IT-Sicherheit 21.12.2023, 07:00 Uhr

IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit

Das Internet of Things (IoT) ist längst allgegenwärtig. Eine neue Studie des Fraunhofer Instituts ISI zeigt jetzt: Weltweit sind sensible Daten auf Millionen IoT-Geräten nicht vor Cyberangriffen sicher. Dabei ließe sich die Datensicherheit leicht verbessern – von Herstellern und Nutzenden.

Internet of Things

Schutz sensibler Daten auf IoT-Geräten: Fehlende Updates können schwerwiegende Hackerangriffe möglich machen.

Foto: Fraunhofer ISI

Wearables zum Tracken von Fitness, Schlaf und Gesundheit, Sensoren, die das Zuhause überwachen, intelligente Lautsprecher mitten im Wohnzimmer: Längst umgeben wir uns mit zahllosen IoT-Geräten, die vermeintlich unkompliziert den Alltag interessanter und komfortabler machen. Nicht zuletzt werden auch industrielle IoT-Geräte eingesetzt, etwa um in der Produktion Maschinen zu überwachen. Sobald sie scheinbar problemlos ihre Funktion erfüllen, verschwinden sie leicht aus der Wahrnehmung. Dabei verarbeiten diese Devices oft höchst sensible Daten. Für deren Sicherheit ist es entscheidend, dass die Soft- und Firmware der Geräte aktuell ist, sonst drohen Datenklau, Industriespionage und Hackerangriffe.

Fehlende Updates: großes Risiko für den Datenschutz

Diese Schwachstelle hat jetzt eine Studie des Fraunhofer ISI in den Blick genommen. Dazu analysierte ein Forschungsteam die Daten von 52 Milliarden Geräten, den Ort ihrer Installation und Nutzung, wie aktuell ihre Firmware ist und ob sich ihre Sicherheit seit Inkrafttreten der europäischen Datenschutz-Grundverordnung verbessert hat. Die Ergebnisse sind desillusionierend: Es ist nur eine Frage der Zeit, bis es zu schwerwiegenden Cyberangriffen kommen könnte.

Häufig ignorieren Verbraucherinnen und Verbraucher Schwachstellen in veralteter Firmware sowie Updates oder Patches, selbst wenn ihnen Aktualisierungen von den Herstellern zur Verfügung gestellt werden. Dazu kommt: Viele Firmen bieten Software- oder Firmware-Updates zu ihren IoT-Produkten gar nicht an – zugunsten einer schnellen Markteinführung. Die Folge können große Datenschutz- und Sicherheitslücken sein.

Dabei gibt es bereits seit 2022 laut einer EU-Richtlinie ein „Recht auf Updates“ – ein wichtiger Schritt zu mehr Sicherheit dieser Geräte. Entscheiderinnen und Entscheider in der Politik wissen um die Bedeutung  dieses kritischen Punktes und streben strenge Regulierungen etwa durch die europäische Datenschutz-Grundverordnung an. Kürzlich hat die EU-Kommission zudem den sogenannten Cyber Resilience Act unterzeichnet. Dieser verpflichtet jetzt die Hersteller, ihren Kundinnen und Kunden sicherheitsrelevante Updates auch Jahre nach dem Kauf eines Gerätes anzubieten.

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs
Energie und Wasser Potsdam GmbH-Firmenlogo
Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH
Potsdam Zum Job 
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Software Engineering - Moderne Verfahren" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 
Niedersächsische Landesbehörde für Straßenbau und Verkehr-Firmenlogo
BIM-Manager (m/w/d) für Bauprojekte Niedersächsische Landesbehörde für Straßenbau und Verkehr
Hannover Zum Job 
Die Autobahn GmbH des Bundes-Firmenlogo
Fachingenieur (w/m/d) BIM Die Autobahn GmbH des Bundes
Technische Hochschule Deggendorf-Firmenlogo
Forschungsprofessur oder Nachwuchsprofessur (m/w/d) Industrielle Robotik Technische Hochschule Deggendorf
Fresenius Kabi Deutschland GmbH-Firmenlogo
Projekt IT-Ingenieur (m/w/d) Fresenius Kabi Deutschland GmbH
Friedberg Zum Job 
Mercer Stendal GmbH-Firmenlogo
Betriebstechniker (m/w/d) Prozessleittechnik Mercer Stendal GmbH
Arneburg Zum Job 
Wirtgen GmbH-Firmenlogo
Project Manager Product Lifecycle Management (m/w/d) Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Wissenschaftl. Mitarbeiter*in in der Talentakademie "Smart Factory & Products" Hochschule Osnabrück
Osnabrück Zum Job 
NORDEX GROUP-Firmenlogo
SCADA Projektingenieur (m/w/d) NORDEX GROUP
Hamburg, Rostock Zum Job 
Westfälische Hochschule-Firmenlogo
Professur Künstliche Intelligenz und Industrielle Automation (W2) Westfälische Hochschule
Gelsenkirchen Zum Job 
CS CLEAN SOLUTIONS GmbH-Firmenlogo
Mitarbeiter für die Steuerungstechnik Software (m/w/d) CS CLEAN SOLUTIONS GmbH
Ismaning bei München Zum Job 
RHEINMETALL AG-Firmenlogo
Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG
deutschlandweit Zum Job 
FlowChief GmbH-Firmenlogo
Techniker:in Automatisierung (SCADA) (m/w/d) FlowChief GmbH
Wendelstein Zum Job 
Wirtgen GmbH-Firmenlogo
Software-Ingenieur (m/w/d) Elektrotechnik im Bereich Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH
Windhagen Zum Job 
Hochschule Osnabrück-Firmenlogo
Tandem-Professur Robotik, Data Science and AI, Digitalisierte Wertschöpfungsprozesse Hochschule Osnabrück
Osnabrück, Lingen Zum Job 
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professur (W2) | auf Lebenszeit Fachgebiet Rechnerarchitekturen und Rechnersysteme Hochschule für Technik und Wirtschaft Berlin
Hochschule für Technik und Wirtschaft Berlin-Firmenlogo
Professor (W2) | Permanent Computer Architecture and Computer Systems Hochschule für Technik und Wirtschaft Berlin
Frankfurt University of Applied Sciences-Firmenlogo
Professur "Vernetzte Eingebettete Systeme" (w/m/d) Frankfurt University of Applied Sciences
Frankfurt am Main Zum Job 

