IoT: Seiteneingänge zusperren

Anzeige

Beitrag teilen

IoT – das Internet der Dinge dehnt sich weiter aus. Dazu trägt nicht nur das Homeoffice bei. Smarte Hardware findet immer breitere Anwendungsmöglichkeiten. Damit wachsen aber auch Angriffsfläche und Risiko. Hersteller und Nutzer sind gleichermaßen gefragt, für mehr Sicherheit zu sorgen.

Die Gefahren des Internets der Dinge werden vielfältiger: Mitarbeiter greifen häufiger von daheim auf das Unternehmensnetz zu, während sie zugleich öfter privat smarte Geräte einsetzen. Dieser Trend setzt sich fort: Laut den Analysten von BERG Insight ist in Europa ein jährliches Wachstum von 20,2 Prozent zu erwarten. Damit steigen auch die Risiken. Die Telemetrie von Bitdefender hat für 2020 ermittelt, dass 23 Prozent der IoT-Sicherheitslücken bei NAS-Speichern zu finden waren, während 19 Prozent auf den Media Player, jeweils neun Prozent auf Smart-TV-Geräte sowie IP-Kameras und jeweils sechs Prozent auf Streaming-Geräte sowie Set-Top-Boxen entfielen.

Anzeige

Kunden sollten ihre Geräte ohne Bedenken nutzen können. Das zu gewährleisten, ist Aufgabe von mehreren Akteuren, unter anderem von Fachverbänden, Behörden und dem Gesetzgeber. Zunächst einmal sind aber Hersteller und Nutzer selbst gefragt.

Pflichtenheft für Anbieter: Sicherheitsstandards anheben

  • Sichere Lösungen entwickeln: Beim Thema Sicherheit für IoT-Applikationen ist noch Luft nach oben. Schon einfache Maßnahmen können Risiken erheblich senken. Häufig ergeben sich die Gefahren durch unbedachte Entwicklung und fehlende Transparenz. Die Entwickler richten Userkonten ein, die sie nicht dokumentieren und mit Standard-Passwörtern versehen. Anwender erfahren davon nichts, so dass sie diese Einstellungen nicht ändern, obwohl die Konten nach der Inbetriebnahme mit allen Funktionen aktiv bleiben. Häufig sind sie mit beträchtlichen Rechten ausgestattet. Daher versuchen Cyber-Kriminelle, solche Default-Passwörter zu entdecken und überprüfen Anwendungen systematisch auf entsprechende User. Aus diesem Grund müssen Hersteller alle Benutzerkonten angeben, denn nur so können Nutzer diesen individuelle Login-Daten zuweisen oder sie ganz entfernen. Daneben gibt es ein weiteres Schlupfloch: Wenn das Setup läuft, schicken Anwendungen häufig ungesicherte Anmeldedaten über das Netz. Auch dagegen könnten Hersteller etwas tun.
  • Sicheres Verhalten abverlangen: Hersteller können bewirken, dass Nutzer sorgsamer mit den eigenen Passwörtern umgehen. Sie können beim Setup festlegen, dass der Anwender die Zugangsdaten ändern muss. So sorgen sie erfolgreich auf eine einfache Art und Weise für mehr Schutz.
  • Aktualisierungen an den Mann bringen: Software sollte gerade bei IoT-Produkten immer up to date sein. Für Nutzer ist es aber oft zu umständlich, Updates anzustoßen oder sie denken nicht daran. Sie möchten Geräte und Software einfach nutzen, ohne sich mit Einstellungen beschäftigen zu müssen. Daher sollten Hersteller Updates automatisch einspielen und ihren Kunden so unliebsame Arbeitsschritt ersparen.
  • Standardbetriebssysteme einsetzen: Standardbetriebssysteme sollten bevorzugt genutzt werden. Bitdefender-Telemetrie-Daten belegen, dass proprietäre Betriebssysteme für 96 Prozent der gefundenen Sicherheitsmängel verantwortlich sind. Dabei werden sie nur bei 34 Prozent der Geräte eingesetzt.

Genauso entscheidend ist die Kooperation zwischen Hersteller und Sicherheitsexperten. Häufig ist dies auch der Fall. Aber leider haben einige Unternehmen nach wie vor noch keine Ansprechpartner für Sicherheit benannt. Dadurch können Schwachstellen nicht so schnell behoben werden.

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Hausaufgaben für private Nutzer und Unternehmen

Schlupflöcher in IoT-Geräten, Bitdefender Customer Threat Report 2020 (Bild: Bitdefender).

