Das Internet of Things (IoT) wächst rasant. Im gleichen Masse steigen die IoT-Risiken, denn vernetzte Geräte haben Schwachstellen, die von Cyber-Kriminellen mit teilweise geringem Aufwand ausgenützt werden. Zudem ist die Security bei IoT Devices ein Thema, das oftmals vernachlässigt wird. Erfahren Sie im Blogpost, welche Massnahmen die IoT-Risiken effektiv senken und inwiefern «Security by Design» im Sicherheitsdispositiv zentral ist.

Die Welt wird immer digitaler und vernetzter. Folgendes Beispiel zeigt auf, wie Schwachstellen im Rahmen von Cyber-Attacken ausgenützt werden und für die Unternehmen so zum Risiko werden: Im Sommer 2021 blieben hunderte schwedische Lebensmittelläden tagelang geschlossen, weil das russische Hacker-Kollektiv «REvil» den US-Managed-Service-Provider (MSP) Kaseya angegriffen hat. Es fand eine Schwachstelle im System, mit dem Kaseya seine Managementsoftware verteilt und wartet: Die Angreifer drangen ein und verschickten ein manipuliertes Sicherheits-Update, um Kaseyas Kundschaft mit Ransomware zu attackieren. Die getarnte Ransomware-Datei installierte sich auf den Rechnern der Kundschaft automatisch – wie es im Bereich der MSP üblich ist. Kaseya reagierte schnell und setzte das System neu auf. Deshalb waren in einem ersten Schritt nur 70 von weltweit 37'000 Kunden von der Ransomware betroffen. Da diese 70 aber IT-Dienstleister für andere Unternehmen waren, konnte sich die Schadsoftware weiterverbreiten und schliesslich fast 2’000 weitere Unternehmen infizieren.

Mehr Cyber-Attacken – steigende IoT-Risiken

Eine Studie des israelischen Check Point Research (CPR) hat weltweit Cyber-Angriffe ausgewertet. In der Schweiz nahmen die Attacken 2021 um 65 Prozent gegenüber dem Vorjahr zu. Laut CPR waren Schweizer Healthcare-Anbieter am stärksten betroffen und verzeichneten einen Anstieg von 107 Prozent verglichen mit 2020. Gleich dahinter folgen Unternehmen in der Finanzbranche mit 98 Prozent sowie Institutionen im Bereich Government / Military mit 86 Prozent.

Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ging einen Schritt weiter und zählte, wie viele verschiedene Varianten von Schadsoftware im Jahr 2021 Computer deutscher Unternehmen und Institutionen angriffen. Im Durchschnitt waren es knapp 400'000 Varianten pro Tag. Als Ende des Jahres eine Sicherheitslücke in einer weitverbreiteten Software bekannt wurde, zählten die Experten sogar über 550'000 Varianten pro Tag.

HubSpot Video

Arten von Cyber-Attacken auf IoT-Geräte

Grundsätzlich können Cyber-Attacken  auf IoT-Geräte grob drei Kategorien zugewiesen werden: Attacken, welche auf das Nutzerverhalten abzielen, breit angelegte Malware-Attacken, welche auf falsches Nutzerverhalten und technische Schwachstellen abzielen und schliesslich Exploits bei welchen technische Schwachstellen, unabhängig vom Nutzerverhalten, systematisch ausgenutzt werden.

IoT-Geräte sind attraktive Angriffsziele

Sicherheitslücken können sich überall öffnen – insbesondere bei mit dem Internet vernetzten Geräten mit ihren zahlreichen Schnittstellen. Sie sind deshalb so anfällig auf Cyber-Attacken, weil viele Geräte wie zum Beispiel ein Medtech Device oder eine Maschinensteuerung ursprünglich nicht für eine Vernetzung entwickelt worden sind. Man kann sie zwar vernetzen, doch sie widerstehen Angriffen nicht, weil sie ungenügend gehärtet und oft ungepatched sind. Darüber hinaus sind die Systeme immer on, immer online, leicht ausnutzbar, oft schlecht gewartet, selten überwacht und entsprechen nur geringen Security-Standards.

IoT-Risiken im IoT-Ökosystem

IoT-Anwendungen sind auch meistens nicht stand-alone, sondern vielmehrt Bestandteil eines komplexen IoT-Ökosystems. Diese beinhalten häufig eine Vielzahl von Geräten – von einfachen Sensoren bis hin zu komplexen Servern sowie weiterer Hardware dazwischen. Auch die Art der Daten ist vielfältig: von der Verarbeitung von Einzeltransaktionen bis hin zur Erfassung riesiger Mengen an Sensordaten, die an unterschiedlichen Stellen erhoben, aggregiert und analysiert werden.

Deshalb muss bereits das einzelne IoT-Gerät selber schon sicher sein, um die Sicherheit des gesamten IoT-Ökosystem nicht zu gefährden und die IoT-Risiken zu minimieren. Das hierzu notwendige spezifische Fachwissen in der Product Cyber Security fehlt jedoch bei vielen Herstellern von IoT-Anwendungen, was die IoT-Risiken zusätzlich erhöht.