„Das IoT ist der tote Winkel der Cybersecurity“

Nicht nur die Anzahl der IoT-Geräte, auch die Anzahl der Cyberangriffe auf das Internet of Things steigt stetig an. Rainer M. Richter, CEO und Co-Founder von IoT Inspector, sieht es als großes Problem an, dass die Sicherheit des IoT bislang sowohl von Herstellern als auch von Nutzern vernachlässigt wurde. Sein Unternehmen, das Teil des Ökosystems von 5-HT ist, hat deshalb mit dem IoT Inspector eine Analyseplattform entwickelt, die IoT-Firmware automatisiert auf die verschiedensten Schwachstellen überprüft. Im Interview mit 5-HT erklärt Rainer M. Richter, warum IoT-Sicherheit für Unternehmen so wichtig ist und wie der IoT Inspector sie bei der Absicherung ihres Netzwerks unterstützen kann.

Was sind eigentlich IoT-Geräte?

IoT-Geräte sind Geräte, die mit dem Internet verbunden sind, aber keinen klassischen Bildschirm mit Tastatur haben. Dabei geht es nicht nur um Industrie 4.0, woran man im ersten Moment vielleicht denkt, sondern um eine riesige Palette an Geräten, die wir alle in unseren Netzwerken installiert haben, zum Beispiel Router, Netzwerkkameras, Netzwerkdrucker, VoIP-Telefone, Zutrittskontrollsysteme, Sensoren oder Klimakontrollgeräte.

Warum ist IoT-Sicherheit so wichtig?

Das hängt zum einen damit zusammen, dass die Zahl der IoT-Geräte kontinuierlich zunimmt. Schätzungen gehen davon aus, dass es im Jahr 2021 weltweit zwischen 36 und 38 Milliarden IoT-Geräte geben wird. Zwei Drittel der Unternehmen haben in ihren Netzwerken schon mehr IoT-Geräte als traditionelle Endpoints installiert. Trotzdem beobachten wir, dass die Sicherheit im IoT-Bereich auf Herstellerseite oft vernachlässigt wird. Laut Europol richteten sich im letzten Jahr zwei Drittel aller gemeldeten Cyberangriffe auf IoT-Geräte oder ungemanagte IT-Geräte. Da die Endpoint Protection immer besser funktioniert, weichen die Angreifer verstärkt auf IoT-Geräte mit Sicherheitslücken aus. Für Unternehmen besteht die Gefahr, dass die Schwachstellen ihrer IoT-Geräte ausgenutzt werden, um zum Beispiel über eine Kamera ins Netzwerk zu gelangen und dort weitere Daten auszuspähen. Die meisten Unternehmen überprüfen ihre IoT-Geräte jedoch nicht auf Schwachstellen, obwohl sie nach der DSGVO im Rahmen der Risikoanalyse eigentlich dazu verpflichtet wären und dementsprechend auch in die Haftung genommen werden können. Der IoT-Bereich ist also der tote Winkel der Cybersecurity – und deshalb bieten wir mit dem IoT Inspector sozusagen einen Totwinkelassistenten an.

Wie hilft IoT Inspector bei der Absicherung von IoT-Geräten?

IoT Inspector ist eine Plattform für die Analyse der Sicherheit von IoT-Firmware. Dafür lädt der Nutzer die Firmware auf die Analyseplattform hoch. Daraufhin wird die Firmware vollautomatisch auf Schwachstellen geprüft, zum Beispiel auf versteckte User Credentials, bekannte Schwachstellen (CVEs), vergessene Zertifikate oder Private Keys, Standardpasswörter oder undokumentierte Anmeldeinformationen, veraltete Softwarekomponenten und vieles mehr. Bei 90 Prozent der analysierten Firmware entdecken wir kritische Schwachstellen, am häufigsten standardisierte User Credentials. Innerhalb von fünf bis zehn Minuten erhält der Nutzer eine Auflistung aller Schwachstellen der analysierten Firmware. Wenn ein Experte von Hand einen entsprechenden Pentest durchführen würde, bräuchte er dafür zwei bis drei Tage. Mit dem IoT Inspector bieten unsere Vertriebspartner die vollautomatische Analyse einer Firmware ab 500 Euro an. Wenn das Unternehmen die Analyse komplett selbstständig durchführt, sind es sogar nur 400 Euro. Heute kann also niemand mehr sagen, dass Risikomanagement nicht bezahlbar sei.

Wie können Corporates von der Nutzung des IoT Inspector profitieren?

Firmenkunden können den IoT Inspector bereits in ihren Beschaffungsprozess integrieren. Bevor sie ein neues IoT-Gerät kaufen, können sie mit unserer Lösung überprüfen, ob die Firmware sicher ist oder nicht. Mit dem IoT Inspector Compliance Checker können sie auch kontrollieren, ob die Firmware dem entsprechenden Sicherheitsstandard entspricht. Auf diese Weise kann IoT Inspector dabei helfen, fundiertere Entscheidungen bei Neuinvestitionen zu treffen. Ein weiterer wichtiger Punkt ist natürlich die Überprüfung des Bestands an IoT-Geräten, um Schwachstellen zu identifizieren und sich gegebenenfalls dagegen abzusichern.

