Egal ob in der Industrie oder im privaten Haushalt: Die Vernetzung durch smarte Sensoren und Aktoren schreitet voran. Bei allen Vorteilen und aller Faszination sogenannter IoT-Lösungen vergessen viele Nutzer aber oft, auf die Sicherheit zu achten. Das kann ein fataler Fehler sein. In Teil 11 unserer Serie „Sicherheit im Internet“ zeigen wir, warum IoT-Geräte besonders gefährlich für Cybersicherheit sind, und wie man die Gefahren verringern kann.
Aufmacher: Jakub Zerdzicki via Pexels
Das Internet der Dinge (IoT) erlebt einen Boom. Das Smart Home, in dem etwa intelligente Thermostate die Temperatur automatisch regeln, hat spätestens mit dem durch den Ukraine-Krieg ausgelösten Schub bei den Energiekosten eine deutliche Aufwertung erfahren. Medizin-Produkte, die Gesundheitsdaten wie Herzfrequenz, Blutdruck oder Schlafverhalten überwachen und zu einer zentralen Datenbank schicken, sind seit der Corona-Pandemie in den Alltag eingezogen.
Und auch im industriellen Bereich hilft vernetzte Technik, Produktionsabläufe zu optimieren und dabei Energie zu sparen. Hier spricht man auch vom „IIoT“ (Industrial IoT). Auch aus modernen Verkehrssystemen sind (I)IoT-Lösungen nicht mehr wegzudenken. Sensoren in Straßen liefern zum Beispiel Echtzeitinformationen über die Verfügbarkeit von Parkplätzen oder erheben Daten, mit deren Hilfe Staus umfahren werden können.
IoT ist für Verbraucher vor allem eines: bequem
Wie eine gemeinsame Studie des österreichischen Bundesministerium für Inneres (BMI) und des dortigen Kuratoriums für Verkehrssicherheit ergab, ist für zwei Drittel der Konsumenten der Hauptgrund für die Anschaffung von IoT-Systemen eine erhoffte Erleichterung des Alltags. Wobei der smarte Fernseher mit 70 Prozent das populärste digitale Tool ist, an zweiter Stelle rangieren mit 68 Prozent aber schon smarte Haushaltshilfen wie der vernetzte Saugroboter.
Was die Studie auch herausgefunden hat: Die Käufer scheinen kein allzu großes Augenmerk auf die Sicherheit von IoT-Geräten zu legen. Für sie stehen die innovativen Funktionen des Produkts im Vordergrund. Während immerhin noch zwei Drittel angeben, ein Passwort zu verwenden, um die Geräte vor unbefugtem Zugriff zu schützen, führt noch nicht mal die Hälfte der Nutzer regelmäßig Updates durch. Das liegt laut Aussage der Befragten auch daran, dass sie sich vom Handel und den Herstellern schlecht informiert fühlen. Das Updaten ist ihnen schlicht zu schwierig.
Industrie vernachlässigt oft Sicherheit bei IoT-Produkten
Doch es wäre ungerecht, nur den Kunden den Schwarzen Peter zuzuschieben: Viele der schicken Geräte werden schnell und billig entwickelt, ohne dabei allzu viel Wert auf Sicherheit zu legen. In der schnelllebigen Branche werden Sicherheits-Patches deshalb oft nur für einen sehr kurzen Zeitraum bereitgestellt – oder manchmal auch gar nicht. Wird die Software aber nur selten oder gar nicht gepatcht, bleiben Schwachstellen auch dann bestehen, wenn sie längst bekannt sind. Hacker haben also reichlich Zeit, ein Exploit zu entwickeln und sich eine erfolgversprechende Angriffsstrategie zurecht zu legen. Eine besonders große Gefahrenquelle bilden dabei NAS-Laufwerke, Smart-TVs und Media Player, die alle direkt ins häusliche Netzwerk eingebunden werden.
Es gibt noch ein weiteres Problem: IoT-Geräte sind von Haus aus auf minimalen Stromverbrauch zugeschnitten. Dadurch besitzen sie oft auch kaum überschüssige Speicherkapazitäten und Rechenleistung. Das kann fortgeschrittene Sicherheitsfunktionen oder wirksame Sicherheitsverbesserungen per Update bisweilen unmöglich machen. Sie bilden dann bereits ab Werk ein gefährliches Einfallstor für Cyberangriffe.
Das gilt noch mehr, wenn sich das vorgegebene Passwort nicht ändern lässt. Einige Hersteller programmieren diese nämlich fest ins System ein (Hard Codierung). Das spricht sich unter Cyberkriminellen schnell rum. Für entsprechende Geräte kursieren oft Listen, die dann einfach nur durchprobiert werden müssen.
Update-Probleme auch bei professionellem Einsatz
Noch komplizierter wird das Ganze bei professionellem beziehungsweise industriellem Einsatz von (I)IoT. Beispielsweise, wenn Agrar-Sensoren über viele Hektar Feld verteilt sind oder IoT-Geräte fest in Maschinen oder Gebäude eingebaut sind. In Industrieunternehmen können die Funktion der Geräte bisweilen auch nicht so einfach für ein Update unterbrochen werden. Dies könnte komplette Anlagen stilllegen und viel Geld kosten.
