[datensicherheit.de, 04.02.2025] Im Gesundheitswesen habe die Integration von Geräten aus dem sogenannten Internet der medizinischen Dinge (Internet of Medical Things / IoMT) die Patientenversorgung verändert und die Effizienz sowie Zugänglichkeit verbessert. „Diese technologischen Fortschritte sind jedoch mit erheblichen Sicherheitsherausforderungen verbunden“, warnt Melanie Eschbach, „Sales Team Managerin“ bei Check Point Software Technologies, in ihrer aktuellen Stellungnahme. Erfahrungen aus der Praxis unterstrichen, wie wichtig es sei, IoMT-Geräte abzusichern, um Patientendaten zu schützen und einen unterbrechungsfreien medizinischen Betrieb zu gewährleisten.

Abbildung: Check Point Software Technologies

Melanie Eschbach: IoMT-Sicherheit wichtiger denn je, da jüngste Berichte zeigen, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden ist

Zunahme des Bedarfs an IoMT-Sicherheit

Eschbach führt aus: „Laut unserem ,State of Cyber Security Report 2025‘ war das Gesundheitswesen im Jahr 2024 der am zweithäufigsten angegriffene Sektor, mit einem Anstieg der Cyber-Attacken um 47 Prozent im Vergleich zum Vorjahr.“ Dieser Bericht hebe hervor, „wie sich Schwachstellen in der Lieferkette und Ransomware-Taktiken entwickeln“, wodurch die IoMT-Sicherheit wichtiger denn je werde. Jüngste Berichte zur Cyber-Sicherheit zeigten, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden sei. Die zunehmende Häufigkeit von Ransomware-Angriffen, Schwachstellen in der Lieferkette und die Ausnutzung von IoT-Geräten zeigten, dass medizinische Einrichtungen entschlossene Maßnahmen ergreifen müssten, um ihre digitale Infrastruktur zu schützen. „Vielen IoT-Geräten mangelt es an integrierten Sicherheitsmaßnahmen, was sie zu attraktiven Zielen für Cyber-Kriminelle macht.“

Ein geknacktes IoMT-Gerät könne schwerwiegende Folgen haben, einschließlich Datenverletzung, Geräteausfall und Unterbrechung der Patientenversorgung. Beispielsweise könne ein fehlerhafter Patientenmonitor dazu führen, dass Entscheidungen auf der Grundlage ungenauer Daten getroffen würden, wodurch die Patientensicherheit gefährdet sei. Eschbach berichtet: „Das jüngste Beispiel, ist die kürzlich veröffentlichte Schwachstelle, die in den Patientenüberwachungsgeräten ,CMS8000‘ von Contec gefunden worden ist. Laut einem Bericht der US-Behörde für Cyber- und Infrastruktursicherheit (CISA) enthielten diese Geräte eine ,Hintertür‘, über die sie Patientendaten an eine externe IP-Adresse übertragen und unbefugte Fernzugriffe ermöglichten.“

IoMT-Schutz: Empfehlungen für grundlegende Sicherheitsmaßnahmen

Um o.g. Gefahr wirksam zu begegnen, sollten sich Organisationen des Gesundheitswesens laut Eschbach auf die folgenden Punkte konzentrieren:

Risiko-Bewertung der Firmware
Gründliche Firmware-Scans identifizierten verschiedene Schwachstellen wie nicht autorisierte Zugriffspunkte, offengelegte Anmeldeinformationen und versteckte „Hintertüren“. Dies helfe bei der Risiko-Bewertung vor der Integration neuer Geräte in Netzwerke.

Autonome Geräte-Erkennung und Risikoanalyse
Der Blick über alle angeschlossenen IoMT-Geräte müsse bewahrt werden, um unautorisierte oder riskante Endpunkte zu erkennen und eine kontinuierliche Überwachung möglicher Bedrohungen zu gewährleisten.

Zero-Trust-Segmentierung
Implementierung strikter Zugriffskontrollen stellten sicher, „dass jedes Gerät innerhalb definierter Parameter arbeitet und unbefugte Zugriffe verhindert werden“. Sogar dann, wenn ein Gerät attackiert wird, verhindere die Zero-Trust-Segmentierung „seitliche Bewegungen“ im Netzwerk und schränke potenzielle Bedrohungen ein.

Echtzeit-Bedrohungsdaten und virtuelles Patching
Die Nutzung aktueller Bedrohungsdaten zur Abwehr bekannter und neuer Cyber-Bedrohungen sei unumgänglich. Durch sogenanntes virtuelles Patching könnten Sicherheitskräfte die Risiken mindern, ohne die umgehende Einspeisung von Firmware-Updates zu erfordern, „was bei Geräten mit Schwachstellen, die ab Werk enthalten sind, von entscheidender Bedeutung ist“.

Security-by-Design bei der Geräteherstellung
Die Hersteller sollten ermutigt werden, Sicherheitsfunktionen direkt in ihre Geräte zu integrieren, um die Einhaltung gesetzlicher Normen zu gewährleisten und Schwachstellen vor der Markteinführung zu verringern.

Abhängigkeit von IoMT-Geräten erfordert Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen

Die zunehmende Abhängigkeit von IoMT-Geräten im modernen Gesundheitswesen erfordere einen Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen. „Wenn die Sicherheit von Patienten auf dem Spiel steht, ist es nicht mehr möglich, sich ausschließlich auf Reaktionen nach einem Vorfall zu verlassen!“, stellt Eschbach klar. Durch die Implementierung robuster Sicherheitslösungen könnten Organisationen im Gesundheitswesen die Risiken der vernetzten Geräte minimieren, die betriebliche Integrität aufrechterhalten und sicherstellen, „dass Patientendaten geschützt bleiben“.

Durch die Einführung einer umfassenden Cyber-Sicherheitsarchitektur mit einer zentralen Plattform als Ansatz könnten sich Krankenhäuser vor den neuen Bedrohungen besser schützen und weiterhin eine qualitativ hochwertige, unterbrechungsfreie Versorgung anbieten. Eschbach gibt abschließend zu bedenken: „Investitionen in sichere Infrastrukturen und bewährte Verfahren stärken die Widerstandsfähigkeit gegen Cyber-Bedrohungen und schützen wichtige Prozesse im Gesundheitswesen.“ Erst eine vorausschauende Cyber-Sicherheitsstrategie sei der Garant für eine moderne Gesundheitsversorgung durch vernetzte Geräte. „Sie sorgt dafür, dass die Vorteile dieser IoMT-Geräte sorgenfrei genossen werden können und den Patienten zugutekommen!“

Weitere Informationen zum Thema:

CHECK POINT, 2025
THE STATE OF CYBER SECURITY 2025 / Top threats, emerging trends and CISO recommendations

CISA CYBERSECURITY & INFRASTRUCTURE SEURITY AGENCY, 30.01.2025
Contec CMS8000 Contains a Backdoor

[datensicherheit.de, 04.02.2025] „Mit der zunehmenden Verbreitung von IoT-Geräten, die tief in das tägliche Leben eingebunden werden, steigt der Bedarf an fortschrittlichen, beliebig skalierbaren Sicherheitslösungen in allen Unternehmen und Branchen enorm“, betont Thomas Boele, „Regional Director Sales Engineering CER/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Herkömmliche Sicherheitsansätze hätten oft mit der begrenzten Leistung von IoT-Geräten zu kämpfen, was die Fähigkeit zur Durchführung umfassender Sicherheitskontrollen einschränke. Diese Herausforderung habe nun den Weg für sogenanntes Eingebettetes Maschinelles Lernen („Embedded ML“ oder „TinyML“ / EML) geebnet – „eine einzigartige Lösung, um die Sicherheitsanforderungen an moderne IoT-Geräte zu erfüllen“.

Foto: Check Point Software Technologies

Thomas Boele erläutert die EML-Rolle als leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit

Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitigt EML Sicherheitsbeschränkungen von Systeme mit geringer Leistung

EML verändere das IoT und eingebettete Systeme, „indem es Geräten ermöglicht, Datenanalysen und Entscheidungsfindungen direkt auf dem Gerät durchzuführen“. Diese lokale Verarbeitung verringere die Latenz erheblich und verbessere den Datenschutz, da die Informationen nicht in eine „Cloud“ übertragen werden müssten. Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitige EML die Sicherheitsbeschränkungen von Systeme mit geringer Leistung, da es eine maßgeschneiderte, unabhängig arbeitende Intelligenz auf Geräteebene biete.

