Internet der Dinge: IoT-Sicherheit massiv bedroht

Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden