IT-Sicherheit 21.12.2023, 07:00 Uhr

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit

Das Internet of Things (IoT) ist längst allgegenwärtig. Eine neue Studie des Fraunhofer Instituts ISI zeigt jetzt: Weltweit sind sensible Daten auf Millionen IoT-Geräten nicht vor Cyberangriffen sicher. Dabei ließe sich die Datensicherheit leicht verbessern – von Herstellern und Nutzenden.

Internet of Things

Schutz sensibler Daten auf IoT-Geräten: Fehlende Updates können schwerwiegende Hackerangriffe möglich machen.

Foto: Fraunhofer ISI

Wearables zum Tracken von Fitness, Schlaf und Gesundheit, Sensoren, die das Zuhause überwachen, intelligente Lautsprecher mitten im Wohnzimmer: Längst umgeben wir uns mit zahllosen IoT-Geräten, die vermeintlich unkompliziert den Alltag interessanter und komfortabler machen. Nicht zuletzt werden auch industrielle IoT-Geräte eingesetzt, etwa um in der Produktion Maschinen zu überwachen. Sobald sie scheinbar problemlos ihre Funktion erfüllen, verschwinden sie leicht aus der Wahrnehmung. Dabei verarbeiten diese Devices oft höchst sensible Daten. Für deren Sicherheit ist es entscheidend, dass die Soft- und Firmware der Geräte aktuell ist, sonst drohen Datenklau, Industriespionage und Hackerangriffe.

Fehlende Updates: großes Risiko für den Datenschutz

Diese Schwachstelle hat jetzt eine Studie des Fraunhofer ISI in den Blick genommen. Dazu analysierte ein Forschungsteam die Daten von 52 Milliarden Geräten, den Ort ihrer Installation und Nutzung, wie aktuell ihre Firmware ist und ob sich ihre Sicherheit seit Inkrafttreten der europäischen Datenschutz-Grundverordnung verbessert hat. Die Ergebnisse sind desillusionierend: Es ist nur eine Frage der Zeit, bis es zu schwerwiegenden Cyberangriffen kommen könnte.

Top Stellenangebote

Zur Jobbörse
ROTORCOMP VERDICHTER GmbH-Firmenlogo
Versuchsingenieur (m/w/d) ROTORCOMP VERDICHTER GmbH
Geretsried bei München Zum Job 
zigmo engineering GmbH-Firmenlogo
Bauingenieur / Architekt (w/m/d) als Büroleiter (optional Geschäftsführung) (m/w/d) am Standort Aschaffenburg zigmo engineering GmbH
Aschaffenburg Zum Job 
G. Staehle GmbH u. Co. KG-Firmenlogo
Konstrukteur (m/w/d) G. Staehle GmbH u. Co. KG
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur / Bauingenieur (w/m/d) Konstruktiver Ingenieurbau Die Autobahn GmbH des Bundes
Netzgesellschaft Potsdam GmbH-Firmenlogo
Ingenieur (m/w/d) Strategische Netzplanung Wasser und Abwasser Netzgesellschaft Potsdam GmbH
Potsdam Zum Job 
über BriSS Personnel Recruitment-Firmenlogo
Geschäftsführer (m/w/d) Technische Keramik über BriSS Personnel Recruitment
südliches Baden-Württemberg Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektingenieur, inkl. Teamleitung (w/m/d) für den Brücken- und Ingenieurbau Die Autobahn GmbH des Bundes
PARI Pharma GmbH-Firmenlogo
Senior Projekt-/Entwicklungsingenieur (m/w/d) in der Konstruktion von Medizingeräten PARI Pharma GmbH
Gräfelfing bei München Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Projektleiter Bau und Erhaltung (w/m/d) Die Autobahn GmbH des Bundes
Regensburg Zum Job 
Rittal-Firmenlogo
Quality Engineer (m/w/d) Rittal
Herborn Zum Job 
Pilkington Deutschland AG-Firmenlogo
Teamleiter Energie und Umwelt (Maschinenbauingenieur o.ä.) (m/w/d) Pilkington Deutschland AG
Gladbeck Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Ingenieur (w/m/d) Bauwerkserhaltung und -prüfung Die Autobahn GmbH des Bundes
Bochum, Dillenburg, Osnabrück Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Vermessungsingenieur (w/m/d) Die Autobahn GmbH des Bundes
Stuttgarter Straßenbahnen AG-Firmenlogo
Projektingenieur:in / Planer:in - BOS-Funksystem / Funkinfrastruktur / Roll-Out (m/w/d) Stuttgarter Straßenbahnen AG
Stuttgart Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Bauingenieur (w/m/d) als Experte für Vergabe und Vertragsabwicklung von Bauleistungen Die Autobahn GmbH des Bundes
Heinrich Wassermann GmbH & Co. KG-Firmenlogo
Bauleiter / Bauingenieur / Projektingenieur (m/w/d) als Projektleiter für Hochbau oder Tiefbau Heinrich Wassermann GmbH & Co. KG
Crossen Zum Job 
PASS GmbH & Co. KG-Firmenlogo
Entwicklungsingenieur/in oder Chemieingenieur/in (m/w/x) PASS GmbH & Co. KG
Schwelm Zum Job 
Stadtwerke München GmbH-Firmenlogo
Strategische*r Einkäufer*in Anlagenbau (m/w/d) Stadtwerke München GmbH
München Zum Job 
PASS GmbH & Co. KG-Firmenlogo
Entwicklungsingenieur/in oder Chemieingenieur/in (m/w/x) PASS GmbH & Co. KG
Schwelm Zum Job 
Richard Wolf GmbH-Firmenlogo
Abteilungsleiter Auftragsmanagement (m/w/d) Richard Wolf GmbH
Knittlingen Zum Job 