Boele führt aus: „Da IoT-Geräte jedoch immer intelligenter werden, sind sie auch komplexer und potenziell anfälliger für ausgeklügelte Cyber-Bedrohungen. Cyber-Kriminelle nutzen daher ML-Techniken zur subtilen Manipulation von Eingabedaten, wodurch IoT-Geräte falsch klassifiziert werden oder Fehlfunktionen aufweisen, ohne sie Alarm zu schlagen.“

Darüber hinaus könnte dies zu falschen IoT-Aktionen führen, z.B. zur Fehlinterpretation von Messwerten oder gar zur Abschaltung. Besonders gefährlich sei dies in OT-Umgebungen und Kritischen Infrastrukturen (KRITIS). „Ein Ausfall bedeutet eine teure Unterbrechung des Betriebes. Im schlimmsten Fall drohen Angriffe auf die Energie-Infrastruktur infolge der Anforderungen aus dem ,Solarspitzen-Gesetz’.“

EML quasi als geheime und unsichtbare Sicherheitswaffe

EML nutze die Leistung des Maschinellen Lernens direkt in kleinen IoT-Geräten mit geringem elektrischen Energieverbrauch und ermögliche es ihnen, Bedrohungen lokal auf dem Gerät zu erkennen und zu verhindern. Durch die Einbettung von dieser Sicherheits-Intelligenz direkt in IoT-Geräte meistere EML die wichtigsten Sicherheitsherausforderungen und bietee erhebliche Vorteile für eine Vielzahl von Branchen.

„Eine der überzeugendsten Eigenschaften von EML ist die Fähigkeit, eine unsichtbare Sicherheitsebene zu schaffen, auf der sich IoT-Geräte autonom und ohne menschliches Eingreifen selbst überwachen und vor neuen, aufkommenden Bedrohungen schützen können.“ Dieser unsichtbare Ansatz bedeutet demnach, dass die Sicherheitsmaßnahmen unauffällig im Hintergrund ablaufen, ohne sichtbare Kameras oder aufdringliche Hardware erforderlich zu machen. Dies mache die Lösung ideal für sensible Umgebungen, wie Krankenhäuser bzw. KRITIS, in denen offensichtliche Sicherheitsvorrichtungen unpraktisch oder sogar störend sein könnten.

Für Branchen und Unternehmen biete diese sich selbst überwachende, wartungsarme Verteidigungsarchitektur einen großen Vorteil, da sie den Bedarf an häufigen manuellen Updates oder aktiver Überwachung reduziere. „Die Fähigkeit von EML, unsichtbar zu bleiben, beruht auf seiner nahtlosen Integration in den Gerätebetrieb. Es analysiert leise Daten und passt sich an Bedrohungen an, sobald diese auftauchen“, so Boele.

Mit EML die IoT-Compliance verbessern

Nationale Vorschriften, wie der „Cyber Resilience Act“ (CRA) der EU, schrieben vor, dass sensible Daten sicher und unter strengem Schutz der Privatsphäre verarbeitet werden müssten. EML ermögliche eine lokale Verarbeitung und stelle sicher, dass die Daten zur Analyse nicht an zentrale „Cloud“-Server übertragen werden müssten. Im Falle einer Datenschutzverletzung sähen weitere Vorschriften, wie die DSGVO, strenge Bußen vor, die davon abhingen, „wie ein Unternehmen mit der Sicherheit umgegangen ist“.

EML verbessere die lokale Erkennung und Vorbeugung, d.h.: „Es kann einen Verstoß oder verdächtige Aktivitäten identifizieren, bevor sensible Daten übertragen oder gefährdet werden.“ Diese Sicherheitsmaßnahme verringere das Risiko eines Verstoßes und helfe Unternehmen, die Vorschriften einzuhalten und Geldbußen zu vermeiden.

„Die Einhaltung von Vorschriften in IoT-Umgebungen kann komplex sein, insbesondere wenn die Anzahl der angeschlossenen Geräte steigt. Die schlanke EML-Lösung lässt sich dagegen ohne großen Aufwand in eine große Anzahl von Geräten integrieren und ermöglicht es Unternehmen, die Einhaltung von Vorschriften in großen IoT-Netzwerken effizient zu verwalten.“ Es stelle sicher, dass die Sicherheitsprotokolle auf allen Geräten einheitlich angewandt würden, so dass umfangreiche Compliance-Maßnahmen leichter zu bewältigen seien.

EML-Vorteile auf einen Blick

Die wichtigsten Vorteile des Eingebetteten Maschinellen Lernens lt. Boele:

Lokale Verarbeitung zur Erkennung von Bedrohungen
EML-Modelle könnten Bedrohungen in Echtzeit erkennen, indem sie direkt auf den Geräten ausgeführt würden, wodurch die Verzögerung bei der Erkennung und Reaktion auf potenzielle Angriffe verringert werde. Dies sei von entscheidender Bedeutung für Anwendungen, die eine schnelle Erkennung von und Reaktion auf Bedrohungen erforderten, wie „Smart Home Security“ und industrielle Überwachung, wo Latenz ein Sicherheitsrisiko darstellen könne.

Kostengünstige Möglichkeit zur Skalierung der IoT-Sicherheit für ältere Geräte
Viele Branchen hätten stark in veraltete Geräte investiert, denen es an harten Sicherheitsvorkehrungen mangele und die nur schwer zu aktualisieren seien. Die minimalen Verarbeitungs- und Speicheranforderungen von EML bedeuteten, dass selbst ältere IoT-Geräte mit einer zusätzlichen Sicherheitsschicht ausgestattet werden könnten, ohne eine vollständige Aufrüstung der Hardware erforderlich zu machen. Dies senke die Kosten und verbessere gleichzeitig die netzwerkweite Sicherheit – ein besonders wertvoller Punkt für CISOs, die mit Budget-Beschränkungen oder der Skalierung in großen IoT-Ökosystemen zu kämpfen hätten.

Geringere „Cloud“-Abhängigkeit
Aufgrund seiner Fähigkeit, Aufgaben lokal auszuführen, minimiere EML die Abhängigkeit von der „Cloud“, was den Bandbreiten- und Verbrauch elektrischer Energie reduziere. Dieser lokalisierte Ansatz sei in Szenarien mit eingeschränkter Konnektivität von Vorteil. Diese netzunabhängige Einrichtung sei ideal für die Überwachung in der Landwirtschaft oder beim Schutz der Tierwelt, bei Autonomen Fahrzeugen oder im Untertagebau, da viele dieser Bereiche normalerweise nicht geschützt seien. Außerdem werde der Datenschutz verbessert, da sensible Informationen das Gerät nicht verlassen müssten.

Geringere Bandbreitennutzung
Durch die lokale Verarbeitung von Daten werde die über das Netzwerk übertragene Datenmenge reduziert, was die Bandbreite weniger beanspruche und EML für netzwerkbeschränkte Umgebungen geeignet mache.

Nachhaltigkeit und Energieeffizienz
EML-Modelle seien auf minimalen Energieverbrauch optimiert, so dass batteriebetriebene IoT-Geräte auch bei der Durchführung von Sicherheitsaufgaben eine lange Lebensdauer hätten. Dies sei in Bereichen wie der Umweltüberwachung, in denen Geräte über Monate oder Jahre hinweg ohne menschliches Eingreifen arbeiten soltlen, von entscheidender Bedeutung. Dies unterstütze Nachhaltigkeitsziele, indem die Lebensdauer von IoT-Geräten verlängert und der Energiebedarf gesenkt werde.

Autonomer Betrieb und Ausfallsicherheit
In Kritischen Anwendungen wie dem Industriellen IoT (IIoT) ermögliche EML den autonomen Betrieb von Geräten, „die Unregelmäßigkeiten ohne externe Eingriffe erkennen und behandeln“. Diese Autarkie sei für abgelegene oder gefährliche Umgebungen, in denen menschliches Eingreifen nur begrenzt möglich sei, von entscheidender Bedeutung, da IoT-Geräte auch dann weiter funktionierten, „wenn sie von zentralen Systemen getrennt sind“.

Erleichtert adaptives Lernen
EML-Modelle könnten auf dem Gerät trainiert und feinabgestimmt werden, so dass sich IoT-Geräte an veränderte Umgebungsbedingungen anpassen könnten. In der Intelligenten Landwirtschaft könnten sich die Modelle beispielsweise an unterschiedliche Bodenbedingungen oder Wettermuster anpassen, so dass die Geräte besser auf Veränderungen in der Umwelt reagieren könnten, ohne eine ständige Neuprogrammierung von einem zentralen Server erforderlich zu machen.

Das menschliche Element der IoT-Sicherheit – EML lernt menschliche Verhaltensmuster
Es könne auch menschliche Verhaltensmuster erlernen und analysieren und so die Sicherheit durch das Aufspüren von Anomalien verbessern. „Das mag futuristisch klingen, ist aber sehr praktisch: Zum Beispiel können intelligente Schlösser verdächtige Bewegungen an einer Tür erkennen, oder industrielle Systeme merken, wenn die Anwesenheit von Menschen unüblich erscheint.“ Dies füge der IoT-Sicherheit eine Ebene der Verhaltensanalyse hinzu und verdeutliche, wie sie mit dem Null-Toleranz-Sicherheitsmodell in Einklang gebracht werden könne, „indem sichergestellt wird, dass nur geprüftes und erwartetes Verhalten zugelassen wird“.

Die Zukunft autarker IoT-Sicherheit mittels EML

„EML-Sicherheitsanwendungen bergen ein enormes Potenzial für die Schaffung eines sichereren, widerstandsfähigeren IoT-Ökosystems, indem sie schnelle, energieeffiziente und datenschutzfreundliche Sicherheitslösungen direkt auf der Geräteebene bereitstellen“, unterstreicht Boele. Doch wie bei jeder neuen Technologie, so gebe es auch hier Herausforderungen: Hacker könnten EML-Modelle missbrauchen, um eine Entdeckung zu vermeiden, „was ein Risiko darstellt“. Um diese Bedrohungen einzudämmen, seien kontinuierliche Forschungs- und Entwicklungsanstrengungen erforderlich, um die Integrität und Robustheit der Daten zu gewährleisten und sie vor Angriffen und Manipulationen zu schützen.

Auf Maschinellem Lernen basierte IoT-Bedrohungen könnten grob in zwei Kategorien eingeteilt werden: Sicherheitsangriffe und Verletzungen der Privatsphäre. „Sicherheitsangriffe konzentrieren sich auf die Beeinträchtigung der Datenintegrität und -verfügbarkeit, während Verletzungen der Privatsphäre auf die Vertraulichkeit und den Schutz der personenbezogenen Daten zielen.“ Zu den wichtigsten Beispielen für diese Bedrohungen gehörten die folgenden drei Angriffsarten:

Angriffe auf die Integrität
Integritätsangriffe zielten darauf ab, das Verhalten oder die Ausgabe eines Maschinellen Lernsystems zu manipulieren, indem seine Trainingsdaten oder sein Modell verändert würden. Durch die Einspeisung falscher Daten könnten Angreifer die Genauigkeit des Modells beeinträchtigen und das Vertrauen der Benutzer untergraben, ähnlich wie die Vermischung von minderwertigen Produkten mit hochwertigen Produkten bei Inspektionen die Glaubwürdigkeit insgesamt beeinträchtige. Im Internet der Dinge könne die Manipulation von Sensordaten für die vorausschauende Wartung das Modell in die Irre führen, was zu falschen Vorhersagen oder unsachgemäßen Wartungsmaßnahmen führe, welche die Funktionalität und Zuverlässigkeit der Geräte beeinträchtigten.

Angriffe auf die Verfügbarkeit
Verfügbarkeitsangriffe zielten auf das normale Funktionieren von auf ML basierenden IoT-Systemen, indem sie Unterbrechungen verursachten oder ungenaue Ergebnisse erzeugten, die zu Abstürzen, Dienstunterbrechungen oder fehlerhaften Ergebnissen führten. Ähnlich wie bei Verkehrsstaus oder Kommunikationsstörungen, so überforderten diese Angriffe die Systeme und verhinderten legitime Reaktionen. Auf diese Weise könnten Denial-of-Service-Angriffe auf ein Smart-Home-System dieses mit Befehlen überlasten, „so dass es nicht mehr reagiert, während die Überflutung von Sensornetzwerken mit übermäßigen oder fehlerhaften Daten eine rechtzeitige Entscheidungsfindung verzögern oder verhindern kann“.

Angriffe auf die Vertraulichkeit
„Vertraulichkeitsangriffe zielen auf ML-Systeme ab, um an sensible oder private Daten zu gelangen. Im Internet der Dinge können solche Angriffe zu unbefugtem Zugriff und zur Preisgabe sensibler Daten führen und so die Privatsphäre, Geschäftsgeheimnisse oder sogar die nationale Sicherheit gefährden.“ Angreifer könnten Seitenkanalangriffe nutzen, um Details aus elektrischen Energieverbrauchsmustern aufzudecken, oder Modellinversionstechniken verwenden, um persönliche Informationen zu rekonstruieren, wie Gesichtsmerkmale aus der Ausgabe eines Gesichtserkennungssystems.

Investition in EML kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden – zudem werden „Cloud-“Abhängigkeit und Bandbreitenanforderungen reduziert

Außerdem gebe es die Angriffe auf die Trainingsdaten von IoT-Szenarien, also Angriffe auf das Modell selbst. In Zukunft würden vielleicht EML-Modelle mit adaptiven, selbstheilenden Fähigkeiten versehen werden, welche sich nach Angriffsversuchen automatisch neu kalibrierten und so die IoT-Sicherheit weiter stärkten.

Die Auswirkung von EML auf das „Smart Edge Computing“ liege in der Fähigkeit, Intelligente Verarbeitung direkt an den „Edge“ zu bringen, so dass IoT-Geräte autonom, effizient und sicher arbeiten könnten. Diese Erweiterung verbessere die Reaktionsfähigkeit, Nachhaltigkeit und Skalierbarkeit von „IoT-Ökosystemen“. Mit der Entwicklung von EML werde sich dessen Rolle im „Smart Edge Computing“ ausweiten und die Innovation in Bereichen fördern, „in denen intelligente IoT-Lösungen mit geringer Latenz und hohem Datenschutzbedarf gefragt sind“.

Die Investition in EML sei nicht nur kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden, sondern reduziere auch die „Cloud-“Abhängigkeit und die Bandbreitenanforderungen, was zu erheblichen Kosteneinsparungen führe und den ROI erhöhe, insbesondere in großen IoT-Netzwerken, in denen sich die „Cloud“-Kosten schnell summieren könnten. Für Unternehmen stärke die Einführung von EML die IoT-Sicherheit und biete gleichzeitig betriebliche Effizienz und Nachhaltigkeitsvorteile, welche mit den sich entwickelnden Anforderungen an die IoT-Sicherheit übereinstimmten.

EML für Unternehmen mit komplexen IoT-Compliance-Standards von großer Bedeutung

„EML ist für Unternehmen, die mit komplexen IoT-Compliance-Standards zu tun haben, von großer Bedeutung, da es eine lokale Datenverarbeitung ermöglicht, die Datenübertragung reduziert und eine Echtzeit-Bedrohungserkennung bietet“, gibt Boele zu bedenken. Diese Technologie versetze Unternehmen in die Lage, die wichtigsten regulatorischen Anforderungen in Bezug auf Datenschutz, Cyber-Sicherheit und Auditing zu erfüllen, was sie zu einer skalierbaren und effizienten Lösung zur Sicherung von IoT-Systemen unter strengen regulatorischen Anforderungen mache.

„Zusammenfassend lässt sich sagen, dass Eingebettetes Maschinelles Lernen (EML) ein leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit darstellt, das Kosteneinsparungen, die Einhaltung von Vorschriften und einen verbesserten Schutz der Unternehmen bietet.“

Bei der Einführung dieser Technologie sei es jedoch unerlässlich, die ihr zugrundeliegenden Grundsätze der Sicherheit, Integrität und Transparenz zu überdenken. „Die Zukunft der IoT-Sicherheit liegt im ,Edge’-Bereich, und Investitionen in EML sind neben kontinuierlicher Forschung der Schlüssel zu einer verantwortungsvollen und effektiven Umsetzung dieser Strategie!“, kommentiert Boele abschließend.

Weitere Informationen zum Thema:

Spectrum.de SciLogs, Ulrich Greveler, 18.01.2025
BSI hat recht: Unsichere Solar-Steuerungen nicht akzeptabel!

[datensicherheit.de, 08.01.2025] Der Schutz der Privatsphäre werde im Allgemeinen als ein Grundrecht angesehen und die Bürger hätten oft hohe Erwartungen an den Schutz ihrer personenbezogenen Daten. Lothar Geuenich, „VP Central Europe“ bei Check Point Software Technologies, hebt in seiner aktuellen Stellungnahme indes hervor: „Sie protestieren, wenn sie befürchten, dass sich die Regierungen immer stärker in ihr privates Leben einmischen. Sie machen sich jedoch keine Gedanken darüber, wie viele intime und sensible Daten sie über jeder Anwendung, die sie auf ihrem Smartphone installieren, oder über intelligente Geräte in ihren Wohnungen preisgeben.“

Foto: Check Point

Lothar Geuenich: Datenschutzverletzungen machen deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen sind!

Sogenannte Wearables sammeln intime Details über Nutzer – z.B. erfassen sie Gesundheitsdaten

Große Technologie-Unternehmen und Anbieter von tragbaren Geräten wie „Wearables“, Smartphones und Sprachassistenten sammelten intime Details über ihre Nutzer – oft weit mehr als jeder Gesundheitsdienstleister oder jede Regierungsbehörde. Diese Geräte erfassten Daten über die körperliche Gesundheit (z.B. Herzfrequenz, Schlafverhalten und körperliche Aktivität), das geistige Wohlbefinden (durch Analyse von Sprache, Mimik und Online-Aktivitäten) und persönliche Vorlieben, „z.B. wonach wir suchen, was wir kaufen oder was wir hören“. Sprachassistenten lernten kontinuierlich aus den Interaktionen der Nutzer und erstellen Profile, welche Details über Routinen, Beziehungen und sogar die Stimmung enthalten könnten, welche aus dem Tonfall und der Sprache abgeleitet würden.

