IoT-Sicherheitstests
Sichern Sie Ihre vernetzten Produkte durchgängig, vom Silizium bis zur Cloud-API. Identifizieren Sie Schwachstellen in Hardware, Firmware, mobilen Anwendungen, Cloud-Infrastruktur und Kommunikationsprotokollen vor den Angreifern.
Unser Prozess für IoT-Sicherheitstests
1. Scoping
Gerät, Schnittstellen und Angriffsfläche definieren
2. Assessment
Manuelle Tests über Hardware, Firmware, Netzwerk & Cloud hinweg
3. Reporting
Detaillierte Befunde mit Risikobewertung & Nachweis der Auswirkung
4. Behebung
Umsetzbare Empfehlungen und Empfehlungen für sicheres Design
5. Retest & Verifizierung
Behebungen validieren und Attestierungszertifikat ausstellen
Überblick
IoT-Sicherheit ist die Praxis, vernetzte Geräte und die Netzwerke, über die sie kommunizieren, zu schützen und umfasst die physische Hardware, die darauf laufende Firmware, die verwendeten Funk- und Netzwerkverbindungen sowie die Begleit-Apps und Cloud-Dienste, mit denen sie kommunizieren. IoT-Sicherheitstests bewerten vernetzte Geräte über ihr gesamtes Ökosystem hinweg, einschließlich Hardware, Firmware, drahtloser und Netzwerkkommunikation, Begleit-Apps und Cloud-APIs.
Methodik & Standards
Jedes Engagement beginnt mit einer Scoping-Phase, die die gesamte Angriffsfläche über Hardware, Firmware, Funk, Begleit-App und Cloud hinweg definiert, sodass die geeigneten Schnittstellen und Standards vor Beginn der Tests vereinbart werden. Die Arbeit ist ausgerichtet an den OWASP IoT Top 10, dem OWASP IoT Security Testing Guide (ISTG) und der OWASP Firmware Security Testing Methodology (FSTM), abgebildet auf ETSI EN 303 645 für den EU CRA und den UK PSTI.
Im Leistungsumfang enthalten
Testarten
IoT-Penetrationstest
Praktische Ausnutzung über das Gerät, seine Funkmodule, die Begleit-Apps und die Cloud-APIs hinweg, um nachzuweisen, wie sich reale Angriffspfade verketten.
Bedrohungsmodellierung
Strukturierte Analyse der Gerätearchitektur, der Datenflüsse und der Vertrauensgrenzen, um zu identifizieren, wo das Gerät am wahrscheinlichsten angegriffen wird, und die Tests entsprechend zu priorisieren.
Firmware-Analyse
Extraktion und Reverse Engineering der Firmware, um fest codierte Anmeldedaten, unsichere Update-Mechanismen, exponierte Dienste und bekanntermaßen verwundbare Komponenten aufzudecken.
Das erhalten Sie
Häufig gestellte Fragen
Ja, idealerweise zwei oder drei Einheiten, damit wir die Hardware-Schnittstellen testen, die Firmware extrahieren und eine Referenz behalten können, sowie die Begleit-Apps und die Cloud-Details.
Ja. Unsere Ergebnisse und Bestätigungsschreiben lassen sich direkt auf ETSI EN 303 645 abbilden, den technischen Standard, der sowohl dem EU Cyber Resilience Act als auch dem UK Product Security and Telecommunications Infrastructure-Regime zugrunde liegt. Der Bericht kann als unterstützender Nachweis in Ihrem Compliance- oder Konformitätsbewertungsprozess dienen und bietet Ihnen eine dokumentierte, unabhängige Grundlage für Ihre Sicherheitsaussagen.
Wir beginnen mit einer Sitzung zu Scoping und Bedrohungsmodellierung, die die gesamte Angriffsfläche des Geräts abbildet (Hardware-Schnittstellen, Firmware, drahtlose Protokolle, Begleit-Apps und Cloud-APIs) und die Vertrauensgrenzen identifiziert, die am wahrscheinlichsten angegriffen werden. Davon ausgehend vereinbaren wir die im Umfang enthaltenen Schnittstellen, Funkmodule und Standards, sodass sich die Tests auf die Pfade konzentrieren, die ein reales Risiko für Ihr Produkt darstellen. Sie erhalten Umfang und Angriffsfläche schriftlich, bevor irgendein Test beginnt.