IT-Sicherheit 21.12.2023, 07:00 Uhr

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit

Das Internet of Things (IoT) ist längst allgegenwärtig. Eine neue Studie des Fraunhofer Instituts ISI zeigt jetzt: Weltweit sind sensible Daten auf Millionen IoT-Geräten nicht vor Cyberangriffen sicher. Dabei ließe sich die Datensicherheit leicht verbessern – von Herstellern und Nutzenden.

Internet of Things

Schutz sensibler Daten auf IoT-Geräten: Fehlende Updates können schwerwiegende Hackerangriffe möglich machen.

Foto: Fraunhofer ISI

Wearables zum Tracken von Fitness, Schlaf und Gesundheit, Sensoren, die das Zuhause überwachen, intelligente Lautsprecher mitten im Wohnzimmer: Längst umgeben wir uns mit zahllosen IoT-Geräten, die vermeintlich unkompliziert den Alltag interessanter und komfortabler machen. Nicht zuletzt werden auch industrielle IoT-Geräte eingesetzt, etwa um in der Produktion Maschinen zu überwachen. Sobald sie scheinbar problemlos ihre Funktion erfüllen, verschwinden sie leicht aus der Wahrnehmung. Dabei verarbeiten diese Devices oft höchst sensible Daten. Für deren Sicherheit ist es entscheidend, dass die Soft- und Firmware der Geräte aktuell ist, sonst drohen Datenklau, Industriespionage und Hackerangriffe.

Fehlende Updates: großes Risiko für den Datenschutz

Diese Schwachstelle hat jetzt eine Studie des Fraunhofer ISI in den Blick genommen. Dazu analysierte ein Forschungsteam die Daten von 52 Milliarden Geräten, den Ort ihrer Installation und Nutzung, wie aktuell ihre Firmware ist und ob sich ihre Sicherheit seit Inkrafttreten der europäischen Datenschutz-Grundverordnung verbessert hat. Die Ergebnisse sind desillusionierend: Es ist nur eine Frage der Zeit, bis es zu schwerwiegenden Cyberangriffen kommen könnte.

Top Stellenangebote

Zur Jobbörse
Max Bögl Bauservice GmbH & Co. KG-Firmenlogo
Arbeitsvorbereiter / Bauleiter (m/w/d) Ingenieurbau Hamburg Max Bögl Bauservice GmbH & Co. KG
Hamburg Zum Job 
Max Bögl Bauservice GmbH & Co. KG-Firmenlogo
Bauingenieur / Wirtschaftsingenieur (Bau) / Bautechniker (m/w/d) im Technischen Projektmanagement Hochbau Max Bögl Bauservice GmbH & Co. KG
verschiedene Standorte Zum Job 
Max Bögl Bauservice GmbH & Co. KG-Firmenlogo
Bauingenieur / Referent (m/w/d) für RIB iTWO Max Bögl Bauservice GmbH & Co. KG
Sengenthal Zum Job 
VISPIRON SYSTEMS-Firmenlogo
Fahrzeugtechniker (m/w/d) Fahrzeugintensivtest VISPIRON SYSTEMS
München Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Leiter:in Automatisierungs-/ Prozessleittechnik (w/m/d) Berliner Wasserbetriebe
Albemarle Germany GmbH-Firmenlogo
Techniker / Ingenieur Mess- und Elektrotechnik (m/w/d) Albemarle Germany GmbH
Langelsheim Zum Job 
Deutsche Rentenversicherung Bund-Firmenlogo
Ingenieur*in Elektrotechnik Starkstrom Energieeffizienz (m/w/div) Deutsche Rentenversicherung Bund
N-ERGIE Netz GmbH-Firmenlogo
Ingenieur (m/w/d) für Qualitäts- und Bilanzkreismanagement N-ERGIE Netz GmbH
Nürnberg Zum Job 
Helvetia Schweizerische Versicherungsgesellschaft AG-Firmenlogo
Risk Engineer (m/w/d) Brandschutz Helvetia Schweizerische Versicherungsgesellschaft AG
Notarkasse Anstalt des öffentlichen Rechts-Firmenlogo
Werkstudent (m/w/d) der Fachrichtung Architektur / Bauingenieurwesen Notarkasse Anstalt des öffentlichen Rechts
München Zum Job 
Forschungszentrum Jülich GmbH-Firmenlogo
Teamleitung - Komplexitätsmanagement in Energiesystemmodellen zur Planung einer erfolgreichen Energiewende (w/m/d) Forschungszentrum Jülich GmbH
Jülich bei Köln Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Techniker (m/w/d) im Bereich Verkehrsleittechnik und WAN-Netz Die Autobahn GmbH des Bundes
Frankfurt am Main Zum Job 
GWH Wohnungsgesellschaft mbH Hessen-Firmenlogo
Technischer Projektmanager Versorgungstechnik / TGA (m⁠/⁠w⁠/⁠d) GWH Wohnungsgesellschaft mbH Hessen
Frankfurt am Main Zum Job 
BRUNATA-METRONA GmbH & Co. KG-Firmenlogo
Projektleiter Großprojekte (m/w/d) BRUNATA-METRONA GmbH & Co. KG
München Zum Job 
Stadtwerke München GmbH-Firmenlogo
Strategische*r Einkäufer*in Anlagenbau (m/w/d) Stadtwerke München GmbH
München Zum Job 
über ifp | Executive Search. Management Diagnostik.-Firmenlogo
Werkleiter:in über ifp | Executive Search. Management Diagnostik.
Wolfsburg Zum Job 
TB & C hybrid technologies GmbH-Firmenlogo
Produktingenieur (m/w/d) TB & C hybrid technologies GmbH
Herborn Zum Job 
Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH-Firmenlogo
Teamleitung Planung Verkehrsinfrastruktur (d/m/w) Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH
Frankfurt am Main Zum Job 
TB & C hybrid technologies GmbH-Firmenlogo
Entwicklungsingenieur (m/w/d) TB & C hybrid technologies GmbH
Herborn Zum Job 
Berliner Wasserbetriebe-Firmenlogo
Ingenieur:in Anlagentechnik Auftragsprüfung / Klärwerk Wansdorf (w/m/d) Berliner Wasserbetriebe
Schönwalde-Glien Zum Job 

