter auf.
Insofern könne das klare Verbot durch die US-Behörden als „Warnschuss auch für die hiesigen Unternehmen“ verstanden werden – denn es sei definitiv zu erwarten, dass Geräte wie Sicherheitskameras dieser Hersteller auch in deutschen Kritischen Infrastrukturen im Einsatz seien. Die Hersteller und sogenannten Inverkehrbringer seien daher dringend angehalten, die Firmware am besten schon vor der Installation auf Sicherheitslücken zu untersuchen und dann gezielt abzusichern. Aber auch die heimischen Behörden und Netzwerkbetreiber sollten mehr Bewusstsein für das mit IoT-Geräten verbundene Risiko entwickeln und die Infrastruktur und deren Komponenten entsprechend gegen diese Gefahren sichern.
Weitere Informationen zum Thema:
datensicherheit.de, 07.03.2021
Sicherheitslücken in IoT-Geräten bieten Hackern Vollzugriff
IoT Inspector
Huawei Schlüsselmaterial in Cisco Firmware
FCC Federal Communications Commission, 12.03.2021
FCC Releases List of Equipment & Services That Pose Security Threat
S&O Global Market Intelligence, 13.07.2020
FCC explores adding additional companies to US subsidy ban list
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren