Sicherheit für IoT und Smart-Home

Dez. 14, 2021

Durch den Einsatz von IoT-Geräten und Smart-Home-Devices können Abläufe in Unternehmen optimiert und automatisiert werden. Dies birgt allerdings auch Gefahren durch Hacker-Angriffe. Wir möchten Ihnen zeigen, wie sie hier für mehr Sicherheit sorgen können.

Das Internet of Things (IoT) hat auch Unternehmen erreicht. IoT-Geräte und Smart-Home-Devices sind in viele Netzwerke integriert. Im privaten Bereich dienen sie häufig der Hausautomatisierung oder als Multimedia-Geräte. In Firmen sind viele unterschiedliche Anwendungsgebiete denkbar. So fallen etwa IP-Überwachungskameras genauso in diese Kategorie, wie auch digitale Schließanlagen und vernetzte Geräte in der Produktion. Dementsprechend handelt es sich hierbei nicht selten um sicherheitsrelevante Funktionen. Gehackte IoT-Devices können Unternehmen vor ernsthafte Probleme stellen. Daher sollten Sie unbedingt jedes in Ihr Netzwerk eingebundene Gerät auch in Ihr IT-Sicherheitskonzept einbeziehen.

Was sind Smart Home und das Internet of Things?

Im gewerblichen Bereich wird in diesem Kontext auch von der Industrie 4.0 gesprochen. Gemeint ist damit, vernetzte und "intelligente" Geräte in die Betriebsabläufe einzubeziehen. Das Internet der Dinge versucht, Gegenstände unterschiedlichster Art zu vernetzen und mit einer eigenen Steuerung auszustatten. Diese kann im Idealfall Prozesse selbständig initiieren oder ausführen. Neben der Vernetzung zeichnen sich IoT-Devices in der Regel durch Sensoren aus, die beispielsweise Sprachbefehle aufnehmen können oder Gegenstände eigenständig erkennen. Für die Umsetzung von Befehlen in eine bestimmte Aktion sorgen im Anschluss die Aktoren.

Der Begriff Smart Home wird hingegen eher der privaten Nutzung intelligenter Geräte zugeschrieben. Gemeint sind häufig Haushaltsgeräte wie Saugroboter oder eine Haussteuerung für Heizung und Rollläden. Oft gibt es dabei eine zentrale Steuerungseinheit mit einem eigenen Betriebssystem. Auch Router werden zum Teil hierfür eingesetzt. Natürlich erfolgt eine Verwendung von Smart-Home-Geräten ebenso in Firmengebäuden.

Warum müssen Smart-Home-Geräte abgesichert werden?

Zunächst einmal sind in vielen IoT-Geräten vollwertige Rechner enthalten. Einplatinencomputer haben teilweise nur eine Größe von wenigen Quadratzentimetern, stehen aber von der Funktionalität herkömmlichen Desktop-PCs kaum in etwas nach. Sie verfügen meist über ein richtiges Betriebssystem wie Windows 10 für IoT oder ein Linux-Derivat. Entsprechend sind sie auch anfällig für Sicherheitslücken und Hacking-Attacken. Dies natürlich insbesondere, wenn sie direkt aus dem Internet zu erreichen sind. Denkbare und leider auch realistische Szenarien sind:

- Ausspähen von Informationen: Im Internet kursieren Adressen von nicht oder unzureichend abgesicherten IP-Kameras, die hierdurch von beliebigen Nutzern aufgerufen werden können. Befindet sich eine solche Kamera in Ihrem Unternehmen, so können auf diese Weise Persönlichkeitsrechte von Mitarbeitern und Kunden verletzt werden. Zudem besteht die Gefahr des gezielten Ausspähens wichtiger Internas.

- Einfallstor in das eigene Netzwerk: Unsichere Geräte in Ihrem Netzwerk können als Startpunkt für eine Attacke genutzt werden. Im eigenen Netz gibt es häufig Ressourcen wie Netzwerkfreigaben, die für alle internen Rechner zugreifbar sind.

- Ausnutzen für Bot-Netze: In der Vergangenheit wurden mit einem Standard-Passwort gesicherte IP-Kameras von Hackern gekapert und für ein Bot-Netz missbraucht, mit dem Distributed-Denial-of-Service-Attacken ausgeführt wurden. Bekannt geworden ist zum Beispiel die Schadsoftware Mirai, mit der Linux-Geräte für derartige Angriffe genutzt werden können.

- Nicht nachvollziehbare Server-Anbindungen: Gerade günstige Smart-Home-Geräte sind häufig auf eine Anbindung an die Cloud des Herstellers angewiesen. Hier ist besonders im gewerblichen Umfeld absolute Vorsicht geboten. Möglicherweise ist kaum nachvollziehbar, ob Daten dorthin ausgeleitet werden.

Worauf sollte ich achten?

Unternehmen leben davon, innovativ zu sein und Prozesse zu optimieren. IoT-Geräte sind hierfür ein wichtiger Baustein. Insofern können nötige Vorsicht und gebotene Offenheit gegenüber neuartigen Techniken in einem Widerspruch stehen. Ein wichtiger erster Schritt für Verantwortliche ist es, sich mit der Thematik zu beschäftigen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Allianz für Cybersicherheit geben hierzu wertvolle Hinweise.
Wir haben einige wichtige Maßnahmen für Sie zusammengefasst:

  1. Entscheiden Sie bewusst, wo IoT-Geräte und Smart-Home-Devices eingesetzt werden. Informieren Sie sich über integrierte Sensoren wie zum Beispiel eine Spracherkennung. In sensiblen Bereichen kann es die bessere Entscheidung sein, auf IoT zu verzichten.

  2. Setzen Sie sich mit der Firmware der einzelnen Geräte auseinander. Kein Betriebssystem ist ohne Fehler. Wenn Geräte permanent aus dem Internet erreichbar sind, müssen regelmäßig Sicherheitsupdates eingespielt werden. Bietet der Hersteller keine an, sollten Sie erwägen, auf das Produkt zu verzichten. Zudem sollte die Dauer der Versorgung mit Updates ein wichtiges Kriterium sein.

  3. Konfigurieren Sie Ihre Firewall wenn möglich so, dass IoT-Geräte keine Daten in das Internet senden dürfen. Möglicherweise ist es ratsam, nach der Einrichtung den Internetzugriff komplett zu unterbinden.

  4. Informieren Sie sich, ob ein Gerät die Anbindung an eine Hersteller-Cloud benötigt. Besser ist es, wenn die Steuerung lokal erfolgt. Dieser Sicherheitsgewinn ist in der Regel allerdings mit höheren Preisen bei der Anschaffung verbunden. Wenn Ihr Vorhaben nicht mit lokaler Anbindung umsetzbar ist, wählen Sie zumindest etablierte und vertrauenswürdige Anbieter.

  5. Wenn Sie Geräte einbinden müssen, die permanent über das Internet erreichbar sind, so bietet sich eine Separierung der Netze an. In der Regel wird es nicht erforderlich sein, dass ein Zugriff beispielsweise von Rechnern aus der Verwaltung möglich ist.

  6. Viele Geräte werden mit Standardpassörtern ausgeliefert, die in im Internet verfügbaren Handbüchern nachgesehen werden können. Diese sollten unbedingt in sichere, individuelle Passwörter geändert werden sollten. Wenn möglich sollte auch in IoT-Netzwerken eine Benutzerverwaltung eingesetzt werden, die jedem Zugreifenden nur die unbedingt notwendigen Rechte einräumt.

  7. Achten Sie auf verschlüsselte Verbindungen. Hierbei sollten komplexe und etablierte Verfahren zum Einsatz kommen. Für eine Anbindung verschiedener Standorte ist ein Virtual-Private-Network (VPN) eine gute Wahl.

  8. Denken Sie auch an den physikalischen Schutz von Geräten. Sind diese in Bereichen mit Kundenverkehr installiert, stellt die Zugreifbarkeit durch Unbefugte ein mögliches Sicherheitsrisiko dar.

Mit einem entsprechenden Sicherheitskonzept können IoT-Geräte in Unternehmen für Fortschritt bedeuten, ohne dabei unkalkulierbare Risiken zu verursachen. Wenn Sie sichergehen möchten, lässt sich Ihre IT-Infrastruktur mit einem Penetrationtest auf die Probe stellen. Dabei betrachten wir auch die Sicherheit von IoT-Devices und Smart-Home-Geräten.

Blog

vor einem Monat

Wirtschaftliche Betrachtung eines SCR-Systems in einem Erdgaskraftwerk unter Berücksichtigung aktueller Standards, Förderungen und CO2-Zertifikate

Wirtschaftliche Vorteile und Umweltimpact: SCR-Systeme in Erdgaskraftwerken im Einklang mit aktuellen Emissionsstandards und CO2-Zertifikaten

vor einem Monat

Kostenvergleich: CAPEX, OPEX und ROI für neue Umweltstandards im Kohlebergbau in Deutschland vs. anderen Ländern (bei gleichen Standards und Berücksichtigung aktueller Förderungen)

Optimierung des Kohleabbaus für die Zukunft: Kosten, Umweltstandards und staatliche Förderungen im Vergleich zwischen Deutschland und anderen Ländern

vor einem Monat

Wie können Kohlekraftwerke sauberer werden? Technologien, Kosten und Rentabilität einer grüneren Zukunft

Kohlekraft neu gedacht: Saubere Energie durch moderne Technologien und strategische Investitionen