[datensicherheit.de, 20.08.2025] Digitale Geräte und Medien sind inzwischen offensichtlich fester Bestandteil des Alltags von Kindern und Jugendlichen geworden – ob das erste eigene Smartphone fürs Kind nebst passendem Vertrag dazu, ein neuer Laptop für die Hausaufgaben oder ein Lernspiel u.a. – jedenfalls geben Eltern laut aktuellen Erkenntnissen des Branchenverbands Bitkom insgesamt 503 Euro durchschnittlich pro Jahr für digitale Geräte und Medien ihres Nachwuchses aus. Auf Hardware wie Smartphone, Laptop, Spielkonsole oder Kopfhörer entfallen demnach dabei im Schnitt 362 Euro und für Kommunikation sowie den Zugang zu digitalen Medien, also zum Beispiel für den Mobilfunkvertrag, kostenpflichtige Lernsoftware oder -Apps sowie Computer- und Videospiele durchschnitlich 141 Euro. Dies seien Ergebnisse einer repräsentativen Befragung unter 1.004 Eltern mit Kindern im Alter zwischen sechs und 18 Jahren im Auftrag des Digitalverbands Bitkom. Die im Auftrag von Bitkom Research durchgeführte telefonische Umfrage habe im Zeitraum der Kalenderwochen 22 bis 27 2025 stattgefunden.

Abbildung: Bitkom Research

Bitkom-Umfrage: Geschätzt rund 500 Euro durchschnittliche Ausgaben für digitale Grundausstattung des Kindes p.a.

Digitale Geräte gehören heute zur Grundausstattung auch vieler Kinder

Was die Geräteausstattung angeht, so hätten sieben Prozent der Eltern in den vergangenen zwölf Monaten unter 100 Euro für ihr Kind ausgegeben. Weitere 24 Prozent hätten 100 Euro bis 199 Euro ausgegeben, 25 Prozent 200 bis 499 Euro und 23 Prozent 500 bis 999 Euro.

• Fünf Prozent gaben laut Bitkom sogar 1.000 Euro und mehr aus, sechs Prozent hingegen gar nichts (0 Euro).

„Ob für die Schule oder die Freizeit – eigene digitale Geräte gehören heute zur Grundausstattung vieler Kinder. Bei der Auswahl sollten Eltern darauf achten, dass die Geräte altersgerecht sind und sie sollten die Schutzeinstellungen anpassen!“, kommentiert der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder.

Foto: Bitkom e.V.

Dr. Bernhard Rohleder rät Eltern, bei der Auswahl digitaler Geräte auf Altersgerechtigkeit und angepasste Schutzeinstellungen zu achten

Bei Ausgaben für digitale Geräte deutlicher Sprung ab einem Alter von 13 Jahren

Bei den Geräteausgaben gebe es einen deutlichen Sprung ab einem Alter von 13 Jahren: Während die Eltern von Sechs- bis Neunjährigen im vergangenen Jahr nach eigenen Angaben rund 302 Euro für Geräte ihres Kindes ausgegeben hätten sowie die Eltern von Zehn- bis Zwölf-Jährigen rund 290 Euro, seien es bei den Eltern von 13- bis 15-Jährigen mit 437 Euro und bei den 16- bis 18-Jährigen mit 435 Euro deutlich mehr.

• Im Vergleich etwas geringer fielen die Ausgaben der Eltern für Mobilfunkvertrag, Spiele, Lern-Apps und ähnliche digitale Medien bzw. Angebote aus. Unter 50 Euro hätten vier Prozent in den letzten zwölf Monaten dabei für ihr Kind ausgegeben, 50 bis 99 Euro weitere 17 Prozent. Zwischen 100 und 199 Euro seien es bei 45 Prozent gewesen. 200 bis 499 Euro hätten 21 Prozent ausgegeben, 500 Euro und mehr nur ein Prozent. Gar keine Ausgaben für digitale Medien ihres Kindes habe ein Prozent der Eltern im vergangenen Jahr.

Bei den Ausgaben für Mobilfunkvertrag, Spiele, Apps etc. gebe es ab einem Alter von zehn Jahren kaum noch Unterschiede: Eltern mit einem Kind zwischen sechs und neun Jahren hätten im Schnitt 127 Euro für digitale Medien ausgegeben. Bei Zehn- bis Zwölfjährigen seien es 149 Euro, bei 13- bis 15-Jährigen 144 Euro und bei 16- bis 18-Jährigen 146 Euro gewesen.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Bernhard Rohleder – Hauptgeschäftsführer Bitkom e.V.

datensicherheit.de, 27.05.2025
Medienkompetenz und digitales Know-how für Kinder werden immer wichtiger / 2024 nutzten bereits über 50 Prozent der sechs- bis siebenjährigen Kinder ein Smartphone – bei den zehn- bis elfjährigen sogar 90 Prozent

datensicherheit.de, 19.12.2024
Angesichts digitaler Geschenkflut zu Weihnachten: Mehrheit der Deutschen fordert laut eco-Umfrage bessere Medienkompetenz für Kinder / eco gibt fünf Tipps zum optimalen Umgang mit digitalen Geräten für Kinder und Jugendliche

datensicherheit.de, 09.02.2021
Finn der Fuchs: Kindern spielerisch IT-Sicherheit vermitteln / Anlässlich des „Safer Internet Day 2021“ begrüßt und unterstützt der TeleTrusT das Projekt für kindgerechte Bildung

[datensicherheit.de, 26.09.2024] Sämtliche Unternehmen, welche der neuen NIS-2-Regulierung unterliegen, sollten ihre Geräte-Software dringend zeitnah auf den neuesten Stand bringen – diese Erfordernis gilt für alle Geräte, Maschinen und Anlagen in Büro, Labor, Produktion und Logistik. „Der Regierungsentwurf NIS-2 ist verabschiedet und wartet nur noch auf Verkündung. Mit dem Inkrafttreten von NIS-2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cyber-Sicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, betont Jan Wendenburg, „CEO“ des deutschen Cyber-Sicherheitsunternehmens ONEKEY. Das Bundeskriminalamt (BKA) weise für das Jahr 2023 knapp 135.000 offiziell gemeldete Fälle von Cyber-Kriminalität aus und vermute ein Dunkelfeld von 90 Prozent – entsprechend etwa 1,5 Millionen Angriffen pro Jahr.

Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass ihre Geräte mit aktueller Software ausgestattet sind

Als typische Beispiele im Bürobereich nennt Wendenburg „Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungs­systeme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutritts­kontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme“. In der Industrie kämen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu.

Jan Wendenburg stellt klar: „Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass all diese Geräte mit aktueller Software ausgestattet und damit bestmöglich gegen Cyber-Angriffe gewappnet sind.“ Die EU-Richtlinie „Network & Information Security 2″ (NIS-2) sei auf alle als sogenannte Kritische Infrastruktur (KRITIS) eingestuften Unternehmen anwendbar.

NIS-2 umfasst gesamte KRITIS-Lieferkette – sowie deren Lieferanten und Geschäftspartner!

Zur KRITIS zählen demnach Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfall­wirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Herstellung von Medizin­produkten, Maschinen, Fahrzeugen sowie elektrischen / elektronischen Geräten und Forschungs­einrichtungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gehe von knapp 30.000 betroffenen Unternehmen aus und bietet online eine sogenannte NIS-2-Betroffenheitsprüfung an.

Wendenburg gibt hierzu zu bedenken: „NIS-2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das beispielsweise Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS-2 vorbereiten, also auch seine vernetzten Geräte im Büro, im Labor und in der Produktion.“

Kaum jemand kümmert sich bisher um Drucker-Software – NIS-2 erzwingt es

Nach Wendenburgs Einschätzung hätten die wenigsten Firmen die Resilienz gegenüber Hacker-Angriffen außerhalb der IT-Netzwerke im Blick. Er gibt ein praxisnahes Beispiel: „Die Druckersoftware steht oft nicht im Fokus, solange der Drucker reibungslos arbeitet. Tatsächlich aber können sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen.“

Der Weg sei für geübte Programmierer ein Kinderspiel: „Die Hacker gehen vom Drucker aus, finden ein ,Active Directory’, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.“

Software-Stücklisten (SBOM) für NIS-2 und CRA erforderlich

Sogenannte Firmware (d.h. die in Geräten, Maschinen und Anlagen eingebettete Software) werde von vielen Experten als eine „kritische Lücke“ in der Sicherheitsstrategie von Unter­nehmen und Behörden gesehen. Die Empfehlung lautet daher, dass sich von NIS-2 betroffene Unternehmen schnellstmöglich von den Lieferanten aller im betrieblichen Einsatz befindlichen vernetzten Geräte im weitesten Sinne eine Software-Stückliste aushändigen lassen sollten.

