Die Sicherheitsrisiken des Internet of Things (IoT) werden häufig unterschätzt. Mit der rasch fortschreitenden Vernetzung der Infrastruktur nimmt die Bedrohung durch ungenügend gesicherte IoT-Geräte weiter zu. Lesen Sie im Blogbeitrag, inwiefern die Angriffsfläche im 2024 grösser ist denn je.
Das Internet of Things (IoT) wächst kontinuierlich. 2025 soll es bereits achtmal so viele vernetzte Geräte geben wie Menschen auf der Welt. Unternehmen und Behörden tragen massgeblich zum raschen Wachstum des IoT-Marktes bei. Die Netzwerke grösserer Organisationen umfassen meist mehrere tausend vernetzte Geräte wie zum Beispiel Heizungs-, Bewegungs- oder optische Sensoren. Viele davon sind nur ungenügend gesichert und diese Schlupflöcher nutzen Cyber-Kriminelle gezielt aus.
Angriffshäufigkeit nimmt stark zu
Die Malware-Attacken auf IoT-Geräte nahmen in den letzten Monaten erneut stark zu: Der Enterprise IoT and OT Threat Report des US-Cyber-Security-Anbieters Zscaler stellte im ersten Halbjahr 2023 gar eine Steigerung um 400 Prozent im Vergleich mit der Vorjahresperiode fest. Allein in der Fertigungsindustrie wurden im Schnitt 6'000 Attacken pro Woche registriert. Den Grossteil der Angriffe machen nach wie vor die Malware-Familien Mirai und Gafgyt aus.
Mehr als die Hälfte der Unternehmen sind jede Woche mit Angriffsversuchen auf IoT-Geräte konfrontiert. Zu diesem Ergebnis kommt eine im April 2023 publizierte Studie des israelischen Cyber Security-Unternehmens Check Point. Bei Behörden, im Bildungs- und Transportwesen sowie auch in der Finanzindustrie nahmen die Attacken im Vergleich mit dem Vorjahr um über 30 Prozent zu – alles Bereiche, in denen Cyber-Angriffe besonders verheerende Folgen haben können.
«Shadow IoT» birgt Sicherheitsrisiken
Die starke Zunahme der Angriffe begründet Check Point mit dem Digitalisierungsschub, den die Pandemie in Bereichen wie Bildung oder Verwaltung brachte. Beim raschen Ausbau der IoT-Infrastruktur wurden Sicherheitsmassnahmen in vielen Organisationen zu wenig berücksichtigt, geben die Cyber Security-Expertinnen und -Experten zu bedenken.
Ein grosses Problem ist die sogenannte «Shadow IoT»: Durch den Trend hin zum Homeoffice finden sich in den Netzwerken von Organisationen immer mehr private Geräte. Diese sind meist gar nicht oder nur unzureichend gesichert und werden von der IT-Abteilung oft nicht erkannt. Doch auch bei den unternehmenseigenen IoT-Geräten hapert es oft mit der Sicherheit. Viele Anwender handeln fahrlässig, zum Beispiel indem sie Standardpasswörter verwenden.
Schwachstellen trotz Zertifizierung
Auch die Hersteller messen Sicherheitsaspekten nach wie vor zu wenig Bedeutung bei. Für die Studie OT:Icefall untersuchten Forschende des Vedere Labs IoT-Geräte von zehn führenden Anbietern. Insgesamt wurden 56 Schwachstellen aufgedeckt, unter anderem unsichere technische Protokolle, mangelhafte Authentifizierungsprozesse und unsichere Firmware-Updates.
Das Erschreckende: Die meisten der getesteten IoT-Produkte verfügen über anerkannte Sicherheitszertifikate und kommen in der Operational Technology (OT) von kritischen Infrastrukturen zum Einsatz. Sie vernetzen zum Beispiel Prozesse in Kraftwerken oder bei Gas- und Öl-Pipelines. Die Schwachstellen können es Cyber-Kriminellen unter Umständen ermöglichen, die Firmware der OT zu ändern oder Zugangsdaten zu kompromittieren.
Regulierung lässt auf sich warten
Die Gesetzgebung kann mit der raschen Verbreitung des IoT bisher nicht schritthalten. Zwar hat die EU bereits vereinzelt einschlägige Verordnungen erlassen, etwa die European Medical Device Regulation (MDR) für medizinische Geräte. Eine Regulierung auf breiter Ebene bringt jedoch erst der Cyber Resilience Act, der 2024 in Kraft treten soll.
Bis die Regulierung greift, bleibt es Aufgabe der Anwenderinnen und Anwender, vernetzte Geräte auf Herz und Nieren zu prüfen. Nur wer die IoT-Security proaktiv in die Hand nimmt, kann die Cyber-Sicherheit über die ganze Organisation hinweg sicherstellen.
Welche weiteren Trends bestimmen die Cyber Security im IoT im kommenden Jahr? Lesen Sie unser Wissens-Update «Ausblick 2024: Die fünf wichtigsten Malware-Trends».