  • Mögliche Gefahren wahrnehmen: Auch der private Anwender kann im Visier von Cyber-Kriminellen stehen. Häufig glauben sie, dass das eigene Heimnetzwerk uninteressant für Angreifer ist. Doch sie täuschen sich. Eine luxuriöse Wohnung könnte so manchen Hacker animieren, die digitale Türklinke zu kontrollieren. Und auch wenn es die Angreifer gar nicht auf den Nutzer selbst abgesehen haben, nutzen sie doch Schlupflöcher in seiner Hardware, um über sein Netzwerk etwa DDoS-Angriffe zu starten. Andere Hacker möchten die Chance ergreifen, so in das Unternehmensnetz einzudringen – und das vielleicht sogar, ohne dass es der Anwender etwas merkt, da er nicht unmittelbar angegriffen wird.
  • Billige Produkte können einen teuer zu stehen kommen: Wer für wenig Geld einkauft, holt sich leichter ein größeres Risiko ins Haus. Was die Sicherheit angeht, sind No Brands nämlich oft mangelhaft ausgestattet. Außerdem haben sie oft keine Hotline. Falls doch, ist diese nur schwer erreichbar. Ein Markengerät eines etablierten Herstellers hält meist, was es verspricht und bietet einen besseren Support.
  • Das eigene IoT-Equipment aktualisieren: Geräte werden häufig so lange benutzt, bis sie gar nicht mehr gehen. Das kann aber ein Problem darstellen, denn viele Hersteller richten ihre Produkte nur für eine kurze Lebensdauer und nicht für eine langfristige Benutzung aus. Das heißt unter Umständen auch, dass der Support ausgelaufen ist, wenn das Gerät noch im Einsatz ist – oder sogar der Anbieter komplett vom Markt verschwindet.
  • Passworthygiene betreiben: Mitgelieferte Passwörter sollten Anwender zügig ändern. Auch später sollten sie sie regelmäßig ändern oder einen Passwortmanager einsetzen. Default-Passwörter stellen für Cyber-Kriminelle kein Hindernis dar. Sie haben Internet-Suchmaschinen, über die sie IoT-Geräte direkt und in großer Zahl finden können. Welche Informationen Hacker über eine Person haben, kann man bei Diensten wie https://dehashed.com herausfinden. Sie bieten eine rasche Übersicht über eine mögliche Kompromittierung der eigenen Login-Daten, die preiswert und immer auf dem neuesten Stand ist.
  • Den Schutz der eigenen Daten im Blick haben: IoT-Geräte sind dafür gemacht, Daten zu übertragen. Liegen diese Daten auf einem Server außerhalb der EU, gelten für diesen bestimmt andere und häufig laxere Datenschutz-Richtlinien. Das sollte man nie vergessen.

Hersteller und Nutzer sind nicht allein zuständig, wenn es um IoT-Sicherheit geht. Auch Unternehmen täten gut daran, den Zugang ihrer Mitarbeiter zum Unternehmensnetz zu überwachen, wenn diese mobil arbeiten. Sollte die IT-Abteilung nicht an die Endpunkte herankommen, kann der Schutz gegebenenfalls auch auf Netzwerkebene erfolgen. Ebenso können Behörden und Industrieverbände nicht länger ignorieren, dass der Schutz des Internets der Dinge vorangetrieben werden muss.

Mehr als PDF bei Bitdefender.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Praxisorientierte Threat Intelligence

Die heutige Bedrohungslandschaft ist geprägt von immer ausgefeilteren und schwerer erkennbaren Angriffen, die sich in rasantem Tempo weiterentwickeln. Es braucht ➡ Weiterlesen

DragonForce: Wie sich ein Ransomware-Kartell seine Stellung sichert

Ransomware ist nicht nur ein Geschäft, es ist eine Szene. Hier kommt es nicht nur auf Kompetenz und Ressourcen an, ➡ Weiterlesen

Cyberattacken: 3 von 5 Mitarbeitern halten ihr Unternehmen für lukratives Ziel

Laut einer Studie halten drei von fünf deutschen Mitarbeitern ihr Unternehmen, in dem sie beschäftigt sind, wegen sensibler Daten für ➡ Weiterlesen

Zugriffsfreigabe: Plattform für sicheren Drittanbieterzugriff

Die neue Plattformlösung Fudo ShareAccess verbindet Unternehmen sicher und schnell mit externen Dienstleistern und Partnern – und ohne die Notwendigkeit ➡ Weiterlesen

BSI warnt vor hochgefährlichen Schwachstellen in Ivanti EPM

Das BSI warnt vor hochgefährlichen Schwachstellen im Ivanti Endpoint Manager, der Endpoint Management Software zur zentralen Verwaltung von Benutzerprofilen und ➡ Weiterlesen

FunkSec: Analyse der KI-gestützten Ransomware

Kaspersky stellt seine aktuelle Forschung zur Ransomware-Gruppe FunkSec vor. Sie ist ein Beispiel dessen, wie die Zukunft der auf Masse ➡ Weiterlesen

Security Trends Report: Fehlende Expertise in Unternehmen

Die Cyber Security befindet sich in vielen Unternehmen in der Effizienz- und Expertise-Krise. Es wird zwar massiv investiert, aber die Infrastruktur ➡ Weiterlesen

Neues SD-WAN Gateway mit BSI-Sicherheitszertifikat

Das neue SD-WAN Gateway LANCOM 1930EF hat vom BSI das Sicherheitszertifikat gemäß „BSZ“-Zertifizierungsverfahren erhalten. Damit erhalten Unternehmen für ihre Standortvernetzung ➡ Weiterlesen