Diese Stückliste – in Fachkreisen „Software Bill of Materials“ (SBOM) genannt – soll alle im Unternehmen eingesetzten Programme vollständig auflisten. Da es bei älteren Geräten – wie etwa einem seit zehn Jahren seinen Dienst verrichtenden Drucker – offenkundig meist schwierig sein wird, an die Firmware heranzukommen, empfiehlt Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Software-Komponenten und Generierung einer entsprechenden Software-Stückliste: „Das ist nicht nur für die NIS-2-Konformität von Bedeutung, sondern auch für den kommenden ,EU Cyber Resilience Act’ (CRA).“

NIS-2 erinnert daran, dass jede Cyber-Sicherheitskette nur so stark ist wie ihr schwächstes Glied…

Der technische Hintergrund sei: „Die Genauigkeit der Komponenten-Informationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank ,Common Vulnerabilities and Exposures’ (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch den Hackern bekannte – Einfallstore für Cyber-Kriminelle aufweist.“

Wendenburg führt abschließend aus: „Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien von NIS-2 bis CRA.“ Er warnt zudem: „Jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Ein einziges Gerät mit veralteter Software kann ausreichen, um ein ganzes Unternehmen zur Zielscheibe von Cyber-Kriminellen zu machen!“ Angesichts von Tausenden von Cyber-Angriffen pro Tag stelle sich für ihn „nicht die Frage, ob ein Unternehmen von Hackern angegriffen wird, sondern wann und wie gut es davor geschützt ist“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
NIS-2-Betroffenheitsprüfung

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zu Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 17.08.2022] „Angriffe auf IoT-Geräte nehmen täglich zu und werden leider immer raffinierter und zerstörerischer für jedes Unternehmen. In vielen Fällen wurden Hunderttausende von angeschlossenen Geräten mit Malware infiziert, die sich über das gesamte Netzwerk ausbreitete und PCs, Server und interne Anlagen mit Ransomware, Krypto-Minern, Trojanern, Botnets und mehr kompromittierte“, so Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei Check Point Software Technologies GmbH, in ihrer aktuellen Stellungnahme. In dieser erläutert sie, warum solche Schwachstellen bestehen, wie sich Cyber-Kriminelle Zugang verschaffen und wie mittels Implementierung einiger bewährter Verfahren Unternehmen vor Cyber-Angriffen geschützt werden können.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Angriffe auf IoT-Geräte nehmen täglich zu und werden leider immer raffinierter und zerstörerischer für jedes Unternehmen!

Auch in der IoT-Welt bestimmt schwächstes Glied die Systemsicherheit

„In der Welt der Cyber-Sicherheit ist jeder Schutzmechanismus nur so stark wie sein schwächstes Glied“, betont Schönig. Dies gelte sowohl für ein einzelnes Gerät als auch für ein ganzes Netzwerk. Sie führt hierzu weiter aus:

„Dieses schwächste Glied in einem Netzwerk sind Geräte am Netzwerkrand, die über das Internet zugänglich sind. Dazu gehören viele verschiedene Gerätetypen von IP-Kameras, Routern und Sensoren auf dem Firmengelände bis hin zu Geräten, die vor Ort eingesetzt werden, wie Zapfsäulen, EV-Ladegeräte und Geldautomaten.“ Alle diese Geräte seien mit dem Internet verbunden und für den Fernzugriff gedacht.

Abbildung: Check Point

Darstellung von Check Point der Abfolge eines Angriffs auf IoT-Geräte

IoT-Geräte nützliches Sprungbrett für Cyber-Angriffe

„Wenn Angreifer versuchen, in ein Netzwerk einzudringen, scannen sie die Umgebung in der Regel nach diesen angeschlossenen Geräten, die sie möglicherweise als Einstiegspunkte in das Netzwerk nutzen können. IoT-Geräte sind praktisch ein nützliches Sprungbrett für Cyber-Angriffe, da sie oftmals mit veralteter Software arbeiten oder nicht auf Sicherheitsereignisse überwacht werden.“ Aufgrund des Umfangs und der großen Vielfalt dieser Geräte seien herkömmliche Maßnahmen zur Reaktion auf Vorfälle möglicherweise nicht so effektiv wie üblich.

So könne z.B. ein einziger Universitätscampus Dutzende verschiedener Geräte beherbergen. Schönig warnt: „Wenn so viele Geräte in einem Netzwerk auf einmal angegriffen werden, ist es schwierig, den Überblick darüber zu behalten, wo die Schwachstellen liegen.“ Es sei auch wichtig zu wissen, dass es nie nur einen einzigen Fehlerpunkt gebe.