Häufig ignorieren Verbraucherinnen und Verbraucher Schwachstellen in veralteter Firmware sowie Updates oder Patches, selbst wenn ihnen Aktualisierungen von den Herstellern zur Verfügung gestellt werden. Dazu kommt: Viele Firmen bieten Software- oder Firmware-Updates zu ihren IoT-Produkten gar nicht an – zugunsten einer schnellen Markteinführung. Die Folge können große Datenschutz- und Sicherheitslücken sein.

Dabei gibt es bereits seit 2022 laut einer EU-Richtlinie ein „Recht auf Updates“ – ein wichtiger Schritt zu mehr Sicherheit dieser Geräte. Entscheiderinnen und Entscheider in der Politik wissen um die Bedeutung  dieses kritischen Punktes und streben strenge Regulierungen etwa durch die europäische Datenschutz-Grundverordnung an. Kürzlich hat die EU-Kommission zudem den sogenannten Cyber Resilience Act unterzeichnet. Dieser verpflichtet jetzt die Hersteller, ihren Kundinnen und Kunden sicherheitsrelevante Updates auch Jahre nach dem Kauf eines Gerätes anzubieten.

Firmware in der EU besonders alt

In der aktuellen Studie analysierte das Forschungsteam 400 Terabyte Daten, die von insgesamt 52 Milliarden Geräten stammen. Erhoben wurde die Daten mit Hilfe der IoT-Suchmaschine Censys.io zwischen Oktober 2015 und Ende November 2021.

Der gigantische Datensatz umfasst Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen zahlreichen Ländern weltweit, in denen die Geräte installiert sind. Dazu zählen unter anderem alle Mitgliedstaaten der Europäischen Union, Großbritannien, die G7-Staaten, die Schweiz, Russland, die Ukraine sowie asiatische Länder wie Malaysia, Indonesien, Singapur und Japan. Die mit Abstand meisten Geräte werden in den USA genutzt (52 Prozent), gefolgt von Deutschland (7 Prozent), Russland, Großbritannien, Japan und Frankreich.

Bei der Auswertung mit Stand Ende 2021 betrug das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage. Seit fast einem Jahr (351 Tage) hatten die Geräte keine andere Aktualisierung erhalten – etwa Software-Updates, sogenannte Patches. Auf EU-Ebene zeigte sich eine noch schlechtere Lage: Die Firmware-Updates waren im Schnitt 930 Tage alt, andere Aktualisierungen wurden seit 411 Tagen ignoriert. Das Fazit: Bei vielen Geräten bedeutet die Nutzung große Risiken für die Datensicherheit. Die Geräte sind leicht angreifbar, der Schutz sensibler Daten ist nicht gewährleistet.

DSGVO folgenlos für die Datensicherheit

Interessant: Während die Geräte global betrachtet nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) eher „jünger“ wurden, hat sich das Gerätealter ausgerechnet in den meisten EU-Staaten erhöht. In 28 von 35 Mitgliedsstaaten war das Gerätealter sogar um durchschnittlich 99 Tage höher geworden. Dabei enthält die DSGVO Regelungen genau zu dieser kritischen Frage – doch verbessert hat sie die Aktualität der Software nicht.

Das hat auch Frank Ebbers überrascht, Autor eines der Forschungspapiere zum Thema. Dass die DSGVO in dieser Hinsicht tendenziell  keine Auswirkungen hatte, können daran liegen, dass Nutzerinnen und Nutzer glaubten, die Unternehmen nun für Update zuständig seien und dass sich diese nun mehr um die Datensicherheit kümmern würde, so der Wissenschaftler. Tatsächlich seien jedoch Hersteller, Regulierungsbehörden und Nutzende gemeinsam verantwortlich. „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“, betont Frank Ebbers.

Wie sich die Datensicherheit verbessern lässt

Bei der Frage nach veralteten Updates sind häufig sogenannte „Over-the-Air“-Updates im Gespräch: Mit dieser automatischen Aktualisierungen, heißt es, könne sich die Lage verbessern. Der Fraunhofer-Forscher bezweifelt das: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte.“

Frank Ebbers hat zwei konkrete Vorschläge, wie sich die Datensicherheit durch alte Soft- und Firmware verringern ließe.  Zum einen sollten die Regulierungsbehörden Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen. Diese müssten für Endnutzende leicht verständlich sind. Und zweitens: Updates könnten als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.

Ein Beitrag von:

  • Maike Petersen

    Maike Petersen

    Nach dem Geschichtsstudium ließ sich Maike Petersen bei der Deutschen Presseagentur dpa in Hamburg zur Mediendokumentarin in Recherche und Lektorat ausbilden und machte später einer Ausbildung zur Redakteurin an der Journalistenschule Axel Springer. Seit vierzehn Jahren arbeitet sie freiberuflich und gehört zum Team von Content Qualitäten. Ihre Themen:  Medizin und Energie.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.