Und auch bei professionellen Geräten kann der Support durch die Hersteller plötzlich versiegen – dann nämlich, wenn die Produkte am Ende ihrer Lebenszeit angekommen sind. Das kann sich zu einem großen Problem auswachsen. In viele IT-Abteilungen laufen IoT-Geräte nämlich unter dem Radar: Weil sich diese Komponenten im Netzwerk nur schwierig katalogisieren lassen, ist bisweilen vollkommen unklar, welche von ihnen wo im Einsatz sind. Logischerweise können dann auch die Softwarestände beziehungsweise Updates nicht überwacht werden. Und das kann böse Konsequenzen haben: Immerhin bleiben manche der Geräte zehn Jahre und länger in Gebrauch – und haben dann ein hoffnungslos veraltetes Betriebssystem. Solche Komponenten locken Hacker besonders an, sie sind der Albtraum für alle IT-Sicherheitsexperten. In kritischen Bereichen der Industrie, etwa in der Chemie oder der Stromerzeugung können über unsichere IoT-Geräte Cyberangriffe gestartet werden, die schwerwiegende bis katastrophale Folgen auch für die Bevölkerung haben könnten.
Auch das Gesundheitswesen hat Nachholbedarf in Sachen Sicherheit
Als besonders kritisch gilt auch das Gesundheitswesen, wo IoT-Produkte schon fester Bestandteil vieler Therapien sind. Gerade hier scheint es noch einigen Nachholbedarf in Sachen Cybersicherheit zu geben. Laut dem von Palo Alto Networks 2020 erstellten IoT Threat Report laufen nur zwei Prozent des IoT-Datenverkehrs verschlüsselt ab. 72 Prozent der VLANs im Gesundheitswesen vermischen IT- und IoT-Ressourcen, sodass sich Schadsoftware von Computern auf ungeschützte IoT-Geräte übertragen kann und umgekehrt.
EU-Kommission will durch CRA Sicherheit verordnen
Es ist offensichtlich, dass auch die Hersteller gefordert sind, um die Sicherheit von IoT-Komponenten zu verbessern – vor allem auch bei Produkten für den privaten Verbraucher. „Leider ist die Stellschraube, um sich cybersicher aufzustellen, für Verbraucher selbst sehr klein. Sichere Passwörter und Firewalls helfen, aber letztlich liegt der Ball bei den Herstellern. Nur sie können ihre Geräte wirklich cybersicher gestalten und kennen Risiken und Schwachstellen ihrer Angebote“, sagt denn auch Katharina Korczok, Referentin im Team Digitales und Medien beim Bundesverband Verbraucherzentrale (VZBV).
Abhilfe bringen könnte allerdings der Cyber Resilience Act (CRA). Diese Verordnung der Europäischen Kommission soll erstmals verpflichtende Mindestanforderungen an die Cybersicherheit von vernetzten Geräten und digitalen Anwendungen festlegen. Die Geräte sollen demnach wenigstens mit sicheren Basiseinstellungen verkauft werden. Noch ist es aber nicht soweit: Die Verordnung wurde zwar Mitte März 2024 im EU-Parlament angenommen und soll nun in Kürze vom Europäischen Rat bestätigt werden. Nach dem Inkrafttreten haben Hersteller und Importeure dann aber nochmal bis zu 36 Monate Zeit, um sie umzusetzen.
Die Crux dabei: Die Entwicklung bleibt nicht stehen. Was heute als sicher gilt, kann morgen schon ein Sicherheitsrisiko darstellen. Der VZBV fordert deshalb eine Updatepflicht, die sich an der tatsächlichen Lebensdauer der Produkte orientiert. Produkte aus sensiblen Bereichen, wozu die Verbraucherschützer etwa Wearables, Sicherheitskameras und vor allem auch für Kinder bestimmte Produkte wie Babyphones zählen, sollen eine unabhängige Zertifizierung bekommen.
Verbraucher können und müssen sich selbst schützen
Bis dahin liegt es in der Zuständigkeit der Verbraucher, im Umgang mit den cleveren IoT-Produkten besondere Vorsicht walten zu lassen. Dabei hilft es ein paar grundsätzliche Ratschläge zu beachten:
- Lassen Sie sich bei der Einrichtung eines smarten IoT-Geräts gegebenenfalls von einem Profi helfen. Er kennt die notwendigen Sicherheitsmaßnahmen und weiß auch, wie man die Standard-Passwörter ändert.
- Richten Sie ein eigenes Netzwerk für IoT-Geräte ein. Damit wird der unbefugte Zugriff auf private Daten auf Ihrem Computer und anderen sensiblen vernetzten Geräten erschwert.
- Achten Sie beim Kauf dringend auf eine (längerfristige) Update-Möglichkeit, auch wenn solche Geräte möglicherweise ein bisschen mehr kosten. Regelmäßige Software-Updates sind die Grundvoraussetzung für eine sichere Nutzung von IoT-Geräten.
- Und wenn Sie trotzdem gehackt wurden: Unbedingt zur Polizei gehen. Dadurch können möglicherweise andere Nutzer frühzeitig vor Sicherheitslücken gewarnt und vor Angriffen geschützt werden.