Diese Malware mit dem Namen „BadBox“ konnte unbemerkt Daten abgreifen und weitere Schadsoftware nachladen. Die Schadsoftware ermöglichte den Angreifern sogar Zugriff auf das Netzwerk, in dem sich entsprechend infizierte Geräte befanden.
Mit anderen Worten: Ein unscheinbares Gerät auf dem Schreibtisch verwandelte sich in ein Einfallstor für Cyberkriminelle.
Vielfältige IoT-Geräte: vom Drucker bis zur Kamera
Der Begriff „Internet of Things (IoT)“ – auf Deutsch „Internet der Dinge“ – beschreibt ein Netzwerk aus physischen Geräten, die mit dem Internet oder einem lokalen Netzwerk verbunden sind.
Im Unternehmenskontext denkt man dabei häufig zuerst an moderne Sensorsysteme oder vernetzte Maschinen in der Produktion.
Doch auch alltägliche Bürogeräte können dazuzählen: Netzwerkdrucker, Multifunktionsgeräte (Drucker/Scanner/Kopierer), Smart-TVs in Besprechungsräumen, digitale Videoüberwachungssysteme oder Alarmanlagen.
All diese Geräte erfüllen ihre eigentliche Aufgabe – können jedoch gleichzeitig ein potenzielles Sicherheitsrisiko darstellen: Sie bieten mögliche Einstiegspunkte für Angreifer oder können sensible Daten ungewollt preisgeben.
Schatten-IoT: private Geräte im Firmennetz
Manchmal werden auch private IoT-Geräte ohne Wissen der IT-Verantwortlichen mit dem Firmennetzwerk verbunden.
Der Fachbegriff dafür lautet „Shadow IoT“ oder auf Deutsch „Schatten-IoT“ – damit sind entsprechende IoT-Geräte gemeint, die ohne Wissen und Zustimmung der IT-Abteilung im Unternehmensnetz betrieben werden.
Häufig handelt es sich um unscheinbare Helferlein, die Mitarbeiter auf eigene Faust installieren: etwa eine private WLAN-Steckdose, um die Bürolampe per App zu aktivieren, oder ein sprachgesteuerter Assistent (à la Alexa oder Google Home) fürs Büro, ggf. auch einfach nur, um Musik zu hören.
Die Folge: Es entstehen blinde Flecken in der IT-Sicherheit. Jedes dieser Schattengeräte stellt ein potenzielles Einfallstor dar: Weder werden sie vom IT-Team gewartet, noch erhalten sie regelmäßige Updates oder Sicherheitsprüfungen.
Sicherheitslücken durch IoT-Geräte
Angreifer können ungepatchte Schwachstellen solcher Geräte ausnutzen, um ins interne Netz vorzudringen oder den Betrieb zu stören.
Je nach Einsatzbereich kann ein kompromittiertes IoT-Gerät gravierende Folgen haben – von Produktionsausfällen bis hin zu potenziell lebensbedrohlichen Situationen, etwa wenn in der industriellen Fertigung oder im Gesundheitswesen ein vernetztes System manipuliert wird.
Aber auch falls IoT-Geräte nicht mit dem Unternehmensnetzwerk verbunden sind, können diese eine Gefahr darstellen.
Ein extremes Beispiel für diese Art von Risiko lieferte das Militär: So verriet ein Soldat unwissentlich den Standort eines geheimen Stützpunkts, weil seine Fitness-App die Joggingstrecke auf einer öffentlichen Onlinekarte veröffentlichte.
Dieser Vorfall verdeutlicht, dass vernetzte Geräte – vom Fitnesstracker bis zur Überwachungskamera – immer auch Informationen preisgeben können, die besser vertraulich bleiben.
Weltweit sichtbar: IoT-Geräte im offenen Internet
Ein weiteres Problem mit vielen IoT-Geräten ist die oft fehlende Absicherung nach außen. Zahlreiche smarte Geräte sind über das Internet von jedermann erreichbar, sei es absichtlich – um Fernzugriff zu ermöglichen – oder durch unbedachte Voreinstellungen oder eine fehlerhafte Konfiguration.
Die spezielle Suchmaschine Shodan (https://shoadan.io) macht dieses Ausmaß eindrucksvoll deutlich.
Anders als Google durchforstet Shodan nicht Webseiten, sondern scannt nach online erreichbaren Geräten wie Kameras, Steuerungen oder anderen IoT-Systemen.
Dabei zeigt sich: Es ist verblüffend, welche Dinge ungeschützt im Netz gefunden werden können.
Sicherheitsforscher entdeckten über Shodan etwa frei zugängliche Steuerungssysteme für Ampelanlagen, ungesicherte Überwachungskameras und sogar die Kontrollsoftware von Industrieanlagen wie Tankstellen oder Wasserwerken.
In manchen Fällen ließen sich solche Systeme direkt bedienen, da sie entweder gar keinen Passwortschutz hatten oder bekannte – voreingestellte – Zugangsdaten verwendet wurden.
Grundlegende Sicherheitstipps
- IoT-Geräte im Unternehmensnetzwerk nur mit Freigabe: IoT-Geräte sollten nur mit Freigabe durch die IT und jeweiligen Verantwortlichen mit dem Unternehmensnetzwerk verbunden werden.
- Standard-Passwörter ändern: Die ab Werk gesetzten Passwörter (z. B. „admin“/„1234”) sollten immer sofort durch sichere, einzigartige Kennwörter ersetzt werden. Nicht vergessen, die Passwörter sicher zu notieren, um den Zugriff auf das Gerät nicht zu verlieren!
- Regelmäßige Updates: Halten Sie die Firmware und Software Ihrer IoT-Geräte stets aktuell. Hersteller- Updates schließen oft bekannte Sicherheitslücken. Auch bei der Aktivierung der Update-Automatik sollte immer wieder eine manuelle Prüfung erfolgen, da die Update-Automatik durch Fehler auch ausfallen kann.
- Geräte und Zugriffe überwachen: Behalten Sie im Blick, welche Geräte mit Ihrem Netzwerk verbunden sind. Diesen Überblick ermöglichen teilweise auch Router für den Heimgebrauch. Deaktivieren Sie Funktionen, die nicht benötigt werden (etwa Fernzugriff), und entfernen Sie ungenutzte Geräte aus dem Netz.
- Netzwerksegmentierung: Trennen Sie IoT-Geräte möglichst vom Hauptnetz, etwa durch ein eigenes WLAN für smarte Geräte. So bleiben kritische Bereiche geschützt, falls ein IoT-Gerät kompromittiert wird.
- Security bereits beim Kauf bedenken: Informieren Sie sich vor der Anschaffung, ob der Hersteller Sicherheitsupdates anbietet und welche Schutzfunktionen das Gerät mitbringt. Ein vermeintliches Schnäppchen ohne Support kann sich im Nachhinein als teures Sicherheitsproblem erweisen.
Zusammenfassend sollte das Thema IoT-Sicherheit nicht auf die leichte Schulter genommen werden. Schlecht abgesicherte IoT-Geräte können schnell zur „schlecht abgesicherten Hintertüre“ werden und somit in das Blickfeld von Kriminellen geraten.
Mit einem gesunden Bewusstsein für die Risiken und ein paar grundlegenden Maßnahmen lassen sich jedoch viele Gefahren entschärfen – damit die smarten Helfer wirklich Helfer bleiben und nicht zum trojanischen Pferd für Angreifer werden.