Diese Daten gingen über das hinaus, was ein einzelner Arzt wissen könnte, und stellten einen „digitalen Fingerabdruck“ der persönlichen Gesundheit und des Verhaltens dar. So zeichneten „Wearables“ beispielsweise die Herzfrequenz, den Stresspegel und die zurückgelegten Schritte auf und erstellten so eine umfassende Aufzeichnung des körperlichen und geistigen Zustands des Trägers. Online-Plattformen nutzten ausgeklügelte Algorithmen, um die Interessen und das Verhalten der Nutzer besser zu verstehen, als es viele Freunde oder Familienmitglieder könnten, und erfassten so alles – von den Kaufgewohnheiten bis zu den politischen Ansichten.

Zusammenfassung von Daten über Geräte, Apps und digitale Umgebungen hinweg

Diese Unternehmen erreichten eine solche Tiefe, weil sie Daten über Geräte, Apps und digitale Umgebungen hinweg zusammenfassten. „Die gewonnenen Erkenntnisse dienen nicht nur der Bereitstellung von Diensten, sondern werden auch für gezielte Werbung verwendet und können unter bestimmten Bedingungen an Dritte oder staatliche Stellen weitergegeben werden, manchmal ohne das ausdrückliche Wissen der Nutzer“, gibt Geuenich zu bedenken.

Anwendungen müssten die Nutzer zwar um ihre Zustimmung und Erlaubnis bitten, Sensoren in ihrem Gerät zu befragen, aber in der Regel gäben die Nutzer diese Zustimmung schnell und ohne weiteres Überlegen. Diese Daten hätten zwar einen immensen Wert für die Verbesserung von Produkten und die Personalisierung von Diensten, „werfen aber auch erhebliche Bedenken hinsichtlich des Datenschutzes auf, da sie weitgehend unkontrolliert verarbeitet werden und es Technologie-Unternehmen ermöglichen, einen beispiellosen Einblick in die intimen Details von Milliarden von Menschenleben zu erlangen“.

Öffentliche Debatte um Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen

Geuenich blickt zurück: „Im Jahr 2018 erfuhren wir vom Skandal um ,facebook’ und ,Cambridge Analytica’. Kurz gesagt: Ein Beratungsunternehmen sammelte personenbezogene Daten von Millionen von Nutzern ohne deren Zustimmung. Die Daten wurden verwendet, um psychologische Profile von Nutzern zu erstellen, die dann genutzt wurden, um gezielte politische Werbung zu schalten.“ Die Hauptsorge habe der Monetarisierung von Daten, der Erstellung von Werbeprofilen und gezielten Kampagnen gegolten.

Seitdem sei die Diskussion eskaliert und drehe sich nun um Innere Sicherheit, Beeinflussungskampagnen und Spionage durch ausländische Regierungen. So drehe sich eine aktuelle öffentliche Debatte um die Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen. Untersuchungen hätten ergeben, dass solche Apps umfangreiche Nutzerdaten sammelten, darunter Standort-, Kontakt- und Verhaltensdaten, was Bedenken hinsichtlich des Datenschutzes und des möglichen Zugriffs ausländischer Regierungen wecke. Während diese Unternehmen jeglichen unrechtmäßigen Zugriff abstritten, hätten die Regierungen strenge Überwachungsmaßnahmen eingeführt, um sicherzustellen, dass sensible Nutzerdaten nicht gefährdet würden. Dies habe weltweit Maßnahmen ausgelöst, da die Länder der Datensicherheit für ihre Bürger Vorrang einräumten.

Bedenken, dass ausländische Regierungen durch „Hintertüren“ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten

„Auch die Hersteller von Smartphones und IoT-Geräten aus verschiedenen Regionen stehen auf dem Prüfstand. Es wurden Bedenken geäußert, dass ausländische Regierungen durch ,Hintertüren’ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten.“ Dieses Problem trete besonders in Ländern mit unterschiedlichen Ansätzen zum Datenschutz auf, so Geuenich, „insbesondere in autoritären Regierungen, die der staatlichen Kontrolle Vorrang gegenüber der Privatsphäre des Einzelnen einräumen“. Diese Praktiken hätten zu einer verstärkten Besorgnis über den möglichen Missbrauch von Geräten für Spionage oder Überwachung geführt.

Die Datenschutzgesetze in den europäischen Ländern veranschaulichten das Engagement für den Datenschutz, indem sie dem Einzelnen die Kontrolle über seine Daten gäben und von den Unternehmen Transparenz bei der Datenerfassung und -weitergabe verlangten. Solche Rahmenwerke seien von kulturellen Werten beeinflusst, die individuelle Freiheiten und eine tief verwurzelte Abneigung gegen Überwachung, insbesondere im privaten Bereich der eigenen Wohnung, in den Vordergrund stellten.

Divergierende Datenschutzstandards mit Auswirkungen auf internationale Beziehungen und globalen IoT-Markt

Diese Divergenz präge nicht nur lokale Datenschutzstandards, sondern habe auch Auswirkungen auf internationale Beziehungen und den globalen IoT-Markt: „Viele Länder führen zunehmend Maßnahmen ein, um im Ausland hergestellte Geräte einzuschränken, die im Verdacht stehen, für staatliche Eingriffe anfällig zu sein, und verstärken damit den breiteren geopolitischen Wettbewerb zwischen offenen und geschlossenen Datenverwaltungsmodellen.“

Wie diese Fälle zeigten, sei die Bedrohung keine hypothetische Angelegenheit. Regierungen auf der ganzen Welt setzten sich mit den Auswirkungen von IoT-Geräten auf die Sicherheit und den Datenschutz auseinander, insbesondere von Anbietern mit potenziellen Verbindungen zur staatlichen Überwachung.

3 wesentliche Ansätze für mehr Datensicherheit

Als Reaktion darauf seien mehrere regulatorische und rechtliche Maßnahmen im Gange:

Verbote und Beschränkungen für „Hochrisiko-Lieferanten“
Einige Regierungen hätten Maßnahmen ergriffen, indem sie bestimmte, im Ausland hergestellte Geräte aus Kritischen Infrastrukturen verbannt hätten, insbesondere in Regierungsgebäuden und anderen sensiblen Bereichen. Dieser Ansatz sei zwar umstritten, werde aber als notwendiger Schritt zur Verringerung des Spionagerisikos angesehen.

Gesetze zum Schutz von Daten und Privatsphäre
Die europäische DSGVO und ähnliche Gesetze auf der ganzen Welt sollten den Verbrauchern mehr Kontrolle über ihre Daten geben. Diese Vorschriften verlangten, dass Unternehmen klare Zustimmungsoptionen anböten, die Datennutzung offenlegten und den Nutzern die Möglichkeit gäben, die von ihren Geräten erfassten Daten zu verwalten.
Die Durchsetzung dieser Gesetze gegenüber ausländischen Unternehmen bleibe jedoch eine Herausforderung. Aus diesem Grund habe die Europäische Kommission das neue Gesetz über die Widerstandsfähigkeit gegen Cyber-Angriffe (Cyber Resilience Act, CRA) verabschiedet, welches von den Herstellern verlange, bei allen vernetzten Geräten sowohl die Datenschutz- als auch die Sicherheitsanforderungen beim Vertrieb auf dem europäischen Markt einzuhalten.

Sicherheitsstandards für Geräte
Mehrere Länder hätten Gesetze erlassen, die Mindest-Sicherheitsstandards für von Behörden verwendete Geräte vorschreiben. Diese Gesetze förderten grundlegende Sicherheitsmaßnahmen – wie das Verbot von Standard-Passwörtern – und verringerten so das Risiko eines unbefugten Zugriffs.

IoT-Sicherheit als eigener Aspekt der Cyber- bzw. Datensicherheit

Die in den Zeitungen landenden Datenschutzverletzungen machten deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen seien. Geuenich betont abschließend: „Es geht darum, wie diese ,Smart Devices’ in den falschen Händen die Privatsphäre und Sicherheit von jedem gefährden könnten.“

„Wenn Regierungen, Aufsichtsbehörden und Verbraucher beginnen, sich mit dieser Tatsache zu befassen, werden Zusammenarbeit und Wachsamkeit der Schlüssel sein, um die Unantastbarkeit der Privatsphäre zu bewahren.“ Zudem werde dann das Bewusstsein für die IoT-Sicherheit als eigener Aspekt der Cyber-Sicherheit gestärkt werden, „damit die Geräte ab Werk und im Einsatz umfassend geschützt sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 29.08.2024] Das sogenannte Internet der Dinge (Internet of Things / IoT) hat offenkundig langsam aber sicher Einzug in unser Zuhause und an unseren Arbeitsplatz gehalten. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert: „Von intelligenten Häusern bis hin zu industriellen Steuerungssystemen hat das IoT unser Leben bequemer und effizienter gemacht. Mit der zunehmenden Vernetzung sind aber auch die Risiken gestiegen.“ Wenn wir indes zusammenarbeiteten, um der Sicherheit Priorität einzuräumen, das Bewusstsein für die Risiken zu schärfen und durch gezielte Schulungen zu verstärken, könnten wir sicherstellen, dass die Vorteile der IoT-Technologie nicht durch die Gefahr von Cyber-Angriffen überschattet werden.

