Laut der Studie „IoT-Sicherheitsreport 2022“ des Sicherheitsspezialisten ONEKEY sprechen sich 75 Prozent der 318 befragten Fach- und Führungskräfte aus der IT-Industrie für den genauen Nachweis aller Software-Komponenten, der sogenannten „Software Bill of Materials“ (SBOM) für alle Komponenten aus, inklusive aller enthaltenen Software eines Endpoints. In die herstellerseitige Absicherung von IoT-Devices haben sie nicht viel Vertrauen.
Wichtige smarte industrielle Steuerungen, intelligente Produktionsanlagen und Geräte wie Router, Netzwerkkameras, Drucker und viele andere bringen ihre Firmware mit Betriebssystem und Applikationen mit – ohne genauen Nachweis der enthaltenen Software-Komponenten. Dies bedeutet oft immense Cyberrisiken für Unternehmen, die diese Steuerungen und Geräte einsetzen.
In Unternehmen ist das Zutrauen in die Sicherheitsmaßnahmen rund um IoT entsprechend gering: Nur ein Viertel der 318 Befragten sieht vollständige Sicherheit durch die eigene IT-Abteilung gewährleistet, 49 Prozent sehen sie hingegen nur als „teilweise ausreichend“ an. Und bei 37 Prozent der für den IoT-Sicherheitsreport 2022 befragten IT-Fachkräfte gab es bereits sicherheitsrelevante Vorfälle mit Endpoints, die kein normaler PC-Client sind.
„Im Rahmen unserer Untersuchungen der letzten Jahre haben praktisch alle Geräte mit Anschluss an ein Netzwerk mal mehr, mal weniger versteckte Mängel in der Firmware und den Applikationen enthalten, daher ist eine genaue Inhaltsangabe der Software-Komponenten für die IT eines Unternehmens extrem wichtig, um das Sicherheitsniveau zu prüfen und einzuhalten“, sagt Jan Wendenburg, CEO von ONEKEY. Das Unternehmen hat eine vollautomatische Sicherheits- und Compliance-Analyse für die Software von Steuerungen, Produktionsanlagen und smarte Geräte entwickelt und stellt diese als integrierbare Plattform für Unternehmen und Hardwarehersteller zur Verfügung.
Ein weiteres Risiko: Industrielle Steuerung, Produktionsanlagen und andere smarte Infrastruktur-Endpoints sind häufig mehr als zehn Jahre im Firmeneinsatz. Update-Richtlinien in den Unternehmen gibt es selten, häufig sind die Zuständigkeiten unklar: Bei den 318 befragten Unternehmensvertretern sind jeweils unterschiedlichste Personen und Abteilungen für IoT-Security verantwortlich. Die Spanne reicht von CTO (16 Prozent) über CIO (21 Prozent) über Risk & Compliance Manager (22 Prozent) bis zum IT-Purchasing Manager (26 Prozent).
Bei 21 Prozent der Unternehmen übernehmen externe Berater den Einkauf von IoT-Geräten und Systemen. Die einfachste Sicherheitskontrolle – eine Analyse und das Testen der enthaltenen Firmware auf Sicherheitslücken – nehmen nur 23 Prozent vor.