Bye Bye, IoT Inspector – Hallo, IoT Inspector GmbH

IoT news

Ursprünglich wurde sie als Unterstützung für manuelles Pentesting von IoT-Geräten entwickelt: Die Firmware-Analyseplattform IoT Inspector. Mittlerweile ist IoT Inspector als eigene Unternehmung weltweit im Einsatz, um IoT-Schwachstellen und -Sicherheitsrisiken automatisch zu erkennen, bevor AngreiferInnen diese ausnutzen können.

Wort IoT auf bauen Hintergrund - SEC Consult

Die erfolgreiche Entwicklung aus dem Hause SEC Consult wurde im September 2020 in die Eigenständigkeit verabschiedet. Im Gespräch mit Florian Lukavsky, Geschäftsführer der neu gegründeten IoT Inspector GmbH, und Ulrich Fleck, Geschäftsführer SEC Consult, erläutern die beiden, weshalb es zu der Entscheidung gekommen ist und welche Ziele und Erwartungen sie damit verbinden.

Wie kam es zur Entwicklung des IoT Inspector, was war der Hintergrund dafür?

Ulrich Fleck: Bei SEC Consult haben wir bereits früh damit begonnen, nach jenen Sicherheitslücken zu suchen, die aufgrund der stetig wachsenden Anzahl an IoT-Devices und ihren Anwendungsmöglichkeiten immer problematischer wurden. Dafür haben wir ein eigenes Werkzeug entwickelt, um uns die Arbeit zu erleichtern. Und das haben wir mit der Zeit zu IoT Inspector erweitert – einem Tool, das wir erfolgreich in mehreren hundert Projekten verwendet haben und jetzt auch anderen Organisationen zur Analyse ihrer IoT-Geräte zur Verfügung stellen.

Weshalb wurde aus IoT Inspector ein eigenständiges Unternehmen?

Ulrich Fleck:Aktuelle Prognosen rechnen mit bis zu 75 Milliarden IoT-Geräten weltweit im Jahr 2025, das wären dann dreimal so viele, als derzeit in Verwendung sind.* Auf diesem äußerst dynamischen Markt ist der Bedarf an Analyse-Werkzeugen wie dem IoT Inspector groß, wir wollen daher mit diesem prognostizierten Wachstum mitgehen. Durch die Gründung eines eigenständigen Unternehmens hat IoT Inspector bessere Möglichkeiten, bestehende Kundenbindungen zu intensivieren und neue Partnerschaften zu initiieren. Es hat sich auch gezeigt, dass andere Cybersecurity-Unternehmen ebenfalls gerne IoT Inspector verwendet hätten. Nun kann die IoT Inspector GmbH die Plattform selbstständig auf dem Markt anbieten und auch auf diese Weise ihre Position weiter stärken. Als SEC Consult werden auch wir natürlich weiterhin IoT Inspector zur Analyse einsetzen.

IoT Inspector Logo - SEC Consult

Welches Team steht hinter IoT Inspector?

Florian Lukavsky: Wir sind derzeit ein kleines, motiviertes Team von rund zehn MitarbeiterInnen, die IoT Inspector laufend weiterentwickeln und um neue Features ausbauen. Ich freue mich, gemeinsam mit Rainer Richter in der Geschäftsführung unsere Strategie für eine erfolgreiche Zukunft der IoT Inspector GmbH umsetzen zu dürfen. Eine höhere Flexibilität in der Betreuung und Akquise von Kunden und Partnern zu erzielen hat derzeit die größte Priorität.

Was sind die nächsten großen (internen und externen) Projekte? Worauf dürfen wir gespannt sein?

Florian Lukavsky: Wir haben uns für die nächsten Monate eine ambitionierte und spannende Roadmap vorgenommen, auf deren Umsetzung ich mich sehr freue. Mit dem bereits erfolgten Release von „IoT Inspector Monitoring“ Anfang November können Unternehmen ihre Firmware laufend auf neue Schwachstellen untersuchen lassen und damit aktiv neuen Bedrohungen begegnen. Daneben entwickeln wir eine Vielzahl neuer Analysemethoden, um noch granularer auf Verletzungen von internationalen Sicherheitsstandards hinweisen zu können. Auch die Unterstützung weiterer und neuer IoT-Plattformen wie Windows IoT haben wir uns als Ziel gesetzt. Und dann haben wir natürlich noch einige andere heiße Eisen im Ofen, die wir jetzt noch nicht verraten und zu geeigneter Zeit präsentieren werden ;)

Welche Herausforderungen warten denn in nächster Zeit auf IoT Inspector?