Foto: KnowBe4

Dr. Martin J. Krämer: Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern!

Schwache bzw. voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle erhöhen IoT-Angriffsfläche

Bei der Entwicklung von IoT-Geräten stehe häufig die Funktionalität und nicht die Sicherheit im Vordergrund. „Das bedeutet, dass viele Geräte schwache oder voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle aufweisen“, erläutert Dr. Krämer. Angreifer könnten diese Sicherheitslücken ausnutzen, um sich unberechtigten Zugang zu Geräten und Netzwerken zu verschaffen, sensible Daten zu stehlen oder weitere Angriffe zu starten.

Er führt aus: „Einem kürzlich veröffentlichten Bericht des Weltwirtschaftsforums zufolge wird die Zahl der IoT-Geräte bis 2025 voraussichtlich auf 30 Milliarden ansteigen und damit eine riesige Angriffsfläche für Cyber-Kriminelle bieten.“ In dem Bericht werde auch auf den zunehmenden Handel mit IoT-Schwachstellen und „Exploits“ im sogenannten DarkWeb hingewiesen, welcher es Angreifern erleichtere, diese Geräte ins Visier zu nehmen.

Social Engineering: IoT als Quelle für Cyber-Kriminelle

Einer der am meisten unterschätzten, aber auch gefährlichsten Aspekte des IoT sei sein Potenzial für „Social Engineering“. „Viele IoT-Geräte sammeln und übertragen sensible persönliche Daten wie Gesundheitsdaten, Standortdaten und sogar Video- und Audioaufzeichnungen. Angreifer können diese Daten nutzen, um sehr gezielte Phishing-E-Mails oder -Nachrichten zu verfassen und ihre Opfer zur Preisgabe von Zugangsdaten oder anderen sensiblen Informationen zu verleiten.“

Zum Schutz vor IoT-Angriffen sei ein mehrschichtiger Sicherheitsansatz erforderlich. Dazu gehören laut KnowBe4 folgende Maßnahmen:

Ändern der Standardpasswörter
Viele IoT-Geräte würden mit schwachen oder voreingestellten Passwörtern ausgeliefert. „Ändern Sie diese umgehend und verwenden Sie starke, eindeutige Passwörter für jedes Gerät!“

Geräte auf dem neuesten Stand halten
„Suchen Sie regelmäßig nach Firmware- und Software-Updates für Ihre IoT-Geräte und installieren Sie diese!“ Diese Updates enthielten häufig Sicherheitspatches für bekannte Schwachstellen.

Netzwerke segmentieren
„Verwenden Sie getrennte Netzwerke für IoT-Geräte und kritische Systeme!“ Dies könne Angreifer daran hindern, sich seitlich durch Netzwerke zu bewegen, wenn sie ein IoT-Gerät kompromittieren.

Überwachung auf Anomalien
„Nutzen Sie Tools zur Sicherheitsüberwachung, um ungewöhnliche Verkehrsmuster oder Verhaltensweisen in Ihren IoT-Geräten und -Netzwerken zu erkennen!“ Dies könne helfen, potenzielle Angriffe schnell zu erkennen und darauf zu reagieren.

Sensibilisierung der Nutzer
„Informieren Sie Ihre Mitarbeiter und Familienmitglieder über die Risiken von IoT-Angriffen und wie sie potenzielle Social-Engineering-Versuche erkennen können. Ermutigen Sie sie, verdächtige E-Mails oder Nachrichten zu melden. Bringen Sie ihnen insbesondere bei, auf Sicherheitsfunktionen zu achten, wie z.B. die Möglichkeit, Passwörter zu ändern und Geräte vor dem Kauf einfach zu aktualisieren oder zu patchen!“

Zukunft der IoT-Sicherheit

Mit der zunehmenden Zahl von IoT-Geräten wachse auch die Bedrohung durch Cyber-Angriffe. Es sei von entscheidender Bedeutung, „dass die Gerätehersteller der Sicherheit bei der Konzeption und Entwicklung von IoT-Produkten Priorität einräumen“. Während einige Länder wie Großbritannien bereits Gesetze zum Schutz der Verbraucher erlassen hätten, „indem sie Mindestsicherheitsstandards vorschreiben“, müsse auf globaler Ebene noch mehr getan werden.

Dr. Krämer hebt hervor: „Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern. Ein wesentlicher Bestandteil dieser Bemühungen ist die Durchführung von Security-Awareness-Schulungen, die dazu beitragen, das Sicherheitsbewusstsein auf allen Ebenen zu stärken.“ Durch solche Schulungen könnten alle Beteiligten besser über potenzielle Bedrohungen informiert werden und lernen, wie sie sicherheitsbewusste Entscheidungen treffen.

Weitere Informationen zum Thema:

GOV.UK, 29.04.2024
New laws to protect consumers from cyber criminals come into force in the UK

datensicherheit.de, 23.03.2024
IoT-Sicherheit: Keyfactor betont drei Schlüsselaspekte für den Schutz vernetzter Geräte / Keyfactor warnt: Mit dem enormen Potenzial der IoT-Technologie gehen auch signifikante Risiken einher

datensicherheit.de, 31.01.2024
Internet der Dinge: IoT-Sicherheit massiv bedroht / Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

[datensicherheit.de, 23.03.2024] Die Bedeutung des sogenannten „Internet der Dinge (und Dienste)“ (im Englischen als IoT abgekürzt) wächst erkennbar. In der Entwicklung von IoT-Geräten hat sich laut Ellen Böhm, „SVP, IoT Strategie & Betrieb“ bei Keyfactor, seit der Einführung des ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 einiges getan. Die Anbindung von Geräten an das Internet und andere Netzwerke habe eine transformative Ära eingeläutet und Innovationen in vielen Bereichen angetrieben. Doch mit dem enormen Potenzial dieser Technologien gingen auch „signifikante Risiken“ einher.

Foto: Keyfactor

Ellen Böhm, SVP, IoT Strategie & Betrieb“ bei Keyfactor: Sicherheit von IoT-Geräten erfordert umfassendes Verständnis, strategische Planung und Umsetzung effektiver Sicherheitsmaßnahmen!

Keyfactor empfiehlt grundsätzlich robuste IT-Sicherheitsstrategien

„Durch die zunehmende Vernetzung und Integration von IoT in die Geschäftsprozesse von Unternehmen entstehen Sicherheitsbedrohungen, die proaktiv angegangen werden müssen“, erläutert Böhm. Jedes Gerät berge die potenzielle Gefahr, zu einem Ausfall zugehöriger Abläufe zu führen.

Insbesondere bei geschäftskritischen Prozessen sei das Risiko groß, da beispielsweise Ausfälle in der Produktion hohe finanzielle Schäden und Gewinnverluste zur Folge haben könnten. Sie führt aus: „Um die von IoT-Umgebungen ausgehenden Nachteile und Risiken zu mitigieren, bedarf es robuster Sicherheitsstrategien, die im Folgenden aufgezählt und erläutert werden.“

1. Keyfactor-Tipp: Verhindern von Zertifikatsausfällen

Digitale Zertifikate bildeten das Rückgrat der Sicherheit und Funktionsfähigkeit von IoT-Geräten. Sie ermöglichten es den Geräten, die Authentizität von Netzwerksignalen zu verifizieren und sichere Verbindungen aufzubauen. Die große Mehrheit der Unternehmen scheine jedoch mit dem Management dieser Zertifikate überfordert zu sein:

„Laut einer Studie von Keyfactor haben 98 Prozent der befragten Organisationen in den letzten zwölf Monaten mindestens einen zertifikatsbezogenen Ausfall erlebt, der durchschnittlich zu Verlusten von über zwei Millionen Euro führte.“ Die Lösung liege in einer zentralisierten und automatisierten Verwaltung von Zertifikaten, um deren gesamten Lebenszyklus effektiv zu managen und Ausfallzeiten zu minimieren.

2. Keyfactor-Tipp: Definieren von Sicherheitsstandards für IoT

Eine der größten Herausforderungen für Organisationen sei das Fehlen eines klaren Verständnisses darüber, „was IoT-Sicherheit für ihre spezifische Umgebung erfordert“. Der Bericht zeige, dass 56 Prozent der Organisationen von sich selbst behaupteten, nicht über das notwendige Bewusstsein und die Expertise zu verfügen, um sich effektiv gegen IoT-Angriffe zu schützen.

Um diese Lücke zu schließen, müssten Unternehmen eine tiefgreifende Analyse ihrer IoT-Landschaft vornehmen. „Dazu gehört das Verständnis darüber, wie viele und welche Arten von Geräten verwendet werden, wie sie vernetzt sind und welche Sicherheitsrisiken damit verbunden sein könnten.“ Auf dieser Basis könnten dann spezifische Sicherheitsrichtlinien entwickelt und implementiert werden, welche sowohl die einzigartigen Anforderungen des Unternehmens als auch die Besonderheiten der eingesetzten IoT-Geräte berücksichtigten.

3. Keyfactor-Tipp: Proaktiver Umgang mit Regulatorien

„Sowohl in der Europäischen Union als auch in den Vereinigten Staaten werden gesetzliche Rahmenbedingungen geschaffen, um die Sicherheit digitaler und vernetzter Geräte zu erhöhen.“ Richtlinien wie NIS-2 sollten künftig von Grund auf sicher gestaltete Technologien fördern.

Angesichts der Entwicklungen im legislativen Bereich sei es für Organisationen unerlässlich, die aktuelle Gesetzgebung aktiv zu verfolgen und die eigenen Sicherheitsstrategien entsprechend anzupassen. Nur so könne die Sicherheit von IoT-Umgebungen gestärkt und die Einhaltung von Compliance-Kriterien gewährleistet werden.

Fazit zu Keyfactor-Handlungsempfehlungen für effektiven Schutz der IoT-Geräte

Die Sicherheit von IoT-Geräten stelle eine komplexe Herausforderung dar, welche ein umfassendes Verständnis, strategische Planung und die Umsetzung effektiver Sicherheitsmaßnahmen erfordere. Organisationen seien darauf angewiesen, ihre IoT-Sicherheitsstrategien zu optimieren.

Böhm gibt abschließend zu bedenken: „Zu den wichtigsten Handlungsempfehlungen gehören die Optimierung des Zertifikatsmanagements, die Definition klarer Sicherheitsrichtlinien und die Einhaltung der relevanten gesetzlichen Rahmenbedingungen. In einer Welt, die zunehmend vernetzt ist, müssen nachhaltige Security-Strategien im Fokus stehen, um eine sichere und von digitalem Vertrauen geprägte Zukunft zu gewährleisten.“

Weitere Informationen zum Thema:

KEYFACTOR
Digital Trust in a Connected World: Navigating the State of IT Security

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

[datensicherheit.de, 07.12.2023] Eines haben alle kommenden IT-Sicherheitsgesetze – allen voran der EU Cyber Resilience Act (CRA-E) – gemeinsam: Künftig muss eine Software Bill of Materials (SBOM) nachweisen, welche Softwarekomponenten in einem Gerät enthalten sind. „Zahlreiche Cyber-Sicherheitsvorfälle der letzten Jahre zeigen, dass von unerkannt installierter Gerätesoftware bzw. Firmware erhebliche Gefahren ausgehen. Viele dieser Schwachstellen sind auf unausgereifte Sicherheitspraktiken zurückzuführen. Eine Software Bill of Materials macht die Komponenten mit Schwachstellen sichtbar“, sagt Jan Wendenburg, CEO von ONEKEY. Das auf IoT und OT-Cybersicherheit spezialisierte Unternehmen betreibt eine als SaaS-Dienst nutzbare Sicherheitsplattform, die eine automatisierte Prüfung und Risikobewertung der Software von Geräten vornimmt und ebenso automatisiert eine SBOM, d.h. Software-Stückliste, erstellt. Mit einem eigenen Sicherheitsteam, bestehend aus anerkannten Experten und White Hackern, konnte ONEKEY in den letzten Jahren durch eigene Recherchen auf schwerwiegende Sicherheitslücken hinweisen, die in der Folge geschlossen werden konnten. „Dies unterstreicht den dringenden Bedarf an Software-Stücklisten (SBOMs), die für transparente Software-Lieferketten und Verantwortlichkeit in der Softwareproduktion und -distribution sorgen. Richtlinien dazu gibt es bereits jetzt– und mit der endgültigen Verabschiedung des EU Cyber Resilience Act werden SBOMs in Kürze auch gesetzlichverpflichtend“, so Wendenburg weiter.

Umfassendes Whitepaper bietet Leitfaden und technische Unterstützung

Das europäische Unternehmen mit Hauptsitz in Deutschland, das für seine Verdienste rund um die Cybersicherheit von IoT und OT Geräten mehrfach ausgezeichnet wurde, hat zu diesem Thema ein umfassendes Whitepaper in englischer Sprache mit dem Titel „Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“ erstellt. „Die Erstellung und Pflege von SBOMs ist ein wesentlicher Bestandteil der gesamten Software-Lieferkette – nicht nur für Hersteller, die Komponenten zukaufen, sondern auch für Anlagen mit digitalen Elementen, die bereits seit Jahren im Einsatz sind. Immer wieder finden unsere und andere Cybersecurity Experten Zero Day-Schwachstellen in IoT oder OT-Technologie, die jahrelang völlig unter dem Radar geflogen sind“, warnt Jan Wendenburg. Das Whitepaper beleuchtet sämtliche Aspekte wie Form und Aufbau, rechtliche Anforderungen, standardisierte Formate von SBOMs und die besonderen Herausforderungen bei IoT und OT-Geräten, die eine Vielzahl versteckter Softwaremodule enthalten und zudem häufig Software aus Open Source Quellen enthalten, und bietet damit einen Leitfaden für ein effektives und effizientes SBOM-Management.

BSI bestätigt SBOM als zentrale Sicherheitskomponente

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist mit der Technischen Richtlinie TR-03183 auf die Bedeutung von SBOMs hin. Diese sollen laut BSI bei jedem Softwarehersteller und -anbieter vorhanden sein, um die Komplexität der eingesetzten Programme transparent darstellen zu können. Dieses Wissen sei für Managementprozesse wie den Produktlebenszyklus und insbesondere für einen durchgängigen IoT/ OT Cybersicherheitsprozess unabdingbar. Die Software Bill of Materials dient als transparente Dokumentation der Software-Lieferkette.

„Die Erstellung und laufende Pflege der SBOM muss zum Teil des Workflows werden – sowohl in der Entwicklung (CI/CD Pipeline) als auch im Vertrieb und im laufenden Betrieb (PSIRT Teams) von IoT und OT-Technologie. Die automatische Erstellung der SBOM hilft sowohl bei Audits, aber vor allem auch im Krisenfall, wenn Nachweispflichten entstehen“, erklärt Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 29.11.2023
Kubernetes mit KBOM sicherer machen

ONEKEY
„Software Supply Chain Regulations: How to Achieve Effective & Efficient SBOM Management“

[datensicherheit.de, 03.10.2023] Der „EU Cyber Resilience Act“ (CRA-E) wirft seinen Schatten voraus: Je näher dessen Inkrafttreten rückt, desto mehr Fragen stellen sich offensichtlich für Hersteller und Inverkehrbringer sogenannter Smart Devices. Künftig haften Unternehmen demnach für das Management von Sicherheitsrisiken – dafür sehe dieses neue EU-Gesetz drastische Strafzahlungen vor, welche bereits bei Fristversäumnissen fällig werden könnten.

Cyber Resilience Act betrifft alle Anbieter elektronischer Produkte

Zum insgesamt achten Mal findet nach Angaben der Veranstalter am 28. November 2023 die Fachkonferenz „CYBICS“ statt – „zum zweiten Mal in diesem Jahr widmet sie sich ausschließlich dem Thema ,Cyber Resilienz’ sowie dem CRA-E“. Unter dem Motto „Compliance, Sicherheit und Best Practices: der Cyber Resilience Act“ werde die Konferenz unter der Federführung der isits AG International School of IT Security gemeinsam mit Partnern wie ONEKEY, Vertretern der Europäischen Kommission, Experten der Zertifizierungsstelle Bureau Veritas und von CERT@VDE in Frankfurt am Main veranstaltet.

Die Keynote der „CYBICS“ werde von einem „Policy Officer“ der Europäischen Kommission gehalten, welcher als Vertreter der Brüsseler Behörden über den aktuellen Stand des CRA-E informieren möge. Eingeladen seien alle Vertreter aus Wirtschaft und Industrie, „da zukünftig auch alle Unternehmen die Regeln und Anforderungen des CRA-E bei Herstellung und Vermarktung von elektronischen Produkten beachten müssen“.

Cyber Resilience Act überträgt Verantwortung von Nutzern auf Hersteller

Erstmals werde mit dem „Cyber Resilience Act“ die Verantwortung für den sicheren Betrieb von Geräten mit digitalen Elementen – von Massenartikeln wie Smartwatches über Router, Zutrittskontrollsystemen bis hin zu Druckern und industriellen Steuerungssystemen – von den Nutzern auf die Hersteller übertragen. Auch in Zukunft würden die Betreiber von Netzen für deren Sicherheit verantwortlich sein.

