IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit
Das Internet of Things (IoT) ist längst allgegenwärtig. Eine neue Studie des Fraunhofer Instituts ISI zeigt jetzt: Weltweit sind sensible Daten auf Millionen IoT-Geräten nicht vor Cyberangriffen sicher. Dabei ließe sich die Datensicherheit leicht verbessern – von Herstellern und Nutzenden.
Schutz sensibler Daten auf IoT-Geräten: Fehlende Updates können schwerwiegende Hackerangriffe möglich machen.
Foto: Fraunhofer ISI
Wearables zum Tracken von Fitness, Schlaf und Gesundheit, Sensoren, die das Zuhause überwachen, intelligente Lautsprecher mitten im Wohnzimmer: Längst umgeben wir uns mit zahllosen IoT-Geräten, die vermeintlich unkompliziert den Alltag interessanter und komfortabler machen. Nicht zuletzt werden auch industrielle IoT-Geräte eingesetzt, etwa um in der Produktion Maschinen zu überwachen. Sobald sie scheinbar problemlos ihre Funktion erfüllen, verschwinden sie leicht aus der Wahrnehmung. Dabei verarbeiten diese Devices oft höchst sensible Daten. Für deren Sicherheit ist es entscheidend, dass die Soft- und Firmware der Geräte aktuell ist, sonst drohen Datenklau, Industriespionage und Hackerangriffe.
Fehlende Updates: großes Risiko für den Datenschutz
Diese Schwachstelle hat jetzt eine Studie des Fraunhofer ISI in den Blick genommen. Dazu analysierte ein Forschungsteam die Daten von 52 Milliarden Geräten, den Ort ihrer Installation und Nutzung, wie aktuell ihre Firmware ist und ob sich ihre Sicherheit seit Inkrafttreten der europäischen Datenschutz-Grundverordnung verbessert hat. Die Ergebnisse sind desillusionierend: Es ist nur eine Frage der Zeit, bis es zu schwerwiegenden Cyberangriffen kommen könnte.
Häufig ignorieren Verbraucherinnen und Verbraucher Schwachstellen in veralteter Firmware sowie Updates oder Patches, selbst wenn ihnen Aktualisierungen von den Herstellern zur Verfügung gestellt werden. Dazu kommt: Viele Firmen bieten Software- oder Firmware-Updates zu ihren IoT-Produkten gar nicht an – zugunsten einer schnellen Markteinführung. Die Folge können große Datenschutz- und Sicherheitslücken sein.
Dabei gibt es bereits seit 2022 laut einer EU-Richtlinie ein „Recht auf Updates“ – ein wichtiger Schritt zu mehr Sicherheit dieser Geräte. Entscheiderinnen und Entscheider in der Politik wissen um die Bedeutung dieses kritischen Punktes und streben strenge Regulierungen etwa durch die europäische Datenschutz-Grundverordnung an. Kürzlich hat die EU-Kommission zudem den sogenannten Cyber Resilience Act unterzeichnet. Dieser verpflichtet jetzt die Hersteller, ihren Kundinnen und Kunden sicherheitsrelevante Updates auch Jahre nach dem Kauf eines Gerätes anzubieten.
Firmware in der EU besonders alt
In der aktuellen Studie analysierte das Forschungsteam 400 Terabyte Daten, die von insgesamt 52 Milliarden Geräten stammen. Erhoben wurde die Daten mit Hilfe der IoT-Suchmaschine Censys.io zwischen Oktober 2015 und Ende November 2021.
Der gigantische Datensatz umfasst Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen zahlreichen Ländern weltweit, in denen die Geräte installiert sind. Dazu zählen unter anderem alle Mitgliedstaaten der Europäischen Union, Großbritannien, die G7-Staaten, die Schweiz, Russland, die Ukraine sowie asiatische Länder wie Malaysia, Indonesien, Singapur und Japan. Die mit Abstand meisten Geräte werden in den USA genutzt (52 Prozent), gefolgt von Deutschland (7 Prozent), Russland, Großbritannien, Japan und Frankreich.
Bei der Auswertung mit Stand Ende 2021 betrug das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage. Seit fast einem Jahr (351 Tage) hatten die Geräte keine andere Aktualisierung erhalten – etwa Software-Updates, sogenannte Patches. Auf EU-Ebene zeigte sich eine noch schlechtere Lage: Die Firmware-Updates waren im Schnitt 930 Tage alt, andere Aktualisierungen wurden seit 411 Tagen ignoriert. Das Fazit: Bei vielen Geräten bedeutet die Nutzung große Risiken für die Datensicherheit. Die Geräte sind leicht angreifbar, der Schutz sensibler Daten ist nicht gewährleistet.
DSGVO folgenlos für die Datensicherheit
Interessant: Während die Geräte global betrachtet nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) eher „jünger“ wurden, hat sich das Gerätealter ausgerechnet in den meisten EU-Staaten erhöht. In 28 von 35 Mitgliedsstaaten war das Gerätealter sogar um durchschnittlich 99 Tage höher geworden. Dabei enthält die DSGVO Regelungen genau zu dieser kritischen Frage – doch verbessert hat sie die Aktualität der Software nicht.
Das hat auch Frank Ebbers überrascht, Autor eines der Forschungspapiere zum Thema. Dass die DSGVO in dieser Hinsicht tendenziell keine Auswirkungen hatte, können daran liegen, dass Nutzerinnen und Nutzer glaubten, die Unternehmen nun für Update zuständig seien und dass sich diese nun mehr um die Datensicherheit kümmern würde, so der Wissenschaftler. Tatsächlich seien jedoch Hersteller, Regulierungsbehörden und Nutzende gemeinsam verantwortlich. „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“, betont Frank Ebbers.
Wie sich die Datensicherheit verbessern lässt
Bei der Frage nach veralteten Updates sind häufig sogenannte „Over-the-Air“-Updates im Gespräch: Mit dieser automatischen Aktualisierungen, heißt es, könne sich die Lage verbessern. Der Fraunhofer-Forscher bezweifelt das: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte.“
Frank Ebbers hat zwei konkrete Vorschläge, wie sich die Datensicherheit durch alte Soft- und Firmware verringern ließe. Zum einen sollten die Regulierungsbehörden Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen. Diese müssten für Endnutzende leicht verständlich sind. Und zweitens: Updates könnten als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.
Ein Beitrag von:
