Was ist IoT-Security? 

Smartmeter funken den Energieverbrauch direkt an Stromanbieter. Wir selbst steuern unsere Heizung via App. Ob privat oder beruflich – inzwischen befinden sich immer mehr und vielfältigere „Dinge“ im Internet of Things und mit ihnen massenhaft Nutzer- und andere Daten. Sie alle können von Cyberkriminellen abgegriffen, gehackt und missbraucht werden. IoT-Security soll und kann genau das verhindern.  

 

 

Definition: Was ist IoT-Security? 

IoT-Sicherheit bezeichnet alle Vorkehrungen, die Daten, Geräte und Netzwerke im IoT schützen. Das können Systeme aus über das Internet miteinander verbundenen Computern, mechanischen und digitalen Geräten sein. Jedes Ding hat eine eindeutige Kennung und die Fähigkeit, automatisch Daten über ein Netzwerk zu übertragen. IoT-Security steht für eine große Bandbreite an Methoden. Sie alle sollen vor der ständig wachsenden Bedrohung durch Cyberkriminalität und Cyberterrorismus schützen.  

Warum ist IoT-Sicherheit relevant? 

Das IoT bietet unzählige Vorteile für Privatpersonen und Unternehmen. Gleichzeitig entstehen durch die zunehmende Vernetzung ständig neue Risiken. Viele IoT-Geräte sind nicht ausreichend für Datenschutz und IoT-Cybersecurity konzipiert, aber trotzdem automatisch an Netzwerke angebunden. Genau das macht sie zu einem beliebten Ziel für Hacker, die im schlimmsten Fall über ein einziges Endgerät ganze IT-Netzwerke lahmlegen können.  

Die Hauptprobleme der Cybersecurity im IoT kreisen um unsichere Kommunikation: 

  1. Woher weiß ich, dass das Gerät, das mit mir kommuniziert, wirklich das Gerät ist, das es vorgibt zu sein? 
  2. Woher weiß ich, dass ich sichere, unverfälschte Daten erhalte?
  3. Wie kann ich sicherstellen, dass niemand außer den vorgesehenen Empfängern die Daten interpretieren kann? 

Hacker können viele Gründe dafür haben, eine IoT-Anwendung anzugreifen. Oft steckt ein privater Akteur mit einer monetären Motivation dahinter. Intelligente Tracker für Schlüssel und andere Gegenstände oder Videokameras öffnen Stalkern den Zugang in die Privatsphäre, wenn es den Geräten oder im Smart Home an Sicherheit mangelt. Es können aber auch staatlich gesteuerte Cyberattacken sein, die Politik oder Kriegsführung beeinflussen sollen.  

Folgende Risiken machen eine umfassende IoT-Cybersecurity so relevant:  

  1. Das IoT bietet eine große und wachsende Angriffsfläche: Alle Einstiegspunkte für einen unbefugten Systemzugriff im IoT machen seine gesamte Angriffsfläche aus. Das heißt alle Schwachstellen bei der Sicherheit von IoT-Geräten, vernetzter Software und Netzwerkverbindungen. Eines der wichtigsten Argumente für effektive IoT-Security ist das schiere Ausmaß des Systems. 
  2. Unverschlüsselte Datenübertragung: IoT-Geräte messen und sammeln Unmengen von Daten. In der Regel schicken sie diese zur Speicherung, Verarbeitung und Analyse an eine Cloud und erhalten andersherum Handlungsanweisungen. Laut einer Studie von 2020 sind 98 Prozent des Datenverkehrs im IoT unverschlüsselt – ein schlagendes Argument für die Notwendigkeit von mehr IoT-Security.  
  3. Schwachstellen im DNS: Viele Unternehmen kombinieren ältere Geräte mit dem IoT und nutzen dafür DNS. Moderne IoT-Systeme mit tausenden Geräten können das dezentrale Namensystem aus den 1980er Jahren schnell überfordern. Das lädt Hacker dazu ein, über DNS-Tunneling heimlich mit dem Zielrechner zu kommunizieren oder das System mit DDoS-Angriffen zu überfordern.  
  4. Bösartige Node Injection: Auch über gefälschte Knoten innerhalb der legitimen Verbindungen können Angreifer den Datenfluss verändern oder kontrollieren. 
  5. Man-in-the-Middle-Angriffe: Hier platzieren sich Hacker unbemerkt zwischen zwei oder mehreren Netzwerkteilnehmern und übernehmen damit den Datenverkehr und die Kontrolle.  
  6. IoT-Botnets: Angreifer infizieren IoT-Geräte über ungeschützte Ports oder Phishing mit Schadsoftware, integrieren sie in ein IoT-Botnet und starten so massive Cyberangriffe. Laut Nokia Threat Intelligence Report 2023 ist die Zahl der an DDoS-Angriffen beteiligten IoT-Bots massiv gestiegen: 2022 waren es noch etwa 200.000 IoT-Geräte, ein Jahr später schon eine Million.  

Die IoT-Cybersecurity lässt sich demnach in zwei Gruppen unterteilen – Schwachstellen des Systems und Angriffe von außen.  

Wichtige Elemente für die IoT-Security 

Bei allen Kernpunkten der IoT-Sicherheit geht es darum, Unternehmen und Nutzer sowie ihre Geräte, Systeme und Daten zu schützen. Eine sichere Anmeldung mit individuellen Zugangsdaten für jedes Gerät und jede Anwendung gehört dabei zum minimalen Standardprogramm. Auch das Deaktivieren nicht benötigter Funktionen ist ein einfacher Schritt, um die Angriffsfläche von IoT-Geräten zu verringern.  

Identitäten und Public Key Infrastructure für mehr Cybersecurity im IoT 

IoT-Geräte verbinden sich miteinander, mit Servern und anderen vernetzten Gegenständen oder Maschinen. Ob Smart-Home-Sicherheit oder IoT-Security für eine Smart Factory – jedes Gerät, jeder Dienst und jeder User braucht eine eindeutige und vertrauenswürdige Identität.  

Sie ermöglicht eine korrekte Authentifizierung, unverfälschte, vertrauenswürdige Daten und bildet die Grundlage für eine sichere Kommunikation mit IoT-Anwendungen. Für Firmen bieten Smart-ID-Plattformen basierend auf PKI-Technologien (Public Key Infrastructure) eine perfekte Lösung. Sie stellt die notwendigen Zertifikate bereit, die Server vor der Vergabe vertraulicher Daten anfordern.  

Zero-Trust-Netzwerkzugang und Segmentierung des IoT-Netzwerks 

Eine Zero-Trust-Strategie beim Netzwerkzugang hilft dabei, die Verbindungen zu sichern. Zusätzlich verringert sich das Risiko für andere Systeme im Unternehmen, wenn IoT-Geräte getrennt von anderen Netzwerken operieren.  

Verschlüsselung für mehr IoT-Security beim Datenverkehr 

Wo Daten frei durch Netzwerke wandern, sind sie anfällig für unberechtigten Zugriff von außen. Es sei denn, sie sind verschlüsselt. Datenverschlüsselung funktioniert ähnlich wie ein Briefumschlag: Sie schützt Inhalte auf ihrem Weg vom Sender zum Empfänger. Volle Sicherheit bietet sie nur, wenn sie mit einer Authentifizierung kombiniert wird. Nur so lassen sich Man-in-the-Middle-Angriffe vermeiden.  

Patch Management: Aktualisierung von Soft- und Firmware 

Patches – vom englischen Wort für Flicken – stopfen Sicherheitslücken und beheben Programmfehler, die bei der Markteinführung von Software und Firmware noch nicht bekannt waren oder durch spätere Updates entstehen. Erfolgreiches Patch Management verringert die Chance erfolgreicher Angriffe, indem es gezielt verfügbare Patches und deren schnellstmögliche Installation im Blick behält.  

Best Practices für IoT-Sicherheit in Unternehmen 

Unternehmen und einzelne Teams sollten IoT-Security in standardmäßige Prozesse und Verfahren einbeziehen. Nur so können sie gewährleisten, dass alle Geräte und Verbindungen dauerhaft geschützt sind.  

  1. Identifikation aller verwalteten und nicht verwalteten Geräte mit ihrem Nutzungskontext. 
  2. Genaue Bewertung und Identifizierung von Schwachstellen und Risiken für jedes Gerät. 
  3. Automatisierte Zero-Trust-Richtlinien und Durchsetzung dieser Richtlinien. 
  4. Schnelles Handeln bei der Abwehr bekannter Bedrohungen. 
  5. Schnelles Erkennen und Reagieren auf unbekannte Bedrohungen. 

Eine effektive Strategie für die Sicherheit im IoT schützt sowohl die Geräte als auch die Netzwerke, mit denen sie verbunden sind. Das bedeutet auch, dass Anbieter und Hersteller von IoT-Geräten und IoT-Anwendungen definitiv in die umfassende Sicherung von IoT-Verwaltungstools investieren sollten.  

Geltende Gesetze und Vorschriften  

Rasanter technischer Fortschritt, zunehmende Digitalisierung und die bereits erwähnten Risiken haben sich auch in der Gesetzgebung niedergeschlagen. Dementsprechend haben die Bundesregierung und die EU in den letzten Jahren neue oder aktualisierte Gesetze und Verordnungen erlassen, die auch die IoT-Security betreffen:

IT-Sicherheitsgesetz 2.0:  

  • Regelungen für Unternehmen und Erweiterung der Kompetenzen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) 
  • Definiert das BSI als Nationale Behörde für Cybersicherheitszertifizierung 
  • Reguliert Cybersicherheit in Mobilfunknetzen, Verbraucherschutz sowie Sicherheit für Unternehmen 

KRITIS-Verordnung zur Bestimmung kritischer Infrastrukturen 

  • Über IT-Sicherheitsgesetz 2.0 neu geregelt 
  • Verpflichtet Unternehmen der kritischen Infrastruktur wie Energie- und Wasserversorger zu aktuellen IT-Systemen und Prüfung ihrer Informationssicherheit alle zwei Jahre  

Neues Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG:  

  • Fasst Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) zusammen 
  • Ziel: Mehr Klarheit für Unternehmen bei Anforderungen zum Fernmeldegeheimnis und Datenschutz bei Telekommunikations- und Telemediendiensten  
  • Verweist in einigen wichtigen Punkten auf die DSGVO 
  • Datenschutz-Grundverordnung (DSVGO): Der nationalen Gesetzgebung übergeordnete EU-Regelungen zum Schutz personenbezogener Daten.  
  • Gesetz zur Umsetzung der europäischen NIS-Richtlinie: Soll ein hohes gemeinsames Sicherheitsniveau von Netz- und Informationssystemen in der EU garantieren. Die NIS-Richtlinie war 2017 das erste EU-Gesetz für Cybersicherheit und Cyberresilienz.  
  • Cyber Resilience Act der EU (CRA): Der CRA soll die Cybersicherheit von Produkten mit digitalen Komponenten, die miteinander oder mit dem Internet verbunden werden können, verbessern und betrifft somit direkt die IoT-Security. 
  • Europäische Norm ETSI EN 303 645, Prüfspezifikation ETSI TS 103 701, Leitfaden ETSI TR 103 621, BSI TR-03173: Norm, Prüfspezifikation, Leitfaden und Ergänzungen für grundlegende Sicherheitsanforderungen an IoT-Geräte für Verbraucher. 
  • ISO/IEC 27030 oder ISO/IEC 27400: Noch in Entwicklung befindliche Normen zu genereller IoT- und Datensicherheit sowie Datenschutz im Bereich IoT 
  • eIDAS: Verordnung der Europäischen Union zu elektronischen Identifizierungs-, Authentifizierungs- und Vertrauensdiensten

Nicht nur die allgemeine Cyber- und spezielle IoT-Sicherheit bleibt also dynamisch, auch ihr rechtlicher Rahmen verändert sich ständig: Im Oktober 2024 wird das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz das IT-Sicherheitsgesetz 2.0 ablösen. Die europäische Vorlage und erste Referenzentwürfe weisen darauf hin, dass sich auf einen erweiterten Geltungsbereich, verschärfte Anforderungen und empfindliche Strafen bei Verstößen einstellen müssen. Das Gesetz wird auch für die Lebensmittelbranche und Industrie gelten.  

Wie können Unternehmen die Sicherheit ihres Systems bewerten und Änderungen umsetzen? 

Für eine umfassende Bewertung der IoT-Sicherheit braucht es das nötige Maß an Expertise, um hochsichere und skalierbare IoT Netzwerke entwerfen, aufbauen und einsetzen zu können. 

  1. Bedarf definieren 
  2. Kooperation mit einem vertrauenswürdigen Partner für IoT-Security 
  3. Nur geprüfte Technologie nutzen 
  4. Skalierbarkeit und Flexibilität der Maßnahmen ermöglichen 
  5. Gesetzliche Vorschriften und Branchenstandards einhalten 

Dafür können Unternehmen im Zweifel auf Unterstützung von Experten setzen, die einen ganzheitlichen und funktionalen Ansatz für Gerätemanagement und Sicherheit verfolgen. Denn am Ende geht es darum, auf sichere Verbindungen sowie Identitäten für Geräte und achten. Folgende Schritte helfen dabei:  

  1. Bestandsanalyse: Gute IoT-Sicherheitslösung berücksichtigen die Art, Anzahl und geografische Verteilung der Geräte innerhalb eines IoT-Systems.  
  2. Komplexität der IoT-Sicherheit verringern: Eine ganzheitliche, team- und infrastrukturübergreifend Strategie hilft dabei, physische Geräte, Daten und Verbindungen zu schützen. 
  3. Intelligente Sicherheitsanalyse- und Lösungen für IoT-Security nutzen: Alles, was mit einer IoT-Lösung verbunden ist, muss in einem ersten Schritt geprüft und anschließend dauerhaft überwacht und gewartet werden. Nur so können Unternehmen Sicherheitsbedrohungen vermeiden und schnellstmöglich auf sie reagieren.  
  4. Schutz von Kunden- und Geschäftsdaten: Unternehmen sollten den Überblick über alle angeschlossenen Datenspeicher, Administratoren und andere IoT-bezogene Dienste behalten. Nur so können sie prüfen und sichergehen, dass IoT-Anwendungen geschützt sind und IoT-Sicherheitsmaßnahmen effektiv sind. 