Hersteller und Inverkehrbringer von Geräten müssen jedoch bereits bei der Entwicklung und Vermarktung künftig deutlich höhere Auflagen erfüllen. „Das betrifft nicht nur die IT-Sicherheit selbst, sondern auch Prozesse und Meldepflichten“, berichtet Jan Wendenburg, „CEO“ des „CYBICS“-Mitveranstalters ONEKEY. Derzeit sei die Verunsicherung bei den Unternehmen sehr groß, da neben der EU-Gesetzgebung vor allem die Abstimmung mit den lokalen Behörden noch ausstehe. Dies dürfe aber keinesfalls zu Verzögerungen führen – denn der CRA-E werde nach seiner endgültigen Verabschiedung unmittelbar in allen EU-Ländern wirksam, betont Wendenburg.

Neue EU-Gesetzgebung rund um Cyber Resilience Act sorgt für Aufmerksamkeit der Industrie

Mit diesem gewaltigen Paradigmenwechsel in den gesetzlichen Anforderungen gehe eine wachsende Unsicherheit einher. Der CRA-E bietet laut Wendenburg in vielen Bereichen Konfliktpotential – alleine schon bei Open-Source-Software, welche auch in Geräten und deren Firmware zum Einsatz komme.

„Kaum ein Thema hat in den letzten zehn Jahren so viel Resonanz und Diskussionen bei Herstellern entfaltet wie die neue EU-Gesetzgebung rund um den ,Cyber Resilience Act.‘ Wir als Veranstalter begegnen dem Bedarf mit einer zweiten ,CYBICS’-Fachkonferenz noch in diesem Jahr, um den Herstellern konkrete Leitlinien und Hilfestellungen anbieten zu können, die schon jetzt auf die Praxis in den Unternehmen ausgerichtet sind“, erläutert Birgitte Baardseth von der isits AG International School of IT Security.

Weitere Informationen zur kostenpflichtigen Veranstaltung:

cybics
Early Bird Tickets bis 13.10.2023

[datensicherheit.de, 04.05.2023] Anfang März 2023 hat nach Angaben von KnowBe4 der E-Mail-Security-Anbieter Inky einen Blog-Beitrag über eine Phishing-Kampagne veröffentlicht, welche das IoT-System Amazon-„Ring“ als Falle nutzte. Das Türklingel-Sicherheitssystem werde normalerweise von Verbrauchern dafür genutzt, um die eigene Haustür via Smartphone zu überwachen. „Dieses IoT-System ist nun selbst zu einer möglichen Schwachstelle für seine Nutzer geworden“, berichtet Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4, in seiner aktuellen Stellungnahme und warnt: „In einer angeblich vom Anbieter versendeten E-Mail versteckte sich eine Phishing-Kampagne, mit dem Ziel, an die Kreditkarteninformationen und Sozialversicherungsnummer seiner Opfer zu gelangen und diese dann zu missbrauchen.“

Foto: KnowBe4

Dr. Martin J. Krämer: Per E-Mail gesendete Links und HTML-Dateien nicht voreilig öffnen!

Phishing-E-Mail droht Betroffenen, dass sie vom IoT-Service getrennt werden

In dieser Phishing-E-Mail würden die Betroffenen darüber informiert, „dass sie von ihrem Service getrennt werden und ihr Abonnement verlängern müssen“. Sie seien aufgefordert worden, eine HTML-Datei zu öffnen, „welche zu einer vom Angreifer gehosteten Website führt, die die Anbieter-Website nachahmt“.

Dr. Krämer erläutert: „Nachdem der Nutzer sich dort angemeldet hat, wird er dazu aufgefordert seine Kreditkarteninformation und Sozialversicherungsnummer anzugeben, um das Abonnement zu erneuern.“ Danach folge eine weitere Weiterleitung – diesmal zur echten Website, während die eingegebenen Daten ihren Weg zum Server des Angreifers fänden und dieser sich in die geöffnete Session einklinke.

Dass IoT-Systeme von Cyber-Kriminellen kompromittiert werden, ist nicht neu

„Wenn diese Schritte erfolgt sind, kann das Opfer nichts mehr unternehmen, um das Entblößen der eigenen Daten rückgängig zu machen“, betont Dr. Krämer. Die zuständigen Behörden und im Falle der Weitergabe der eigenen Kreditkarteninformationen auch die eigene Bank sollten umgehend informiert werden, um den Fall zu melden und den finanziellen Schaden zu begrenzen. Dass IoT-Systeme von Cyber-Kriminellen kompromittiert werden, sei nicht neu, genauso wenig, dass ihre Rechenkapazitäten für das Versenden von Phishing-E-Mails genutzt würden. Angreifer suchten immer wieder nach neuen Wegen, um an Bankinformationen zu gelangen.

Letztlich könnten diese Phishing-Versuche jedoch mit etwas Übung und im besten Falle kontinuierlicher Schulungen erkannt werden. „Zuerst einmal sind es Rechtschreibfehler, die in einer vermeintlich offiziellen E-Mail, wie von der Bank, oder in diesem Fall von dem Anbieter eines Geräts, sofort auf eine mögliche Phishing-Bedrohung hindeuten.“ Schließlich rät auch Dr. Krämer, dass Links und HTML-Dateien, die per E-Mail gesendet wurden, nicht zu voreilig geöffnet werden sollten.

Weitere Informationen zum Thema:

INKY Email Security Blog, Bukar Alibe, März 2023
Fresh Phish: Ring Customers Find Themselves at the Front Door of a Data Harvesting Scheme

[datensicherheit.de, 04.01.2023] Ob ein Smartphone, ein Computer, ein Tablet, eine Kaffeemaschine, ein Staubsauger oder ein IoT-Gerät zu Weihnachten verschenkt wurde – bevor solche Geräte in Betrieb genommen werden, sollten einige wichtige Dinge beachtet werden. Die Check Point® Software Technologies Ltd. weist aus aktuellem Anlass auf die Verwundbarkeit dieser „Devices“ hin, um Verbraucher, aber auch Unternehmen vor Cyber-Gefahren zu schützen.

Foto: CHECK POINT

Lothar Geuenich: IoT-Geräte bergen zusätzliche Risiken!

Das Internet spielt in unserem Leben eine immer wichtigere Rolle

Die ungebrochenen Trends zum sogenannten Home-Office und immer mehr intelligenten Geräten im Haushalt ermöglichten Cyber-Kriminellen „über seitliche Bewegungen von Netzwerk zu Netzwerk zu springen“. Darüber hinaus hätten sie ihren Schwerpunkt vom Hacken einzelner Geräte auf das Hacken von Anwendungen verlegt, welche IoT-Gerätenetzwerke steuern. Dies biete ihnen noch mehr Möglichkeiten, auf sensible Daten zuzugreifen. In nur wenigen Jahrzehnten seien die IoT-Daten exponentiell gewachsen, und die Zahlen würden weiter steigen: Nach Schätzungen von IDC könnten IoT-Geräte bis 2025 ein globales Datenaufkommen von mehr als 80 Zettabyte (oder 80 Billionen Gigabyte) erreichen.

Lothar Geuenich, „Regional Sales VP Central Europe“ bei bei der Check Point Software Technologies GmbH, führt kommentierend aus: „Moderne Technologie spielt in unserem Leben eine immer wichtigere Rolle. So haben wir zum Beispiel digitale Geldbörsen auf unseren Mobiltelefonen und verwenden Tablets für unsere Arbeit anstelle von Computern. Das führt dazu, dass diese Geräte über zahlreiche sensible persönliche und arbeitsbezogene Informationen verfügen. Sie sind daher ein verlockendes Ziel für Kriminelle.“

Verstehen, welche Bedrohungen im Internet lauern und wie man im Falle eines Angriffs reagiert!

IoT-Geräte bergen demnach zusätzliche Risiken. Mit intelligentem Spielzeug könnten Cyber-Kriminelle Kinder belauschen, Webcams Nutzer beim Umziehen aufzeichnen und Sprachassistenten das Zuhause ausspionieren, warnt Geuenich. „Cyber-Kriminelle stellen Fallen und versuchen, jede Gelegenheit auszunutzen, um Neulinge mit verschiedenen Weihnachtsbetrügereien ins Visier zu nehmen. Deshalb ist es wichtig, dass alles von Anfang an richtig abgesichert wird. Und wenn ein Kind ein neues Gerät bekommt, sollten die Eltern es sorgfältig über die Vorteile und Risiken aufklären und helfen, das Gerät abzusichern. Sie müssen dafür verstehen, welche Bedrohungen im Internet lauern und wie man im Falle eines Angriffs reagiert. Außerdem sollten Erwachsene mit ihren Kindern auch über die verschiedenen Optionen der elterlichen Kontrolle sprechen, die nicht dazu gedacht sind, sie auszuspionieren, sondern um den Dialog über Bedrohungen zu fördern und klare Grenzen zu setzen.“

Die Notwendigkeit für IoT-Hersteller, sich auf den Schutz intelligenter Geräte vor Angriffen zu konzentrieren, habe an Bedeutung gewonnen. Sie träfen bereits bei der Entwicklung der Software und des Geräts selbst starke Sicherheitsvorkehrungen, anstatt die Sicherheit erst später als nachträgliche Maßnahme hinzuzufügen. Aber auch die Nutzer müssten sich der Sicherheits- und Datenschutzrisiken bei der Nutzung ihrer Geräte bewusst sein.

