[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 23.05.2023] Forscher des japanischen Security-Anbieters Trend Micro haben nach eigenen Angaben auf der Hacking-Konferenz „Black Hat Asia“ bekanntgegeben, dass weltweit Millionen von „Android“-Smartphones mit bösartiger Firmware infiziert sind – „und das noch bevor die Geräte überhaupt die Produktion verlassen“. Die Hacker-Gruppierung „Lemon Group“ konnte demnach eine Malware namens „Guerilla“ nach eigenen Aussagen in 8,9 Millionen Geräte einschleusen.

Fernzugriffe auf Android-Smartphones zu vermieten

Die Sicherheitsforscher warnen daher davor, dass Cyber-Kriminelle via Proxy-Plugin den Fernzugriff auf „Android“-Smartphones vermieten und sich pro Minute dafür bezahlen lassen könnten. Zugriff gebe es auf Tastatureingaben von Passwörtern, den geographischen Standort, die IP-Adresse und weitere vertrauliche Daten.

„Die Werbung für dieses Geschäftsmodell findet auf ,facebook’, ,YouTube’ sowie Blogs statt und Verkaufsangebote gibt es im Darknet.“ Auch eine Nutzung als „Exit Node“, einem Server, der dem „Tor“-Nutzer den Zugang zum Internet zur Verfügung stelle, sei möglich.

Wachsende Gefahr für Android-Privatanwender sowie Unternehmen

Diese Entwicklung stelle nun eine wachsende Gefahr für Privatanwender und Unternehmen weltweit dar:

• Zwar kontrollierten die großen Smartphone-Anbieter „Google, Samsung & Co.“ ihre Lieferkette besser; in vielen Fällen werde jedoch die Produktion der Geräte an einen Erstausrüster (englisch: Original Equipment Manufacturer / OEM) ausgelagert, so dass ein Glied in der Fertigungskette, z.B. ein Firmware-Lieferant, die Produkte bei der Auslieferung mit bösartigem Code infiziere.
• Auch sogenannte Smart-TVs und „Android“-TV-Boxen könnten davon betroffen sein.
• Das Lieferkettensorgfaltspflichtengesetz (kurz: Lieferkettengesetz) – in Deutschland Anfang 2023 für Unternehmen ab 3.000 Mitarbeiter in Kraft getreten – kontrolliere faire Bedingungen und ökonomische Nachhaltigkeit in der Lieferkette: „Das ist aber nur EIN Baustein, auf den Unternehmen in ihrer ,Supply Chain’ achten sollten.“
• Es sei im Interesse eines jeden Unternehmens, einen genauen Blick auf die Lieferkette zu werfen, denn diese habe auch vielfache Auswirkungen auf die IT-Security und könne unkontrollierbare Eintrittstore schaffen.
• Ein weiteres Beispiel für einen Kontrollverlust in der Lieferkette stelle die Verteilung des kompromittierten VoIP-Clients von 3CX dar. „Auch dieser Vorfall ging auf einen vorausgehenden Lieferketten-Angriff zurück.“

Weitere Informationen zum Thema:

heise online, Dennis Schirrmacher, 16.05.2023
Malware ab Werk: Android-Trojaner vermietet Opfer-Smartphones minutenweise / Sicherheitsforscher warnen davor, dass Kriminelle den Fernzugriff auf Android-Smartphones vermieten – sie rechnen pro Minute ab

[datensicherheit.de, 26.07.2022] Ein aktueller Forrester-Analystenbericht unterstreicht laut einer Meldung von Absolute Software, dass in die Firmware eingebettete, selbstheilende Funktionen „am wichtigsten“ seien. Dieser Bericht konzentriert sich demnach auf vier Haupttrends im Endpunkt-Management – Selbstheilung, Sicherheitskonvergenz, Erfahrungsanalyse und Schutz der Privatsphäre. IT-Experten müssten diese Aspekte bei der Vereinfachung und Modernisierung ihrer Endpunkt-Strategien im Auge behalten.

