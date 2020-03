Das Berliner Softwarehaus SEC Technologies hat seine Analyseplattform IoT Inspector um einen Compliance Checker erweitert. Die neue Funktionalität soll es Anwendern ermöglichen, IoT-Firmware auf die Erfüllung internationaler Sicherheitsstandards hin zu untersuchen. Ein Provider könne damit Produkte schnell auf Herstellerkonformität überprüfen, ein Unternehmen ohne großen Aufwand feststellen, ob die von eingesetzten IoT-Geräte den Compliance-Vorschriften seiner Branche entspricht.

Sicherheit ist, wie die Berliner betonen, nach wie vor „die große Schwachstelle im Internet der Dinge“ (Internet of Things, IoT), Sicherheitslücken in IoT-Geräten sind „eher die Norm als die Ausnahme“. Entsprechend groß sei die Angriffsfläche für Cyberkriminalität angesichts von rund 27 Milliarden vernetzter Geräte, die bereits heute weltweit im Einsatz sind.

Um diesen Risiken entgegenzutreten, haben diverse Organisationen und Behörden IoT-Sicherheitsrichtlinien veröffentlicht, nicht zuletzt für kritische Infrastrukturen (Kritis). Dazu zählen das Europäische Institut für Telekommunikationsnormen (ETSI) oder die Agentur der Europäischen Union für Cybersicherheit (ENISA). Das Open Web Application Security Project (OWASP) wiederum veröffentlicht regelmäßig eine Aufstellung der kritischsten Schwachstellen.

Der Compliance Checker dient dazu, Unternehmen, Infrastrukturanbieter, Hersteller und Berater bei der Umsetzung dieser Richtlinien zu unterstützen. Dazu überprüft das Tool laut SEC automatisiert Abweichungen von ETSI TS 103 645 und den ENISA Baseline Security Recommendations for IoT sowie die Schnittmenge mit den OWASP Top 10 IoT 2018. Weitere Prüfkriterien sollen folgen.

IoT Inspector dient dazu, Sicherheitsanalysen von IoT-Firmware auf skalierbarer Grundlage zu automatisieren. Die Plattform bietet laut Hersteller einen Überblick darüber, was sich in einem Firmware-Image befindet. Dabei identifiziere sie kritische Schwachstellen wie fest einprogrammierte Passwörter im Firmware-Dateisystem, veraltete Komponenten von Drittanbietern, Lücken in der Systemkonfiguration oder SSH Host-Keys, ohne dazu den Quellcode zu benötigen. Die Analyseplattform decke eine breite Palette von IoT-Geräten ab, darunter IP-Kameras, Drucker oder auch Router.

Weitere Informationen finden sich unter www.iot-inspector.com.