Das unterschätzte Risiko im digitalen Zeitalter
Das Internet of Things (IoT) hat die industrielle Produktion, Logistik, Gebäudeautomation und viele weitere Branchen revolutioniert. Sensoren, Aktoren, Kameras, vernetzte Maschinen und Smart Devices erfassen Daten, regeln Prozesse und schaffen neue Möglichkeiten für Automatisierung und Effizienz. Doch mit dieser Vernetzung kommt auch eine neue Dimension von Sicherheitsrisiken. Denn was viele nicht bedenken: Jeder Sensor kann ein Einfallstor für Angriffe sein.
Im Gegensatz zu Servern oder klassischen IT-Komponenten erhalten viele IoT-Geräte selten Updates, sind schwer in bestehende Sicherheitskonzepte einzubinden und werden oft nicht als Teil der unternehmensweiten IT-Sicherheitsarchitektur behandelt. Das macht sie zu beliebten Zielen für Cyberangriffe. Dieser Beitrag beleuchtet, warum IoT-Sicherheit strategisch gedacht werden muss, welche typischen Schwachstellen bestehen und wie eine sichere IoT-Architektur konkret aussehen kann.
Was ist das IoT eigentlich?
Das Internet of Things beschreibt die Vernetzung physischer Geräte über das Internet. Dazu zählen unter anderem:
- Temperatursensoren
- Bewegungssensoren
- Kameras und Mikrofone
- Smart Meter
- Steuergeräte (z. B. für Maschinen oder Klimaanlagen)
- Wearables
Diese Geräte erfassen Daten, kommunizieren mit zentralen Systemen oder untereinander und ermöglichen automatisierte Reaktionen oder Auswertungen in Echtzeit. Das Problem: Viele dieser Systeme sind sicherheitstechnisch rudimentär ausgestattet.
Typische Schwachstellen in IoT-Umgebungen
1. Fehlende Update-Möglichkeiten
Viele IoT-Geräte lassen sich nicht oder nur sehr aufwändig aktualisieren. Sicherheitslücken bleiben dadurch dauerhaft bestehen.
2. Schwache Authentifizierung
Standardpasswörter oder einfache Login-Mechanismen (z. B. admin/admin) sind weit verbreitet und öffnen Hackern Tür und Tor.
3. Fehlende Segmentierung
IoT-Geräte sind häufig direkt mit dem Hauptnetzwerk verbunden. Ein kompromittiertes Gerät kann so leicht auf zentrale Systeme zugreifen.
4. Keine Protokollierung
Aktivitäten von IoT-Geräten werden selten geloggt oder überwacht, wodurch Angriffe lange unentdeckt bleiben.
5. Physischer Zugriff
Viele Sensoren befinden sich in öffentlichen Räumen oder schlecht gesicherten Bereichen. Angreifer können dadurch direkt auf die Hardware zugreifen oder diese austauschen.
Bedrohungsszenarien aus der Praxis
Angriff auf industrielle Steueranlagen
Ein bekannter Fall ist der Angriff auf eine Wasseraufbereitungsanlage in den USA. Hacker verschafften sich Zugriff über ein schlecht gesichertes IoT-Gerät und veränderten die Dosierung von Chemikalien. Nur durch Zufall wurde der Angriff entdeckt.
Botnet-Angriffe über IoT-Kameras
Das berüchtigte Mirai-Botnetz nutzte hunderttausende unsicherer IoT-Kameras, um massive DDoS-Angriffe gegen Webseiten und Infrastruktur durchzuführen. Der Schaden war weltweit spürbar.
Datenabfluss durch Sensor-Hijacking
In einem Logistikunternehmen wurden Temperaturdaten von Sensoren manipuliert. Die Konsequenz: verderbliche Waren wurden falsch gelagert, es entstand ein sechsstelliger Schaden.
Normen und Anforderungen für IoT-Sicherheit
ISO/IEC 27001
Die zentrale Norm für Informationssicherheitsmanagementsysteme (ISMS) verpflichtet Unternehmen, alle Systeme mit Relevanz für Informationssicherheit zu berücksichtigen – auch IoT.
ETSI EN 303 645
Diese europäische Norm beschreibt Sicherheitsanforderungen für Consumer-IoT-Geräte und wird zunehmend auch für industrielle Anwendungen als Richtlinie herangezogen.
IEC 62443
Die Normenreihe für industrielle Automatisierungssysteme beschreibt unter anderem die Absicherung vernetzter Komponenten in Produktionsanlagen.
EU Cyber Resilience Act (CRA)
Zukünftig werden IoT-Hersteller in der EU verpflichtet sein, Sicherheit über den gesamten Lebenszyklus ihrer Produkte zu gewährleisten – inklusive Updates und Schwachstellenmanagement.
Best Practices für sichere IoT-Architekturen
1. Netzwerksegmentierung
IoT-Geräte sollten niemals im selben Netz wie zentrale IT-Systeme betrieben werden. Dedizierte Subnetze mit klaren Kommunikationsregeln sind Pflicht.
2. Device Management
Jedes Gerät muss erfasst, verwaltet und regelmäßig aktualisiert werden. Das umfasst auch das sichere Deprovisioning nach dem Lebensende.
3. Monitoring & Logging
Aktivitäten aller IoT-Geräte sollten zentral protokolliert und auf Auffälligkeiten überwacht werden.
4. Sichere Kommunikation
Datenübertragung muss verschlüsselt und gegen Replay-Angriffe abgesichert sein. Auch Authentifizierung und Autorisierung sind essenziell.
5. Zugangsschutz
Alle Geräte müssen mit individuellen Zugangsdaten ausgestattet sein. Wo möglich sollte eine Zwei-Faktor-Authentifizierung verwendet werden.
6. Integration ins ISMS
IoT-Sicherheit ist keine eigene Disziplin, sondern muss Teil des umfassenden ISMS sein – mit Risikoanalysen, Richtlinien und Kontrollen.
Fazit
IoT-Sicherheit wird in vielen Unternehmen noch immer stiefmütterlich behandelt – mit gravierenden Folgen. Sensoren, Kameras und smarte Steuergeräte sind keine Randthemen mehr, sondern Teil der sicherheitsrelevanten Infrastruktur.
Wer vernetzte Systeme betreibt, muss sich auch um deren Sicherheit kümmern. Das erfordert klare Prozesse, technische Maßnahmen, ein starkes ISMS und eine Unternehmenskultur, die Sicherheit von Anfang an mitdenkt.