In Firmware eingebettete Selbstheilung am wichtigsten

Der Analyst und Verfasser Andrew Hewitt des Berichts wird zitiert: „Selbstheilung muss auf mehreren Ebenen stattfinden: erstens Anwendung, zweitens Betriebssystem und drittens Firmware.“ Von diesen Ebenen werde sich die in die Firmware eingebettete Selbstheilung als die wichtigste erweisen, da sie sicherstelle, „dass die gesamte auf einem Endpunkt laufende Software, sogar Agenten, die Selbstheilung auf Betriebssystemebene durchführen, effektiv und ohne Unterbrechung laufen können“.

Ein weltweit tätiges Personal-Dienstleistungsunternehmen nutze bereits die „Application Persistence“-Funktion von Absolute Software zur Selbstheilung auf Firmware-Ebene, um sicherzustellen, „dass sein VPN für alle Remote-Mitarbeiter funktionsfähig bleibt“.

Firmware-Ebene entscheidend für Stärkung der Cyber-Resilienz

Mit seiner patentierten Persistence-Technologie, die sich in mehr als 500 Millionen Endgeräten befinde, biete Absolute eine unauslöschliche digitale Verbindung zu jedem Gerät, um ein Höchstmaß an Ausfallsicherheit zu gewährleisten. Der „Application Persistence“-Service von Absolute nutze diese ununterbrochene, bidirektionale Verbindung, um den Zustand und das Verhalten von geschäftskritischen Sicherheitsanwendungen zu überwachen, fehlende oder beschädigte Komponenten zu identifizieren und diese bei Bedarf automatisch zu reparieren oder neu zu installieren. Ein menschliches Eingreifen sei hierbei nicht erforderlich.

„Wir sind stolz darauf, dass unser auf ,Persistenz‘ basierender Ansatz zur Selbstheilung im ‚Future of Endpoint Management´-Report von Forrester gewürdigt wird“, so John Herrema, „EVP of Product and Strategy“ bei Absolute. Die Fähigkeit zur dynamischen und intelligenten Selbstheilung von Geräten, Anwendungen und Netzwerkverbindungen sei entscheidend für die Stärkung der Cyber-Resilienz gegen die zunehmende Bedrohung durch Ransomware und bösartige Angriffe.

Weitere Informationen zum Thema:

ABSOLUTE
The Future of Endpoint Management

[datensicherheit.de, 04.10.2019] Die Sicherheit der Firmware für Komponenten im Internet der Dinge und Dienste (IoT-Firmware) wird offensichtlich nach wie vor stark vernachlässigt, obwohl nach Expertenschätzungen bis zum Jahr 2021 etwa 25 Milliarden IoT-Geräte mit dem Internet verbunden sein werden. Die Analyseplattform „IoT Inspector“ soll nun Herstellern und Anwendern ein hilfreiches Werkzeug zur Verfügung stellen, um die Firmware von IoT-Geräten automatisiert auf potenzielle Schwachstellen und Sicherheitslücken zu untersuchen. „IoT Inspector“ soll auf der „it-sa“ vom 8. bis 10. Oktober 2019 am Partnerstand Nr. 316 bei Exclusive Networks in Halle 9 vorgestellt werden.

Automatisierte Erkennung von Schwachstellen in IoT-Geräten

Erst vor wenigen Wochen hat das Forscher-Team rund um den „IoT Inspector“ nach eigenen Angaben die Leistungsfähigkeit der Plattform bei der automatisierten Erkennung von Schwachstellen in IoT-Geräten wieder einmal bestätigen können: Auf mehreren WLAN-Access-Points habe der automatisierte Scan einen FTP-Server mit einem hartkodierten Benutzer inklusive Passwort identifizieren können.
Diese Anmeldedaten könnten von Unbefugten dazu verwendet werden, sich in den FTP-Server des „Access Points“ einzuloggen und die gesamte WLAN-Konfiguration, d.h. alle SSIDs und Passwörter, auszulesen. Auf diese Weise könnte sich ein Angreifer Zugriff auf geschützte Netzwerke verschaffen und dort weiteren Schaden anrichten.