Absicherung verschiedener internetfähiger Geräte

Die folgenden 13 Tipps sollen laut Geuenich bei der Absicherung der verschiedenen Geräte helfen, um sich gegen Cyber-Angriffe zu wappnen:

1. Geräte sperren!
Jedes Gerät sollte immer mit einem Passwort, einem Muster oder vielleicht einem Fingerabdruck oder sogar einer Gesichtserkennung gesperrt werden. Wenn ein Gerät verloren geht oder unbeaufsichtigt gelassen wird, kann dann niemand darauf zugreifen.

2. Die Fernsuche aktivieren!
Die meisten Geräte bieten eine Fernortungsfunktion, mit der ein Gerät gefunden werden kann, wenn es gestohlen wurde oder verloren gegangen ist. Man kann es aber auch aus der Ferne sperren und löschen, damit niemand Unbefugtes auf die dort gespeicherten Daten zugreifen kann.

3. Backup der Daten einschalten!
Nutzer sollten die Funktion für ein Backup ihrer Daten einschalten, damit sie ihre Informationen beispielsweise im Falle eines Ransomware-Angriffs wiederherstellen können.

4. Standard-Passwörter ändern!
Man sollte immer die Standardkennwörter ändern, die auf dem Gerät voreingestellt sind. Standardkennwörter sind oft öffentlich bekannt und helfen beim Produktsupport. Außerdem sind IoT-Geräte – wie intelligente Kameras, Thermostate, Babyphone oder Router – ein lohnendes Ziel für Cyber-Kriminelle. Geräte mit Standardkennwörtern können leicht gefunden und online ausgenutzt werden. Niemand möchte, dass sich jemand Fremdes mit den Geräten im eigenen Haus verbindet. Solche Geräte können dann auch Teil eines Botnetzes wie „Mirai“ werden und für Cyber-Angriffe auf der ganzen Welt genutzt werden.

5. Tipps zum Passwort setzen:
Es sollten immer Passwörter gesetzt werden, die schwer zu erraten, aber leicht zu merken sind. Wie bei jedem anderen Gerät, das mit einem Netzwerk verbunden ist, empfiehlt es sich, immer so viele Barrieren wie möglich aktiv zu halten und eindeutige Passwörter zu verwenden, die aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen bestehen. Starke Passwörter müssen nicht komplex sein. Es genügt, ein Passwort zu haben, das andere nicht erraten können, dass sich aber vom Nutzer leicht merken lässt. Verschiedene Passwort-Manager können ebenfalls hilfreich sein.

6. Niemals Anmeldedaten weitergeben!
Nutzer dürfen niemals die Anmeldedaten weitergeben und niemals dieselben Passwörter verwenden. Die meisten Menschen verwenden dieselben Benutzernamen und Passwörter für verschiedene Konten, was sie zu einem häufigen Ziel für Phishing-Betrügereien macht. Denn durch den Diebstahl eines einzigen Kennworts kann eine Reihe von Diensten kompromittiert werden. Phishing-E-Mails und -Nachrichten geben sich als bekannte Marken aus, z.B. als Kundensupport-Spezialisten oder sogar als Arbeitgeber. Deshalb sollten Anmeldedaten niemals per E-Mail oder Textnachricht weitergegeben werden.

7. Multi-Faktor-Authentifizierung (MFA) verwenden!
Die Gefahr eines möglichen Angriffs lässt sich mit der Verwendung von MFA reduzieren. Wenn sich ein Nutzer von einem neuen Gerät aus beim Konto anmeldet, ist eine Multi-Faktor-Authentifizierung erforderlich, um sicherzustellen, dass keine andere Person auf diese Dienste zugreifen kann. Sollte jemand dennoch versuchen, sich bei den Konten anzumelden, wird der Nutzer sofort benachrichtigt und kann entsprechend tätig werden.

8. Keine Updates verzögern!
Es sollte auf jedem Gerät immer die neueste Softwareversion aufgespielt sein. In neuen Versionen sind Fehler behoben und Schwachstellen gepatcht. Die Verwendung veralteter Software kann es Eindringlingen ermöglichen, auf persönlichen Daten zuzugreifen.

9. Datenschutzeinstellungen überprüfen!
Intelligente Geräte wie Fitnessarmbänder, intelligente Haushaltsgeräte oder sogar intelligentes Spielzeug, Drohnen und Sprachassistenten sammeln alle möglichen Informationen. Aus diesem Grund sollte immer sorgfältig geprüft werden, welche Datenschutzeinstellungen diese verwenden. Außerdem sollten Nutzer sicherstellen, dass sie nicht zu viel preisgeben. Alle Funktionen, die nicht gebraucht oder verwendet werden, sollten ausgeschaltet sein.

10. Keine Apps aus inoffiziellen Quellen und WebStores herunterladen!
Aber auch die offiziellen Apps werden gelegentlich von Malware infiltriert. Deshalb ist es wichtig, eine Sicherheitslösung zu verwenden, die Bedrohungen proaktiv findet und stoppt, bevor sie Schaden anrichten können.

11. Unnötige Apps entfernen!
Viele Geräte enthalten eine Reihe von vorinstallierten Apps. Schwachstellen in Apps können es Cyber-Kriminellen leicht machen, sie anzugreifen. Wenn Nutzer also Apps entfernen, die sie nicht verwenden und nicht wünschen, verringern sie das Risiko eines Angriffs. Außerdem fragen manche Apps nach persönlichen Daten, die sie weiter manipulieren können. Nutzer sollten nur Apps verwenden, denen sie vertrauen.

12. Automatische Wi-Fi/Bluetooth-Verbindungen ausschalten!
Standardmäßig kann ein Smartphone automatisch eine Verbindung zu einem verfügbaren Wi-Fi-Netzwerk oder „Bluetooth“-Gerät herstellen. Diese Funktion können Cyber-Kriminelle ausnutzen, um Zugriff auf das Gerät zu erhalten. Deshalb sollte die Funktion ausgeschaltet sein. Kostenloses WLAN ist zwar attraktiv, kann aber auch ein ernsthaftes Sicherheitsrisiko darstellen. Sicherheitsexperten sehen oft Hacker in Flughäfen oder Cafés, die darauf warten, dass sich jemand in ein öffentliches Wi-Fi-Netzwerk einloggt. Wenn möglich, sollten Nutzer ungesicherte Wi-Fi-Netzwerke ganz vermeiden. Und wenn sie diese doch benutzen müssen, sollten sie zumindest keine Verbindung zu persönlichen Konten oder sensiblen Daten herstellen.

13. Cyber-Kriminalität verstehen!
Um sich zu schützen, ist es wichtig, die Taktiken von Kriminellen und die mit Cyber-Angriffen verbundenen Risiken zu verstehen. Die modernen Bedrohungen und Betrügereien sind jedoch so ausgeklügelt, dass viele Menschen sie wahrscheinlich gar nicht erkennen.

Deshalb sei es auch wichtig, fortschrittliche Sicherheitslösungen und Anti-Ransomware zu verwenden. Verbraucher sollten auch ihre mobilen Geräte absichern, denn auf dem Telefon befinden sich viele sensible Informationen. „Wenn ein Angriff erfolgreich ist, könnten diese Informationen auch alle Bekannten und Verwandten in Gefahr bringen.“ So schütze „Check Point Harmony Mobile“ beispielsweise mobile Geräte von Unternehmen vor Cyber-Angriffen und biete Echtzeitschutz selbst vor den fortschrittlichsten Bedrohungen. Sicherheitssoftware wie „ZoneAlarm Mobile Security“ schütze auch private mobile Geräte vor Ransomware, Daten- und Anmeldediebstahl und gefährlichen Wi-Fi-Netzwerken.

Weitere Informationen zum Thema:

datensicherheit.de, 07.03.2021
Sicherheitslücken in IoT-Geräten bieten Hackern Vollzugriff / IoT-Devices als Trojanische Pferde – Gefahr durch von Home-Office erhöht

datensicherheit.de, 26.08.2020
Die Top 5 Mythen der IoT-Sicherheit / Palo Alto Networks rät, sich in der IoT-Welt auf das Netzwerk und die gesamte Datenumgebung zu konzentrieren, anstatt auf das spezifische Gerät

datensicherheit.de, 19.08.2020
IoT-Sicherheit: 7 zentrale Erkenntnisse / Palo Alto Networks betont Bedeutung Maschinellen Lernens für verbesserte IoT-Sicherheit