Firmware in der EU besonders alt

In der aktuellen Studie analysierte das Forschungsteam 400 Terabyte Daten, die von insgesamt 52 Milliarden Geräten stammen. Erhoben wurde die Daten mit Hilfe der IoT-Suchmaschine Censys.io zwischen Oktober 2015 und Ende November 2021.

Der gigantische Datensatz umfasst Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen zahlreichen Ländern weltweit, in denen die Geräte installiert sind. Dazu zählen unter anderem alle Mitgliedstaaten der Europäischen Union, Großbritannien, die G7-Staaten, die Schweiz, Russland, die Ukraine sowie asiatische Länder wie Malaysia, Indonesien, Singapur und Japan. Die mit Abstand meisten Geräte werden in den USA genutzt (52 Prozent), gefolgt von Deutschland (7 Prozent), Russland, Großbritannien, Japan und Frankreich.

Bei der Auswertung mit Stand Ende 2021 betrug das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage. Seit fast einem Jahr (351 Tage) hatten die Geräte keine andere Aktualisierung erhalten – etwa Software-Updates, sogenannte Patches. Auf EU-Ebene zeigte sich eine noch schlechtere Lage: Die Firmware-Updates waren im Schnitt 930 Tage alt, andere Aktualisierungen wurden seit 411 Tagen ignoriert. Das Fazit: Bei vielen Geräten bedeutet die Nutzung große Risiken für die Datensicherheit. Die Geräte sind leicht angreifbar, der Schutz sensibler Daten ist nicht gewährleistet.

DSGVO folgenlos für die Datensicherheit

Interessant: Während die Geräte global betrachtet nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) eher „jünger“ wurden, hat sich das Gerätealter ausgerechnet in den meisten EU-Staaten erhöht. In 28 von 35 Mitgliedsstaaten war das Gerätealter sogar um durchschnittlich 99 Tage höher geworden. Dabei enthält die DSGVO Regelungen genau zu dieser kritischen Frage – doch verbessert hat sie die Aktualität der Software nicht.

Das hat auch Frank Ebbers überrascht, Autor eines der Forschungspapiere zum Thema. Dass die DSGVO in dieser Hinsicht tendenziell  keine Auswirkungen hatte, können daran liegen, dass Nutzerinnen und Nutzer glaubten, die Unternehmen nun für Update zuständig seien und dass sich diese nun mehr um die Datensicherheit kümmern würde, so der Wissenschaftler. Tatsächlich seien jedoch Hersteller, Regulierungsbehörden und Nutzende gemeinsam verantwortlich. „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“, betont Frank Ebbers.

Wie sich die Datensicherheit verbessern lässt

Bei der Frage nach veralteten Updates sind häufig sogenannte „Over-the-Air“-Updates im Gespräch: Mit dieser automatischen Aktualisierungen, heißt es, könne sich die Lage verbessern. Der Fraunhofer-Forscher bezweifelt das: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte.“

Frank Ebbers hat zwei konkrete Vorschläge, wie sich die Datensicherheit durch alte Soft- und Firmware verringern ließe.  Zum einen sollten die Regulierungsbehörden Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen. Diese müssten für Endnutzende leicht verständlich sind. Und zweitens: Updates könnten als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.

Ein Beitrag von:

  • Maike Petersen

    Maike Petersen

    Nach dem Geschichtsstudium ließ sich Maike Petersen bei der Deutschen Presseagentur dpa in Hamburg zur Mediendokumentarin in Recherche und Lektorat ausbilden und machte später einer Ausbildung zur Redakteurin an der Journalistenschule Axel Springer. Seit vierzehn Jahren arbeitet sie freiberuflich und gehört zum Team von Content Qualitäten. Ihre Themen:  Medizin und Energie.

Zu unseren Newslettern anmelden

Das Wichtigste immer im Blick: Mit unseren beiden Newslettern verpassen Sie keine News mehr aus der schönen neuen Technikwelt und erhalten Karrieretipps rund um Jobsuche & Bewerbung. Sie begeistert ein Thema mehr als das andere? Dann wählen Sie einfach Ihren kostenfreien Favoriten.