Häufig ignorieren Verbraucherinnen und Verbraucher Schwachstellen in veralteter Firmware sowie Updates oder Patches, selbst wenn ihnen Aktualisierungen von den Herstellern zur Verfügung gestellt werden. Dazu kommt: Viele Firmen bieten Software- oder Firmware-Updates zu ihren IoT-Produkten gar nicht an – zugunsten einer schnellen Markteinführung. Die Folge können große Datenschutz- und Sicherheitslücken sein.

Dabei gibt es bereits seit 2022 laut einer EU-Richtlinie ein „Recht auf Updates“ – ein wichtiger Schritt zu mehr Sicherheit dieser Geräte. Entscheiderinnen und Entscheider in der Politik wissen um die Bedeutung  dieses kritischen Punktes und streben strenge Regulierungen etwa durch die europäische Datenschutz-Grundverordnung an. Kürzlich hat die EU-Kommission zudem den sogenannten Cyber Resilience Act unterzeichnet. Dieser verpflichtet jetzt die Hersteller, ihren Kundinnen und Kunden sicherheitsrelevante Updates auch Jahre nach dem Kauf eines Gerätes anzubieten.

Firmware in der EU besonders alt

In der aktuellen Studie analysierte das Forschungsteam 400 Terabyte Daten, die von insgesamt 52 Milliarden Geräten stammen. Erhoben wurde die Daten mit Hilfe der IoT-Suchmaschine Censys.io zwischen Oktober 2015 und Ende November 2021.

Der gigantische Datensatz umfasst Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen zahlreichen Ländern weltweit, in denen die Geräte installiert sind. Dazu zählen unter anderem alle Mitgliedstaaten der Europäischen Union, Großbritannien, die G7-Staaten, die Schweiz, Russland, die Ukraine sowie asiatische Länder wie Malaysia, Indonesien, Singapur und Japan. Die mit Abstand meisten Geräte werden in den USA genutzt (52 Prozent), gefolgt von Deutschland (7 Prozent), Russland, Großbritannien, Japan und Frankreich.

Bei der Auswertung mit Stand Ende 2021 betrug das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage. Seit fast einem Jahr (351 Tage) hatten die Geräte keine andere Aktualisierung erhalten – etwa Software-Updates, sogenannte Patches. Auf EU-Ebene zeigte sich eine noch schlechtere Lage: Die Firmware-Updates waren im Schnitt 930 Tage alt, andere Aktualisierungen wurden seit 411 Tagen ignoriert. Das Fazit: Bei vielen Geräten bedeutet die Nutzung große Risiken für die Datensicherheit. Die Geräte sind leicht angreifbar, der Schutz sensibler Daten ist nicht gewährleistet.

DSGVO folgenlos für die Datensicherheit

Interessant: Während die Geräte global betrachtet nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) eher „jünger“ wurden, hat sich das Gerätealter ausgerechnet in den meisten EU-Staaten erhöht. In 28 von 35 Mitgliedsstaaten war das Gerätealter sogar um durchschnittlich 99 Tage höher geworden. Dabei enthält die DSGVO Regelungen genau zu dieser kritischen Frage – doch verbessert hat sie die Aktualität der Software nicht.

Das hat auch Frank Ebbers überrascht, Autor eines der Forschungspapiere zum Thema. Dass die DSGVO in dieser Hinsicht tendenziell  keine Auswirkungen hatte, können daran liegen, dass Nutzerinnen und Nutzer glaubten, die Unternehmen nun für Update zuständig seien und dass sich diese nun mehr um die Datensicherheit kümmern würde, so der Wissenschaftler. Tatsächlich seien jedoch Hersteller, Regulierungsbehörden und Nutzende gemeinsam verantwortlich. „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“, betont Frank Ebbers.

Wie sich die Datensicherheit verbessern lässt

Bei der Frage nach veralteten Updates sind häufig sogenannte „Over-the-Air“-Updates im Gespräch: Mit dieser automatischen Aktualisierungen, heißt es, könne sich die Lage verbessern. Der Fraunhofer-Forscher bezweifelt das: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte.“

Frank Ebbers hat zwei konkrete Vorschläge, wie sich die Datensicherheit durch alte Soft- und Firmware verringern ließe.  Zum einen sollten die Regulierungsbehörden Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen. Diese müssten für Endnutzende leicht verständlich sind. Und zweitens: Updates könnten als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.

Ein Beitrag von:

  • Maike Petersen

    Maike Petersen

    Nach dem Geschichtsstudium ließ sich Maike Petersen bei der Deutschen Presseagentur dpa in Hamburg zur Mediendokumentarin in Recherche und Lektorat ausbilden und machte später einer Ausbildung zur Redakteurin an der Journalistenschule Axel Springer. Seit vierzehn Jahren arbeitet sie freiberuflich und gehört zum Team von Content Qualitäten. Ihre Themen:  Medizin und Energie.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.