Großteil gängiger Sicherheitslücken in IoT-Geräten vermeidbar

„Der Großteil der gängigen Sicherheitslücken in IoT-Geräten – seien es hartkodierte Kennwörter, nicht entfernte Debugging-Tools oder Schwachstellen bei der Authentifizierung – ist vermeidbar“, sagt Rainer M. Richter, „Director Channel“ für den „IoT Inspector“. Dafür sei letztlich nur eine kurze Überprüfung der Firmware mithilfe eines automatisierten Tools wie dem „IoT Inspector“ nötig.
„Für die Hersteller der Geräte rechnet sich diese Investition definitiv, denn die nachträgliche Behebung einer Sicherheitslücke in beispielsweise Zehntausenden, weltweit eingesetzten IoT-Komponenten ist in aller Regel weitaus teurer und aufwändiger, als eine Analyse der Firmware und eventuelle Schwachstellenbehebung vor deren Rollout.“ Diese Rechnung sollten sich die Hersteller stets vor Augen halten, meint Richter.

Weitere Informationen zum Thema:

SEC Consult
HARDCODED FTP CREDENTIALS IN ZYXEL NWA/NAP/WAC WIRELESS ACCESS POINT SERIES

datensicherheit.de, 19.08.2019
IoT: 90% der Firmware mit kritischer Sicherheitslücke

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

[datensicherheit.de, 19.08.2019] Das Internet der Dinge (im Englischen „Internet of Things“ / IoT) gilt als ein „Türöffner“ – „und zwar in zweifacher Hinsicht“, erläutert Rainer M. Richter, „Director Channel“ bei SEC Technologies: Denn einerseits eröffne das IoT Unternehmen neue lukrative Geschäftsfelder und ermögliche eine vollkommen vernetzte Geschäftswelt. Andererseits seien IoT-Geräte auch ideale Einfallstore für Hacker und vergrößerten die Cyber-Angriffsfläche von Unternehmen immens.

Sicherheit der IoT-Geräte noch immer stark vernachlässigt

Richter warnt: „Tatsache ist, dass die Sicherheit von IoT-Geräten nach wie vor stark vernachlässigt wird und ihre Firmware in der Regel nur so vor Schwachstellen wimmelt – ganz zur Freude der Cyber-Angreifer.“ So habe eine aktuelle Untersuchung der Firmware-Analyseplattform „IoT Inspector“ gezeigt, dass mehr als 90 Prozent der Firmware-Dateien kritische Sicherheitslücken aufwiesen.
Dazu zählten fest programmierte Passwörter im Firmware-Dateisystem, Schwachstellen in der Systemkonfiguration oder „SSH Host-Keys“. Die am häufigsten identifizierten Schwachstelle – und damit Sicherheitslücke Nr.1 – seien laut diesem Report jedoch versteckte Standard-User-Credentials.

Foto: SEC Technologies GmbH

Rainer M. Richter: Sicherheitslücke Nr.1 versteckte Standard-User-Credentials

Hacker-Eldorado: 20 Backdoors in Netzwerkkamera

Exemplarisch sei dabei die Untersuchung einer Netzwerkkamera eines US-amerikanischen Anbieters von Überwachungssystemen. Hierbei habe die statische und dynamische Firmware-Analyse des „IoT Inspector“ insgesamt 26 verschiedene User-Accounts identifizieren können – und das, obwohl das dazugehörige Handbuch insgesamt nur drei entsprechende Accounts aufgeführt habe.
„Über 20 Backdoors machen so eine Netzwerkkamera, die eigentlich zu Sicherheitszwecken eingesetzt werden soll, so zum Trojanischen Pferd“, so Richter.

