IoT-Geräte: Das macht sie zum Risiko für die Datensicherheit

Schutz sensibler Daten auf IoT-Geräten: Fehlende Updates können schwerwiegende Hackerangriffe möglich machen.

Foto: Fraunhofer ISI

Wearables zum Tracken von Fitness, Schlaf und Gesundheit, Sensoren, die das Zuhause überwachen, intelligente Lautsprecher mitten im Wohnzimmer: Längst umgeben wir uns mit zahllosen IoT-Geräten, die vermeintlich unkompliziert den Alltag interessanter und komfortabler machen. Nicht zuletzt werden auch industrielle IoT-Geräte eingesetzt, etwa um in der Produktion Maschinen zu überwachen. Sobald sie scheinbar problemlos ihre Funktion erfüllen, verschwinden sie leicht aus der Wahrnehmung. Dabei verarbeiten diese Devices oft höchst sensible Daten. Für deren Sicherheit ist es entscheidend, dass die Soft- und Firmware der Geräte aktuell ist, sonst drohen Datenklau, Industriespionage und Hackerangriffe.

Fehlende Updates: großes Risiko für den Datenschutz

Diese Schwachstelle hat jetzt eine Studie des Fraunhofer ISI in den Blick genommen. Dazu analysierte ein Forschungsteam die Daten von 52 Milliarden Geräten, den Ort ihrer Installation und Nutzung, wie aktuell ihre Firmware ist und ob sich ihre Sicherheit seit Inkrafttreten der europäischen Datenschutz-Grundverordnung verbessert hat. Die Ergebnisse sind desillusionierend: Es ist nur eine Frage der Zeit, bis es zu schwerwiegenden Cyberangriffen kommen könnte.

Häufig ignorieren Verbraucherinnen und Verbraucher Schwachstellen in veralteter Firmware sowie Updates oder Patches, selbst wenn ihnen Aktualisierungen von den Herstellern zur Verfügung gestellt werden. Dazu kommt: Viele Firmen bieten Software- oder Firmware-Updates zu ihren IoT-Produkten gar nicht an – zugunsten einer schnellen Markteinführung. Die Folge können große Datenschutz- und Sicherheitslücken sein.

Dabei gibt es bereits seit 2022 laut einer EU-Richtlinie ein „Recht auf Updates“ – ein wichtiger Schritt zu mehr Sicherheit dieser Geräte. Entscheiderinnen und Entscheider in der Politik wissen um die Bedeutung  dieses kritischen Punktes und streben strenge Regulierungen etwa durch die europäische Datenschutz-Grundverordnung an. Kürzlich hat die EU-Kommission zudem den sogenannten Cyber Resilience Act unterzeichnet. Dieser verpflichtet jetzt die Hersteller, ihren Kundinnen und Kunden sicherheitsrelevante Updates auch Jahre nach dem Kauf eines Gerätes anzubieten.

Mehr zu IT-Sicherheit und Datenschutz

IT-Sicherheit

Schwachstelle in der CPU: Neues Risiko für Datendiebstahl

Computersicherheit

Die häufigsten Varianten von Cyberangriffen im World Wide Web

Smart Home

Mit Smart Home Energie sparen: eco Verband gibt Sicherheitstipps

Stellenangebote im Bereich IT/TK-Projektmanagement

IT/TK-Projektmanagement Jobs

Slider zurück scrollen Slider weiter scrollen

Verstärkung für unsere technischen Projekte im Bereich Engineering und IT (m/w/d) RHEINMETALL AG

deutschlandweit Zum Job 

Ingenieur (m/w/d) Informatik / Elektrotechnik / Automatisierungstechnik / Chemische Produktion Evonik Operations GmbH

Essen Zum Job 

BIM-Manager (w/m/d) Regierungspräsidium Freiburg

Freiburg im Breisgau Zum Job 

Projekt IT-Ingenieur (m/w/d) Fresenius Kabi Deutschland GmbH

Friedberg Zum Job 

Betriebstechniker (m/w/d) Prozessleittechnik Mercer Stendal GmbH

Arneburg Zum Job 

Project Manager Product Lifecycle Management (m/w/d) Wirtgen GmbH

Windhagen Zum Job 

Ingenieur (w/m/d) Informationssicherheit Die Autobahn GmbH des Bundes

Frankfurt Zum Job 

Zukunftsmacher*in Fachhochschule Dortmund

Dortmund Zum Job 

Akademische:r Mitarbeiter:in (m/w/x) "SMARTE ASSISTENZSYSTEME" Hochschule Reutlingen

