Die ONEKEY GmbH hat die Notwendigkeit von Transparenz als Basis für Sicherheit im Softwarebereich erkannt. Mit der ONEKEY Software Plattform wird dies ermöglicht, da sie in der Lage ist eine Stückliste für Software (Software Bill of Materials, SBOM) zu erstellen. Die Digitalisierung schreitet voran und wir sind schon jetzt mit einer Vielzahl intelligenter Geräte umgeben. Im Jahr 2025 sollen laut Prognose sogar 40 Milliarden Geräte vernetzt sein. Die geballte „Intelligenz“ ist dabei nicht problematisch, aber wie sie genutzt wird. Sicherheitslücken sind Nährboden für Kriminalität und Berichte über gehackte Systeme häufen sich.
Inhaltsverzeichnis: Das erwartet Sie im Artikel
SBOM als Grundlage für Sicherheit im Unternehmen
Um mögliche Angriffsstellen in verwendeter Software zu identifizieren und Sicherheit zu schaffen, muss ein Unternehmen genau wissen aus welchen Komponenten ihre Software besteht. Dies wird von der SBOM abgebildet. Diese listet genau die integrierten Bestandteile auf. Hat eine Komponente eine Schwachstelle, kann dies bei Angriff ein ganzes System schwächen bzw. am Ende gar ein Unternehmen flachlegen.
„Du musst den Feind kennen, um ihn besiegen zu können“, sagte schon 500 v. Christus der Philosoph Sunzi. Das gilt auch heute noch. Wenn ich dank Transparenz den Fehler kenne, kann ich ihn beseitigen und mich schützen. Das letzte Jahr endete mit einer IT-Krise. Die Sicherheitslücke Log4j machte Behören sowie Unternehmen weltweit angreifbar – vor allem deshalb, da oftmals die SBOM fehlte und nicht klar war, ob man betroffen ist oder nicht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) verhängte die Cyber-Sicherheitswarnung der Stufe Rot.
Weltweite Bedrohung durch Sicherheitslücke
Log4j wurde weitverbreitet zur Protokollierung bei Java-Anwendungen herangezogen. Am 10. Dezember 2021 fiel die Sicherheitslücke (CVE-2021-44228) auf den Servern des Online-Games „Minecraft“ auf. Jede neue Schwachstelle wird nach Ablauf von 90 Tagen öffentlich gemacht und in den weltweiten CVE-Datenbanken (Common Vulnerabilities & Exposures) registriert. Dieser Zeitraum dient dem Hersteller dazu, entschärfende Updates vorzunehmen. Ohne diese Maßnahme könnte jeder Hacker den Schwachpunkt ausnutzen bevor ein Nutzer realisiert, dass er über einen Angriffspunkt verfügt.
Nun nutzt es einem Unternehmen wenig, wenn es weiß, dass bei Komponente X eine Schwachstelle herrscht, wenn es dann nicht zuordnen kann welche Software über diesen Bestandteil verfügt. Nicht zu jeder Software liegt in Deutschland die SBOM vor, und die wachsende Masse an Technik macht einen Überblick nicht einfacher. In den USA ist die Stückliste bereits verpflichtend, in der EU ist dies immerhin am Weg.
Für 2023 kommt der Cyber Resilience Act (CRA), der Hersteller von technischen Geräten zu einer kontinuierlichen Überwachung der Sicherheit verpflichtet. Doch was kann ein Unternehmen tun, dem aktuell die SBOM für seine Software fehlt und somit Sicherheit? Die ONEKEY GmbH liefert hier die Lösung.
ONEKEY sorgt mit SBOM für Transparenz. (Foto: ONEKEY)
ONEKEY: Liefert Lösung und erstellt SBOM nachträglich
ONEKEY hat eine Technologie entwickelt, die in der Lage ist, den binären Code einer Software zu lesen. Bisher waren auf dieser Basis – ohne den Source-Code – kaum Rückschlüsse möglich. Der Fokus des Sicherheits-Spezialisten liegt dabei auf Industrial IoT und Betriebstechnologie (OT). Die ONEKEY Software Plattform dechiffriert den binären Code von Software, legt alle Komponenten offen und erstellt nachträglich die SBOM.
Nach der Software-Komponenten-Analyse, aus der die SBOM hervorgeht, erfolgt eine Sicherheitsanalyse. Sind alle Komponenten sicher oder bestehen Schwachstellen? Der Kunde erhält vollkommene Transparenz über seine Software und kann sich schützen. In einem dritten Schritt prüft die ONEKEY-Technologie, ob die IT-Compliance eingehalten wird. Die entsprechenden Standards, wie z.B. IEC62443, ISO-, DIN-, ETSI- und andere Normen, sind in der Plattform hinterlegt. Compliance-Verstöße werden identifiziert und automatisch an den Kunden gemeldet.
Fokus auf Industrial IoT & Betriebstechnologie (OT)
Den Privatmensch interessiert vorrangig nicht, ob etwas sicher ist. ONEKEY adressiert sich klar an Industrien. Dazu gehören Hersteller und Betreiber von smarten Geräten, z.B. aus den Bereichen Automobil, Fertigung, Medizingeräte Telekommunikation und kritische Infrastruktur wie Energie- / Wasserversorgung.
Die Hacker-Angriffe häufen sich. Das führt dazu, dass immer mehr Industrie-Unternehmen realisieren, dass ihre bestehende Technik nicht sicher ist und dringend einer Analyse bedarf. Dazu kommen immer mehr gesetzlich vorgeschriebene spezifische Standards für die einzelnen Bereiche. Wenn ein Hersteller keine sicheren Produkte herstellt, hat er früher oder später ein Problem bei seinem Kerngeschäft.
ONEKEY bietet individuellen Service
ONEKEY hat die Vision, zu einem essentiellen Faktor für Transparenz und Sicherheit im industriellen Produktions- und Produktumfeld zu werden. Den Kunden stehen dabei je nach ihrem technischen Stand zwei Möglichkeiten offen. Unternehmen mit eigenen IoT Sicherheitsexperten können die ONEKEY Plattform unkompliziert und kostengünstig als Jahres-Abo bei sich laufen lassen, ohne dass in der Regel zusätzliche Einweisung und Beratung nötig wäre.
Für Unternehmen, die im Bereich IoT-Sicherheit wenig Expertise mitbringen, steht ein hybrides Angebot aus automatischer Plattform mit ergänzender Experten-Beratung bereit. In dem Fall macht ONEKEY die Arbeit für den Kunden. Für spezielle Sonderfälle, z.B. wenn es sich um 20 Jahre alte Geräte handelt, die automatisiert nicht zu analysieren sind, bietet der Sicherheits-Spezialist die individuelle Analyse (Penetrationtest) auch durch erfahrene Experten.
