Millionen von IoT-Geräten in Haushalten und Unternehmen sind unzureichend gesichert und ermöglichen Angreifern einfachen Zugriff auf sensible Daten. Forscher warnen vor mangelhafter Verschlüsselung und fehlenden Passwortschutzoptionen.
Die Zahl der IoT-Geräte in privaten und geschäftlichen Umgebungen wächst rasant — doch das Sicherheitsbewusstsein hinkt diesem Wachstum deutlich hinterher. Ob Sprachassistenten wie Amazon Alexa oder Streaming-Geräte wie Apple TV: Nutzer unterschätzen die Risiken von Identitätsdiebstahl und unbefugtem Netzwerkzugriff, die mit diesen Geräten einhergehen.
Ein Kernproblem liegt in der Konstruktion selbst. IoT-Geräte benötigen Internetverbindung, verfügen aber häufig über unzureichende Verschlüsselung und problematische Standardeinstellungen. Viele Geräte ermöglichen nicht einmal die Eingabe eines Passworts — der Schutz liegt vollständig bei den Nutzern.
Mattia Epifani, zertifizierter Trainer am SANS Institute und Experte für digitale Forensik, hat sich intensiv mit IoT-Sicherheit auseinandergesetzt. Während seiner Forschungen analysierte er gängige Geräte wie Echo Dot, Apple TV und Google Home sowie intelligente Kühlschränke, Staubsaugroboter und Überwachungskameras. Das Ergebnis ist besorgniserregend: “Mit IoT-Geräten können Sie kein Passwort setzen. Es gibt keinen Schutz,” fasst Epifani zusammen.
Das Problem verschärft sich in Unternehmen erheblich. Während Firmen ihre Computer und Server mit Multifaktor-Authentifizierung, strengen Passwortrichtlinien und Verschlüsselung schützen, können vernetzte Geräte zum schwachsten Glied werden. Angreifer nutzen beispielsweise unsichere Kameras, um in Unternehmensnetzwerke einzudringen — diese älteren Technologien sind weniger geschützt als der Rest der Infrastruktur.
Ein weiteres Risiko: Wenn Nutzer dieselbe Amazon-, Google- oder Apple-ID für Einkäufe und IoT-Geräte verwenden und dabei Passwörter wiederverwenden, ermöglichen sie Angreifern laterale Bewegungen im Netzwerk. “Ich habe Fälle gesehen, in denen Unternehmen durch ihre IoT-Komponenten kompromittiert wurden,” berichtet Epifani.
Besonders kritisch ist die Datenverarbeitung auf den Geräten selbst. Da die Daten unverschlüsselt gespeichert sind, können alte Geräte, die über eBay verkauft oder entsorgt werden, problemlos ausgelesen werden. Epifani entdeckte auf gebrauchten Apple-TV-Geräten unverschlüsselte WLAN-Passwörter, die wiederum als Zugangscodes für Smartphones dienten.
Smart-Refrigerators stellen eine oft übersehene Bedrohung dar. Sie haben eingebaute Browser, speichern Passwörter und ermöglichen App-Installationen. “Wenn man Zugriff hat, kann man einen großen Teil des Lebens einer Person rekonstruieren,” warnt Epifani. “Alle gespeicherten Passwörter, besuchte Websites — alles ist zugänglich.”
Die Schuld liegt nicht allein bei den Nutzern. Epifani betont, dass manche Sicherheitsfeatures bewusst fehlen — warum Apple beispielsweise keine Passwortschutz-Option für Apple TV anbietet, bleibt unklar. Verschlüsselung kostet Herstellern Energie und damit Geld. Doch diesen Kompromiss zwischen Preis und Sicherheit müssen Unternehmen nicht akzeptieren.
Für Unternehmensumgebungen empfiehlt Epifani konkrete Maßnahmen: Separate Amazon-Konten für IoT-Geräte sowie ein isoliertes WLAN-Netzwerk für diese Geräte. So können Angreifer, die ein Gerät kompromittieren, nicht auf das Hauptnetzwerk zugreifen.
Epifanis Hauptziel ist, das Bewusstsein für diese Risiken zu schärfen. Zwar setzen Hersteller zunehmend auf Verschlüsselung, doch weltweit sind Milliarden ungesicherter IoT-Geräte im Einsatz. Deren Austausch wird Jahre dauern — ein wichtiger Grund, jetzt zu handeln.
Quelle: Dark Reading