Florian Lukavsky: Der technologische Wettlauf zwischen Hackern und den Herstellern und IT-Security-Unternehmen hat sich durch die digitale Transformation stark intensiviert: Die Leistungsfähigkeit der Cloud und die Möglichkeit, IoTDevices auch mit mobilen Endgeräten zu kontrollieren, hat die Menge der Geräte drastisch erhöht. Damit ist auch der mögliche Impact einer Attacke auf ein privates IoT-Netzwerk über die Verbindung mit der Cloud wesentlich größer. Angreifende können über eine einzige Schwachstelle in der Cloud unzählige Devices attackieren, diese Geräte in ein Botnet „einverleiben“ und sich damit Einsicht in Millionen von privaten Netzwerken verschaffen. Diese Entwicklung wird sich sicherlich noch verstärken und wir werden unsere Arbeit in diese Richtung weiter vorantreiben.

Welches Potenzial gibt es eurer Meinung nach für den IoT-Markt?

Ulrich Fleck: Das Internet der Dinge hat in einem Ausmaß in den Alltag Einzug gehalten, dass es fast unmöglich macht, sich einen Überblick über den Status der IoT-Cybersecurity zu verschaffen. Deshalb ist ein Werkzeug wie IoT Inspector wichtig, um möglichst einfach und schnell die Sicherheit der Geräte beurteilen zu können. Dazu kommt, dass nun auch Institutionen und Behörden wie das BSI Richtlinien für IoT-Geräte vorgeben, um das Bedrohungsszenario zu verkleinern. So hat etwa der US-Bundesstaat Kalifornien ein Gesetz beschlossen, das verbietet, mit dem Internet verbundene Geräte herzustellen oder zu verkaufen, die nicht mit einem eindeutigen Passwort ausgestattet sind. Große Hersteller von Equipment sind damit beschäftigt eigene Zertifikate auf IoT Devices zu bringen, deren Aufspürung ist eine der Stärken von IoT Inspector. Im Zuge von Kundenprojekten ist auch die Sicherheit von Customer Premise Equipment (CPE) von (Internet-)Service Providern zu einem sehr wichtigen Einsatzgebiet geworden. Der Fokus auf die Sicherheit des IoT-Universums wird sich jedenfalls verstärken.

Florian Lukavsky: Ich sehe noch großes Potenzial beim Industrial Internet of Things. Viele Unternehmen wollen die Vorteile der Technologie nutzen, haben aber oft noch Bedenken, was die Komplexität sowie Heterogenität innerhalb der IT- und OT-Infrastruktur betrifft. Die Sicherheit muss daher höchste Priorität haben: Werksspionage, Sabotage oder Erpressung sind für Unternehmen ernst zu nehmende Gefahrenszenarien. Hier können wir im Vorfeld durch unsere Analyse unterstützend eingreifen und dazu beitragen, die Sicherheit der IIoT-Technologie voranzutreiben.

Bild zeigt Tagline "Did you know?" - SEC Consult

Facts & Figures zur Welt von IoT Inspector

  • IoT-Geräte sind der Weltbevölkerung zahlenmäßig bereits mehrfach überlegen.
  • Jeden Tag werden mehr als 7,7 Millionen neue Devices mit dem Internet verbunden.
  • 69 Prozent aller Unternehmen haben mehr IoT-Geräte als traditionelle Endgeräte in ihren Netzwerken.
  • 67% aller bekannten Incidents in Unternehmen in H1/2019 betrafen IoT Geräte oder unbewachte IT Geräte.
  • 2019 stieg die Anzahl der Cyberangriffe auf IoT-Geräte um 100 Prozent.  
  • Mehr als 90 Prozent der von IoT Inspector analysierten Firmware weist kritische Schwachstellen auf.
  • Standard User Credentials zählen zu den häufigsten Schwachstellen.

 

 

* Die vorausgesagten Zahlen variieren je nach Report. Andere Voraussagen rechnen mit 38,6 Milliarden IoT-Geräten bis 2025 und 50 Milliarden bis 2030. 

Mehr zum Thema