Schwachstellen werden von Cyber-Kriminellen gezielt ausgenutzt

Dass Schwachstellen wie diese von Cyber-Kriminellen auch gezielt ausgenutzt würden, zeigten die jüngsten Schlagzeilen rund um die Hacker-Gruppe „APT28“. So hätten die Kriminellen, „denen auch die Einbrüche im Bundestag, dem Auswärtigen Amt sowie Manipulationen der letzten US-Wahlen zugeschrieben werden“, über ein VoIP-Phone, einen Office-Drucker und ein Video-Abspielgerät Firmennetzwerke angegriffen, „um sich dort festzusetzen und weiter auszubreiten“.
Nicht abgeänderte Default-Passwörter des Herstellers und vernachlässigte kritische Sicherheits-Updates hätten ihnen dabei in die Hände gespielt.

Von IoT-Devices ausgehende Gefahr noch immer stark unterschätzt

Richter führt aus: „Werden klassische Endgeräte wie PCs, Server oder Notebooks heutzutage meist hinreichend überwacht und dank innovativer KI-basierter ,Endpoint Protection‘ auch immer effektiver abgesichert, wird die Gefahr, die von IoT-Devices ausgeht, immer noch stark unterschätzt und entsprechende Sicherheitsüberprüfungen falsch priorisiert – mit fatalen Folgen.“
Drucker, Webcams, Router, „WLAN Access-Points“ oder Klima-Kontrollen seien jedoch mindestens genauso gefährdet wie der klassische Computer und böten Angreifern dieselben Möglichkeiten, um Netzwerke zu infiltrieren oder sensible Daten abzugreifen. „Man denke hier auch an die neuesten Schlagzeilen rund um Ransomware-Angriffe auf Spiegelreflexkameras von Canon“, erinnert Richter.

Selbst aktiv nach Verwundbarkeiten in eingesetzten Geräten suchen!

So lange es auch Markführern wie Cisco oder Microsoft nicht gelinge, Firmware frei von Schwachstellen zu liefern, „sind Unternehmen und Serviceprovider aufgefordert, selbst aktiv nach Verwundbarkeiten in den eingesetzten Geräten zu suchen“, betont Richter.
Um später keine bösen Überraschungen zu erleben, müsse die Firmware von neuen IoT-Devices idealerweise schon vor deren Einsatz auf Sicherheitslücken wie hartkodierte Hashes überprüft werden. Nur so könnten Schutz- und Abwehrmaßnahmen wie z.B. Firewall-Konfigurationen rechtzeitig daran angepasst werden.

Weitere Informationen zum Thema:

IoT Inspector
SICHERHEITSANALYSE / FÜR IOT-GERÄTE | KOMPLETT AUTOMATISIERT

datensicherheit.de, 12.08.2019
Ransomware: Auch digitale Spiegelreflex-Kameras anfällig / Kriminelle könnten Fotos verschlüsseln und Lösegeld erpressen

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

Von unserem Gastautor Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

[datensicherheit.de, 28.01.2019] Sei es der Kühlschrank, der meldet, wenn die Milch alle ist, oder der Thermostat, der Nutzungsstatistiken aufs Smartphone sendet – verschiedenste Produkte, die traditionell nicht über eine Netzwerkverbindung verfügten, werden mittlerweile damit ausgestattet. Abgesehen von Computer, Telefon, Tablet oder Router gilt grundsätzlich jedes Endanwender-Gerät, das sich mit einem Netzwerk verbinden kann, als IoT-Device. Zu den größten Problemen dieser Entwicklung zählen jedoch immer noch die vielen Sicherheitslücken der Geräte. Zwar bemühen sich Hersteller mittlerweile um Verbesserungen, zugleich zeigen sich neue Bedrohungen wie die Kompromittierung von Anmeldeinformationen durch Schwachstellen in Web- und Mobil-Applikationen bestimmter IoT-Devices.

