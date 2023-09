Wie Quectel Wireless Solutions, ein weltweit tätiger Anbieter von IoT-Lösungen, heute mitteilte, haben umfangreiche Testverfahren des Cybersicherheits-Beratungsunternehmens Finite State gezeigt, dass die Quectel-Produkte die Industriestandards und besten Praktiken bei mehreren Sicherheitsaspekten deutlich übertreffen.

Finite State ein externes Sicherheitsunternehmen mit Schwerpunkt auf dem Management von Software-Lieferkettenrisiken für Unternehmen wurde von Quectel damit beauftragt, die Quectel IoT-Module strengen Tests zu unterziehen, um die Anstrengungen des Unternehmens für eine transparente und überprüfbare Produktsicherheit zu demonstrieren.

Der erste Zwischenbericht, der Quectel zur Verfügung gestellt wurde, kommt zu dem Ergebnis, dass die Sicherheitsbewertung der Module, wie sie im Risikoprofil von Finite State dargestellt wird, bei Aufnahme der Tests zu Jahresbeginn gut ausfiel und sich im Zuge der Umsetzung der Empfehlungen von Finite State schnell verbesserte. Die Punktzahl für die getesteten Module stieg von durchschnittlich 62 auf 24 bei einer bestmöglichen Punktzahl von 10. Dem Bericht zufolge bedeutet dies eine erhebliche Verbesserung des Sicherheitsstatus von Quectel, da sowohl die ursprüngliche als auch die aktuelle Bewertung weit über dem Branchendurchschnitt von 98 liegt.

"Quectel verfolgt bei Sicherheit und Transparenz einen holistischen Ansatz, den wir bei anderen Unternehmen nur selten beobachten. Die Bereitschaft von Quectel, seinen Kunden SBOMs und VEX-Reports zur Verfügung zu stellen, wird die IoT-Branche sicherer und transparenter machen", so Matt Wyckhouse, CEO bei Finite State. "Sie haben auf ihren bestehenden Sicherheitstestverfahren aufgebaut und noch gründlichere Tests in ihren eigenen Code und den von Drittanbietern integriert. Und sie haben während des Entwicklungsprozesses schneller als andere in ihrer Branche auf neue Erkenntnisse reagiert. Auf diese Weise haben sie Risikometriken erreicht, mit denen sie zu den besten 10 Prozent aller von uns analysierten vernetzten Produkte gehören", so Matt Wyckhouse weiter.

Bei seinen ersten Penetrationstests und Analysen konzentrierte sich Finite State auf die kritischsten Quectel-Mobilfunkmodule, die in den USA vertrieben werden. Die von Finite State überprüften Plattformen repräsentieren etwa 70 Prozent aller nordamerikanischen IoT-Module, die in den letzten 18 Monaten ausgeliefert wurden.

"Quectel plant, diese Penetrationstests und Sicherheitsüberprüfungen durch Drittunternehmen für alle kritischen Module weiterzuführen und als kontinuierlichen Prozess während des gesamten Lebenszyklus zu etablieren. Wir ermutigen und unterstützen auch unsere OEM-Kunden, ihrerseits Tests durch externe Unternehmen durchführen zu lassen", kommentiert Norbert Muhrer, President und CSO bei Quectel. "Diese Ergebnisse werden Quectel bei der weiteren Verbesserung der Cybersecurity-Implementierung in unseren Produkten helfen. Wir empfehlen unseren Mitbewerbern, unserem Beispiel zu folgen und zu einer sicheren und vertrauenswürdigen IoT-Branche beizutragen, die unsere Kunden erwarten."

Neben den Penetrationstests seiner wichtigsten Module hat Quectel die Herausgabe von SBOM- (Software Bill of Materials) und VEX-Dokumente (Vulnerability Exploitability Exchange) für seine IoT-Module angekündigt. Erstmals in dieser Branche stellt ein IoT-Modulhersteller diese Ressourcen auf seiner Website zur Verfügung. Die SBOM- und VEX-Dokumente werden Kunden bei dieser wichtigen Aufgabe helfen, indem sie umfangreiche maschinenlesbare Daten bereitstellen. In den SBOM-Dokumenten werden die Softwarekomponenten und Abhängigkeiten innerhalb der einzelnen IoT-Module sowie die Lizenzierungs- und Herkunftsinformationen detailliert. Die VEX-Dateien enthalten aktualisierte Daten über die ermittelten Schwachstellen und deren Status.

Die Herausgabe von SBOM- und VEX-Dokumenten hat eine kaskadenartige Wirkung auf das gesamte IoT-Ökosystem. Als Modulanbieter ist Quectel ein wichtiger Baustein in der Architektur zahlreicher IoT-Geräte. Von der Transparenz und den Sicherheitsanstrengungen werden allen IoT-Produkten profitieren, die auf den Plattformen von Quectel aufbauen.

"Unser Engagement für Sicherheit und Transparenz zeichnet uns aus", so Muhrer. "Indem wir diese Informationen weitergeben, wollen wir unsere Kunden dazu befähigen, fundiertere Entscheidungen über die Bewertung von Sicherheitsrisiken und die Priorisierung von Patches zu treffen, und ihnen eine uneingeschränkte Sicht in unsere Sicherheitslage ermöglichen. Wir bieten unseren Kunden ein lückenloses Instrumentarium an sicherheitsrelevanten Maßnahmen und Beratungsdienstleistungen für die Implementierung von sicheren Geräten. Zudem kooperiert Quectel mit Standardisierungsgremien, um die Entwicklung von strengen Sicherheitsanforderungen zu unterstützen, denen wir selbst verpflichtet sind, einschließlich des Erwerbs wichtiger Sicherheitszertifizierungen durch Branchenorganisationen und Regulierungsbehörden", fügt Muhrer hinzu.

Quectel bekräftigt erneut, dass seine Module die höchsten Standards für Datenschutz und -sicherheit erfüllen. "Kunden von Quectel besitzen und verfügen über alle Daten, die von den Modulen erfasst werden. Quectel hat keinerlei Zugriff auf Gerätedaten", berichtet Peter Fowler, Senior Vice President, Nordamerika, Quectel. "Quectel liefert hochwertige und sichere IoT-Module und geht mit den unabhängigen Cybersicherheitsprüfungen durch Drittunternehmen weit über die branchenüblichen Praktiken hinaus."

Im Mai 2023 wurde Finite State von Quectel mit einem Audit und einem Penetrationstest beauftragt, um die Sicherheit seiner Module zu bewerten. Der kontinuierliche Prozess umfasst rigorose Sicherheitstests, eine verbesserte Transparenz der Software-Lieferkette und ein umfassendes Software-Risikomanagement.