Welche Vorteile bringt IoT Inspector für Anbieter und Entwickler von IoT-Geräten?

Internetserviceprovider und Telekommunikationsanbieter können mit dem IoT Inspector dafür sorgen, dass die Produkte, die sie weiterverkaufen, frei von Schwachstellen sind. Die Swisscom, das größte Telekommunikationsunternehmen der Schweiz, setzt den IoT Inspector zum Beispiel als Quality Gateway ein, bevor sie neue Firmware an die Tausenden von installierten Geräte verteilt, und spart sich damit Supportkosten in Höhe eines sechsstelligen Betrages in Schweizer Franken pro Jahr. Hersteller und Entwickler von IoT-Firmware können mit unserer Lösung sicherstellen, dass sie nur schwachstellenfreie Software ausliefern, um ihre Investitionen zu schützen und einen Wettbewerbsvorteil zu erlangen.

Was unterscheidet IoT Inspector von seinen Konkurrenten?

Wir befinden uns in einem Marktsegment, in dem es zwar einen sehr hohen Bedarf, aber nur eine Handvoll Anbieter von vergleichbaren Lösungen gibt. Da unsere Wettbewerber aus den USA oder Israel stammen, ist damit häufig die Unsicherheit verbunden, ob ausländische Nachrichtendienste möglicherweise mitlesen. Mit unserem Firmensitz in Deutschland und Österreich unterliegen wir hingegen den scharfen Datenschutzrichtlinien der EU. Darüber hinaus sind wir die Ersten am Markt mit einem integrierten Compliance Checker, unsere Erkennungsrate ist sehr hoch, und unser Pay-per-Use-Modell ist attraktiv für viele Kunden, weil sie weder ein Abo abschließen noch kostspielige Set-up-Gebühren bezahlen müssen.

Wie kam es zur Gründung von IoT Inspector?

IoT Inspector ist ein Spin-off aus dem Inkubator der SEC Technologies GmbH. Die Grundidee kommt von unseren Kollegen bei dem Security-Consulting-Unternehmen SEC Consult, die mühsam in Handarbeit Pentests für IoT-Firmware durchführten und dabei auf die Idee kamen, diese Analysen zu automatisieren. Der IoT Inspector wurde vor fünf Jahren zuerst als Inhouse Tool bei einem Unternehmen der Firmengruppe entwickelt und ab 2018 im Inkubator der SEC Technologies zur Marktreife getrieben. Aufgrund meiner langjährigen Erfahrung mit Go-to-Market-Strategien war ich in dieser Zeit dafür zuständig, Marketing- und Vertriebsstrukturen aufzubauen und die ersten Partner an Bord zu holen. Als wir eine gewisse Marktverbreitung erreicht und einen deutschen Risikokapitalgeber als Investor gefunden hatten, haben wir IoT Inspector schließlich im Juli 2020 als eigenständiges Unternehmen gegründet. Bis Mitte dieses Jahres wollen wir das Team an unseren beiden Standorten in Bad Homburg und Wiener Neustadt von aktuell 8 auf 15 bis 20 Mitarbeiter vergrößern. Unsere Partner, die für den Vertrieb und den Kundensupport zuständig sind, verkaufen unsere Lösung bereits in 15 Ländern – in der DACH-Region, aber auch in Frankreich, Belgien, Luxemburg, den Niederlanden, den USA oder Singapur.

Was sind die nächsten Ziele für IoT Inspector?

Vor Kurzem haben wir das IoT-Monitoring gelauncht, mit dem IoT-Firmware kontinuierlich auf neu bekannt gewordene Schwachstellen untersucht werden kann, was für unsere Kunden in Zukunft eine extreme Arbeitserleichterung bedeutet. Außerdem arbeiten wir aktuell daran, unsere API weiter zu verbessern, damit wir die Möglichkeit haben, große Mengen an Firmware automatisch von anderen Applikationen einzuspielen und die Analyseergebnisse automatisch auszuspielen, zum Beispiel in Risikomanagementsysteme. Darüber hinaus beschäftigen wir uns zurzeit intensiv mit der dynamischen Schwachstellenanalyse: Indem wir IoT-Firmware in den Running Mode versetzen, wollen wir in der Lage sein, versteckte Kommunikationslinien aufzuspüren. Auf Vertriebsseite arbeiten wir daran, unser Netzwerk an Partnern zu vergrößern. Auch in geografischer Hinsicht wollen wir in neue Märkte vordringen, zunächst in die Nordischen Länder und nach Großbritannien, aber auch nach Nordamerika und Fernost, wo ein Großteil der IoT-Geräte hergestellt wird.

Wie kann 5-HT euch in eurer weiteren Entwicklung unterstützen?

In der Rhein-Neckar-Region sind viele interessante Unternehmen ansässig, die über Unmengen an IoT-Geräten verfügen. Wenn ich an die großen Chemie- und Pharmakonzerne denke, möchte ich gar nicht zählen müssen, wie viele IoT-Geräte es dort gibt. Gleichzeitig möchte ich mir nicht vorstellen, was passieren würde, wenn dort Schwachstellen ausgenutzt werden würden. Im Ökosystem von 5-HT gibt es für uns also viele potenzielle Kunden, denen wir mit dem IoT Inspector gerne dabei helfen, ihr Netzwerk abzusichern.