Derlei gestohlene Anmeldedaten ermöglichen es Angreifern, sich beispielsweise den Videofeed einer IoT-Überwachungskamera anzeigen zu lassen, Alarme zu setzen, zu empfangen oder zu löschen, gespeicherte Videoclips aus dem Cloud-Storage zu entfernen sowie Kontoinformationen auszulesen. Darüber hinaus können Kriminelle die Anmeldedaten auch dazu nutzen, um ihr eigenes Firmware-Update auf das IoT-Gerät zu übertragen, seine Funktionalität zu ändern und mit dem kompromittierten Gerät, andere Geräte im selben Netzwerk anzugreifen.

Bild: Barracuda Networks

Klaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

Schwachstellen-Test: Die unsichere Security-Kamera

Um diese Art Bedrohung zu veranschaulichen, hat das Sicherheitsteam von Barracuda eine IoT-Überwachungskamera untersucht und eine Vielzahl von Schwachstellen in der Web-Applikation sowie dem Ökosystem der mobilen Anwendungen der Kamera identifiziert. Hierzu zählen:

• Die mobile App ignoriert die Gültigkeit des Serverzertifikats
• Cross-Site Scripting (XSS) in der Web-Applikation
• Datei-Übertragung in einen Cloud-Server
• Der Benutzer steuert den Link zum Aktualisieren des Geräts
• Geräte-Updates werden nicht signiert
• Das Gerät ignoriert die Gültigkeit des Serverzertifikats

Mithilfe dieser Schwachstellen konnte das Barracuda-Sicherheitsteam zwei Angriffsarten durchführen, um Anmeldeinformationen abzugreifen und das IoT-Gerät zu kompromittieren – und das ohne direkte Verbindung zum Gerät selbst.

Angriff 1: Diebstahl von Zugangsdaten aus der mobilen App

Gelingt es einem Angreifer, den Datenverkehr mit der mobilen App über ein kompromittiertes Netzwerk abzufangen, kann er das Benutzerpasswort problemlos abgreifen. Der Ablauf des Angriffs ist wie folgt:

1. Das Opfer verbindet sich mit seinem Mobiltelefon mit einem kompromittierten Netzwerk.
2. Die IoT-App wird versuchen, sich über https mit den Servern des Herstellers zu verbinden.
3. Das kompromittierte Netzwerk leitet die Verbindung zum Server des Angreifers weiter, der sein eigenes SSL-Zertifikat verwendet und die Kommunikation zum Server des Anbieters vorgaukelt.
4. So erhält der Server des Angreifers einen ungesalzenen MD5-Hash des Benutzerkennworts.
5. Zudem kann der Angreifer auch die Kommunikation zwischen dem Server des Anbieters und der App manipulieren.

Angriff 2: Zugangsdatendiebstahl von der Webanwendung

Dieser Angriff nutzt die Funktionen aus, die es Benutzern ermöglichen, den Gerätezugriff auf die IoT-Überwachungskamera mit anderen Benutzern zu teilen. Um ein Gerät gemeinsam nutzen zu können, muss der Empfänger über ein gültiges Konto beim IoT-Anbieter verfügen und der Absender den Benutzernamen des Empfängers kennen. Bei der getesteten IoT-Überwachungskamera entsprach der Benutzername der E-Mail-Adresse. Cyberkriminelle würden bei einem Angriff folgendermaßen vorgehen:

1. Der Angreifer bettet einen XSS-Exploit in einen Gerätenamen ein und teilt dieses Gerät dann mit dem Opfer.
2. Sobald sich das Opfer mit der Webanwendung in sein Konto einloggt, wird der XSS-Exploit ausgeführt und teilt das Zugriffstoken, das als Variable in der Webanwendung gespeichert ist, dem Angreifer mit.
3. Mit dem Zugriffstoken kann der Angreifer anschließend auf das Konto des Opfers und alle registrierten Geräte zugreifen.