Reutlingen Zum Job 

Planungsingenieur:in / Projektleiter:in Fahrgastinformation (d/m/w) Stadtwerke Verkehrsgesellschaft Frankfurt am Main mbH

Frankfurt am Main Zum Job 

Software-Testingenieur (m/w/d) Testautomatisierung -Steuerungssoftware für mobile Arbeitsmaschinen Wirtgen GmbH

Windhagen Zum Job 

W2-Professur "Deep Learning" TU Bergakademie Freiberg

Freiberg Zum Job 

Geoinformatiker (m/w/d) / Vermessungsingenieur (m/w/d) als Projektleiter (m/w/d) GIS - Fachanwendungen Energie und Wasser Potsdam GmbH

Potsdam Zum Job 

Firmware in der EU besonders alt

In der aktuellen Studie analysierte das Forschungsteam 400 Terabyte Daten, die von insgesamt 52 Milliarden Geräten stammen. Erhoben wurde die Daten mit Hilfe der IoT-Suchmaschine Censys.io zwischen Oktober 2015 und Ende November 2021.

Der gigantische Datensatz umfasst Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen zahlreichen Ländern weltweit, in denen die Geräte installiert sind. Dazu zählen unter anderem alle Mitgliedstaaten der Europäischen Union, Großbritannien, die G7-Staaten, die Schweiz, Russland, die Ukraine sowie asiatische Länder wie Malaysia, Indonesien, Singapur und Japan. Die mit Abstand meisten Geräte werden in den USA genutzt (52 Prozent), gefolgt von Deutschland (7 Prozent), Russland, Großbritannien, Japan und Frankreich.

Bei der Auswertung mit Stand Ende 2021 betrug das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage. Seit fast einem Jahr (351 Tage) hatten die Geräte keine andere Aktualisierung erhalten – etwa Software-Updates, sogenannte Patches. Auf EU-Ebene zeigte sich eine noch schlechtere Lage: Die Firmware-Updates waren im Schnitt 930 Tage alt, andere Aktualisierungen wurden seit 411 Tagen ignoriert. Das Fazit: Bei vielen Geräten bedeutet die Nutzung große Risiken für die Datensicherheit. Die Geräte sind leicht angreifbar, der Schutz sensibler Daten ist nicht gewährleistet.

DSGVO folgenlos für die Datensicherheit

Interessant: Während die Geräte global betrachtet nach der Einführung der europäischen Datenschutz-Grundverordnung (DSGVO) eher „jünger“ wurden, hat sich das Gerätealter ausgerechnet in den meisten EU-Staaten erhöht. In 28 von 35 Mitgliedsstaaten war das Gerätealter sogar um durchschnittlich 99 Tage höher geworden. Dabei enthält die DSGVO Regelungen genau zu dieser kritischen Frage – doch verbessert hat sie die Aktualität der Software nicht.

Das hat auch Frank Ebbers überrascht, Autor eines der Forschungspapiere zum Thema. Dass die DSGVO in dieser Hinsicht tendenziell  keine Auswirkungen hatte, können daran liegen, dass Nutzerinnen und Nutzer glaubten, die Unternehmen nun für Update zuständig seien und dass sich diese nun mehr um die Datensicherheit kümmern würde, so der Wissenschaftler. Tatsächlich seien jedoch Hersteller, Regulierungsbehörden und Nutzende gemeinsam verantwortlich. „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“, betont Frank Ebbers.

Wie sich die Datensicherheit verbessern lässt

Bei der Frage nach veralteten Updates sind häufig sogenannte „Over-the-Air“-Updates im Gespräch: Mit dieser automatischen Aktualisierungen, heißt es, könne sich die Lage verbessern. Der Fraunhofer-Forscher bezweifelt das: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte.“

Frank Ebbers hat zwei konkrete Vorschläge, wie sich die Datensicherheit durch alte Soft- und Firmware verringern ließe.  Zum einen sollten die Regulierungsbehörden Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen. Diese müssten für Endnutzende leicht verständlich sind. Und zweitens: Updates könnten als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.