Fazit  

Die schiere Menge an Geräten sowie Verbindungen und dadurch Angriffsmöglichkeiten im Internet der Dinge definiert die Bedeutung von IoT-Security. Für die Verbraucher und Verbraucherinnen folgt daraus, dass sie sich an grundlegende bewährte Sicherheitspraktiken halten und beispielsweise sichere Passwörter verwenden. Das gilt besonders für die Sicherheit im Smart Home. Denn auch hier gilt – je mehr Geräte, desto größer die Angriffsfläche.  

Unternehmen, Anbieter und Gerätehersteller hingegen sollten einen umfassenderen Ansatz verfolgen und stark in die Sicherung von IoT-Verwaltungstools investieren. Hierfür bietet Nexus mit sicheren Identitäten für IoT-Anwendungen und die Mitarbeitenden, die diese nutzen, eine optimale Lösung.

Häufig gestellte Fragen (FAQ) 

 

Was sind die Hauptprobleme bei der IoT-Sicherheit und wie unterscheiden sie sich von der Sicherheit für herkömmliche Geräten?  

Das Internet der Dinge bietet durch die schiere Masse and Geräten und Verbindungen vielfältige Angriffspunkte. Hacker können IoT-Geräte, IoT-Anwendungen und die Netzwerke, die sie nutzen, attackieren. Das macht IoT-Security zu einem komplexen Feld. Herkömmliche Geräte sind nicht mit dem Internet verbunden, Sicherheitsfragen sind also rein mechanischer Natur.  

Wie können Unternehmen sicherstellen, dass ihre Geräte sicher sind? 

Für Unternehmen sind besonders sichere Identitäten für Geräte und Nutzende sowie Verbindungen wichtig. Dabei helfen:  

  1. Bestandsanalysen für alle Geräte innerhalb eines IoT-Systems 
  2. Eine ganzheitliche, team- und infrastrukturübergreifend IoT-Strategie 
  3. Intelligente Sicherheitsanalyse und Lösungen für IoT-Security  
  4. Genauer Überblick über Datenspeicher, Administratoren und andere IoT-bezogene Dienste 

Wie können Nutzer und Nutzerinnen sicherstellen, dass ihre Geräte sicher sind?  

Nutzer und Nutzerinnen sollten nie davon ausgehen, dass sich ein IoT-Gerät nicht hacken lasst:  

  1. Für jedes Gerät und jede Anwendung ein eigenes Passwort nutzen 
  2. Keine Standardpasswörter für mehrere Devices und Apps oder die Standardeinstellung der Auslieferung verwenden 
  3. Firmware und Software regelmäßig updaten und auf dem neuesten Stand halten 
  4. Funktionen wie WLAN und Bluetooth deaktivieren, wenn sie nicht benötigt werden 
  5. Für mehr Sicherheit im Smart Home: Eigenes Netzwerk für IoT-Geräte schaffen das von Ihren wichtigsten Systemen getrennt ist und Geräte gegebenenfalls gruppieren. So lassen sich je nach Sicherheitsprofil mehrere Netzwerke für IoT-Geräte verwenden. 

Welche Gesetze und Vorschriften gelten für IoT-Geräte in Bezug auf die Sicherheit?  

IoT-Geräte unterliegen den geltenden Gesetzen und Normen für IT-Sicherheit:  

  • IT-Sicherheitsgesetz 2.0 
  • KRITIS-Verordnung zur Bestimmung kritischer Infrastrukturen 
  • Neues Telekommunikation-Telemedien-Datenschutz-Gesetz, TTDSG 
  • Datenschutz-Grundverordnung (DSVGO) 
  • Gesetz zur Umsetzung der europäischen NIS-Richtlinie  
  • Cyber Resilience Act der EU (CRA) 
  • Europäische Norm ETSI EN 303 645, Prüfspezifikation ETSI TS 103 701, Leitfaden ETSI TR 103 621, BSI TR-03173 
  • ISO/IEC 27030 oder ISO/IEC 27400 
  • eIDAS-Verordnung 
  • vorrausichtlich ab Oktober 2024 löst das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz das IT-Sicherheitsgesetz 2.0 ab