Die Schwachstellenanalyse zeigt, wie Angreifer ein IoT-Gerät ohne direkte Verbindung zum Gerät selbst kompromittieren können. Das erleichtert Cyberkriminellen das Leben: Kein Scannen nach anfälligen Geräten mehr auf der IoT-Suchmaschine Shodan. Stattdessen zielt der Angriff auf die Infrastruktur des IoT-Herstellers.

Diese Art Bedrohung kann verschiedenste IoT-Devices betreffen, da sie die Art und Weise nutzt, wie das Gerät mit der Cloud kommuniziert. Mit der Verlagerung des Zugriffs sowie der Zugriffskontrollen für IoT-Geräte auf Cloud-Dienste sind die oben gezeigten neuen Schwachstellen und Angriffsvarianten hinzugekommen. So steht und fällt die Sicherheit des Internet of Things nicht nur mit den Sicherheitsvorkehrungen für die Geräte selbst, sondern mit der Entwicklung und genauen Schwachstellenanalyse von Prozessen.

Weitere Informationen zum Thema:

datensicherheit.de, 15.01.2019
IoT-Sicherheit ist das Thema für die Chefetage

datensicherheit.de, 11.12.2018
2019: IoT, OT und Collaboration sind Top-Themen

datensicherheit.de, 09.08.2018
Ransomware: Zahlungsbereitschaft von Unternehmen stark gestiegen

datensicherheit.de, 28.06.2018
Ransomware der Dinge: Das IoT-Gerät als Geisel

[datensicherheit.de, 13.09.2018] F-Secure hat nach eigenen Angaben eine Schwachstelle in modernen Computern entdeckt, die es Hackern ermöglichen kann, Verschlüsselungscodes und andere kritische Informationen zu stehlen. Forscher des Unternehmens warnen Hersteller und Nutzer von PCs, dass die gegenwärtigen Sicherheitsmaßnahmen nicht ausreichten, um Daten in verlorenen und gestohlenen Laptops zu schützen.

Unternehmen aktuell nicht vorbereitet oder aufmerksam gemacht

Hacker müssten physischen Zugriff auf den Computer haben, bevor sie dessen Schwachstelle ausnützen können. Der „F-Secure Principal Security Consultant“ Olle Segerdahl weist indes darauf hin, dass ein Dieb nur etwa fünf Minuten brauche, um den Angriff erfolgreich durchzuführen, wenn er sich das Gerät verschafft hat:
„Unternehmen sind normalerweise nicht darauf vorbereitet, sich vor Angreifern zu schützen, die sich den Computer eines Mitarbeiters physisch angeeignet haben. Wenn ein Sicherheitsproblem in Geräten größerer PC-Hersteller gefunden wird, wie die Schwachstelle, die wir aufgedeckt haben, muss davon ausgegangen werden, dass viele Firmen verwundbar sind. Unternehmen sind darauf aktuell nicht vorbereitet oder aufmerksam gemacht worden, dass es diese Verwundbarkeit gibt.“

Foto: F-Secure

Olle Segerdahl, F-Secure Principal Security Consultant

Hacker nutzen Angriffsmethode seit 2008

Die Schwachstelle erlaubt es Angreifern, die physischen Zugriff auf einen Computer haben, demnach eine sogenannte „Cold Boot“-Attacke auszuführen. Diese Angriffsmethode sei Hackern bereits seit 2008 bekannt. Bei „Cold Boot“-Attacken werde ein Computer neu gestartet, ohne im Vorfeld korrekt runtergefahren worden zu sein. Im Anschluss werde auf die kurzzeitig noch im RAM verfügbaren Daten zugegriffen.
Aktuelle Laptops überschrieben mittlerweile den Arbeitsspeicher (RAM), um genau diese Art der „Cold Boot“-Attacken für den Datendiebstahl zu verhindern. Allerdings hätten Segerdahl und sein Team eine Methode herausgefunden, wie sich der Überschreibprozess ausschalten lässt und die seit über zehn Jahren bekannte „Cold Boot“-Attacke wieder funktioniert.
„Gegenüber der klassischen ,Cold Boot‘-Attacke erfordert es einige Zusatzschritte, aber der Angriff ist effektiv gegen alle aktuellen Laptops, die wir getestet haben. Diese Bedrohungsart ist hauptsächlich in den Fällen relevant, in denen Geräte gestohlen oder sonst illegal angeeignet werden. Dann haben Angreifer viel Zeit, die Attacke auszuführen“, erläutert Segerdahl.

Aktuell kein Schutz gegen diesen Angriff verfügbar

Die Firmware-Einstellungen, die das Verhalten des Boot-Prozesses kontrollieren, seien nicht gegen Manipulation durch einen physischen Angreifer geschützt. Mit einem einfachen Hardware-Tool könne ein Angreifer den Speicherchip („Non-volatile Memory Chip“) überschreiben, der diese Firmware-Einstellungen enthält. Im Anschluss könne er den Speicher überschreiben und einen Boot-Vorgang von externen Geräten zulassen. Die eigentliche „Cold Boot“-Attacke könne mit einem speziellen Programm von einem USB-Stick aus durchgeführt werden.
„Diese Angriffsmethode funktioniert gegen sämtliche von uns getestete und handelsübliche Firmenlaptops. Deswegen können Unternehmen keineswegs sicher sein, ob ihre Daten noch sicher sind, wenn ein Computer vermisst wird. Auf 99 Prozent aller Firmenlaptops sind Zugangsdaten für Unternehmensnetzwerke. Dies gibt Angreifern eine beständige und zuverlässige Methode, um Unternehmensziele auszuspionieren oder zu schädigen“, erläutert Segerdahl.
Es gebe keinen einfachen Lösungsweg für dieses Problem. Es sei also ein Risiko, „mit dem Unternehmen aktuell selbst fertig werden müssen“. Segerdahl habe die Forschungsresultate seines Teams mit Intel, Microsoft und Apple geteilt, damit die PC-Branche die Sicherheit gegenwärtiger und künftiger Produkte verbessern kann.

Unternehmen sollten sich selbst auf solche Angriffe vorbereiten

Segerdahl geht nicht davon aus, dass sich kurzfristig eine Lösung finden lässt. Er rät Unternehmen dazu, sich selbst auf solche Angriffe vorzubereiten. Eine Methode könnte sein, Laptops so zu konfigurieren, dass sie sich automatisch ausschalten oder in den Schlafmodus gehen. Anwender müssten dann die Bitlocker-PIN jedes Mal eingeben, wenn „Windows“ hochfährt oder wiederhergestellt wird.
Angestellte, besonders Führungskräfte und Außendienstmitarbeiter sollten über „Cold Boot“-Attacken und ähnliche Bedrohungen mit besonderer Dringlichkeit informiert werden. Die IT-Abteilungen sollten einen Reaktionsplan griffbereit haben, um mit vermissten Laptops korrekt umzugehen:
„Eine schnelle Reaktion, die die Zugangsdaten sperrt, macht gestohlene Laptops weniger wertvoll für die Angreifer. Die zuständigen Personen für IT-Sicherheit und Notfallmanagement sollten sich auf ein solches Szenario vorbereiten und es trainieren. Die jeweiligen Mitarbeiter sollten dringend darauf hingewiesen werden, dass die IT-Abteilung sofort informiert werden muss, wenn ein Gerät verloren geht oder gestohlen wird“, rät Segerdahl.
Sich auf solche Fälle vorzubereiten, sei bessere Praxis als einfach anzunehmen, dass Geräte nicht physisch von Hackern manipuliert werden könnten, „weil das offensichtlich nicht der Fall ist“.

Weitere Informationen zum Thema:

F-Secure
Die erschreckende Wahrheit zu Cold Boot-Attacken