IoT-Angreifer warten oft lange im Verborgenen auf den richtigen Moment

Eine Angriffskampagne sei nicht mit einem „Hit and Run“-Szenario vergleichbar. Manchmal versteckten sich Angreifer lange Zeit im Verborgenen und warteten auf den richtigen Moment, um zuzuschlagen, „während sie Erkundungsmissionen durchführen, um sich mit dem Netzwerk ihres potenziellen Opfers vertraut zu machen“. Bei einem Angriff bestehe eines der Ziele des Angreifers darin, sich im gesamten Zielnetz zu bewegen: „Sie wollen sich im gesamten Netzwerk frei bewegen und andere interne Anlagen und Einrichtungen angreifen.“

Durch die Ausnutzung von Servern, PCs und gewöhnlichen Bürogeräten wie Druckern und Routern verbesserten die Angreifer ihre Möglichkeiten, eine breitere Kontrolle über das Netzwerk zu erlangen. Häufig nutzten die Angreifer diese Kontrolle für verschiedene Zwecke wie Datendiebstahl, Erpressung und vieles mehr aus. „Was als einfache Lücke in einer Reihe von Geräten begann, kann sich schnell zu einer ausgewachsenen Angriffskampagne mit potenziell verheerenden Folgen entwickeln“, stellt Schönig klar.

Angriffe auf IoT-Geräte: Prominente Beispiele

„Sobald eine Ransomware-Infektion in das Netzwerk eingedrungen ist, kann sie sich an so viele Geräte anhängen, dass es fast unmöglich wird, sie zu beseitigen.“ Ein berüchtigtes Beispiel für einen solchen Fall eines gekaperten IoT-Gerätenetzwerks werde in dem von Vedere Labs veröffentlichten Forschungspapier „R4IoT“ vorgestellt. „Der dort beschriebene Angriff begann mit der Ausnutzung von Schwachstellen in Axis-Kameras (CVE-2018-10660, CVE-2018-10661) und einem Zyxel NAS (CVE-2020-9054). Über diese Netzwerkstützpunkte konnte sich die Malware lateral ausbreiten, um weitere zahlreiche Netzwerkkomponenten zu übernehmen, Informationen zu stehlen und andere Geräte mit Ransomware zu infizieren.“ In diesem Fall seien die Sicherheitsforscher in der Lage gewesen, alte Schwachstellen auszunutzen, nur um die Wirkung von Malware auf Geräte mit ungepatchter Firmware zu demonstrieren. Diese Schwachstellen ermöglichten es Angreifern, über eine nicht authentifizierte Schnittstelle auf dem Gerät vollen Zugriff zu erhalten.

Ein weiteres Beispiel für ein Angriffsszenario (CVE-2022-29499) sei kürzlich in Mitel IP Phones entdeckt worden. Diese Schwachstelle habe es Angreifern ermöglicht, beliebige Befehle auf diesen Geräten auszuführen, „so dass Angreifer im Wesentlichen tun konnten, was sie wollten“. Im Gegensatz zu den in der „R4IoT“-Forschungsarbeit hervorgehobenen Schwachstellen, welche mit herkömmlichen signaturbasierten Produkten behoben werden könnten, „können Angreifer, die diese Mitel-Schwachstelle ausnutzen, praktisch ungehindert ihr Unwesen treiben“.

Erraten bzw. Ausprobieren ermöglichte bösartiges Netzwerk mit mehr als 350.000 IoT-Geräten

Es sei kaum zu glauben, „wie einfach es ist, Malware-Angriffe zu initiieren“. Oft könnten Angriffe wie die oben genannten kostengünstig über unregulierte Märkte erworben werden. Vor einigen Wochen habe das US-Justizministerium eine Website namens „RSOCKS“ beschlagnahmt. Dabei habe es sich um einen in Russland ansässigen Webdienst gehandelt, „der Proxys verkaufte, die Angreifer häufig für Krypto-Mining-Aktivitäten, DDOS-Angriffe und vieles mehr nutzten“.

Die meisten Angreifer seien in der Lage gewesen, die Kontrolle über mit dem Netzwerk verbundene Geräte und Anlagen zu erlangen, „indem sie einfach die Standard-Anmeldeinformationen verwendeten oder schwache Kennwörter errieten“. Diese Methode des Erratens von Anmeldeinformationen oder des Ausprobierens von Standard-Benutzernamen und -Passwörtern habe „ein bösartiges Netzwerk mit mehr als 350 000 Privat-, Büro- und Heimgeräten“ angehäuft.

Cyber-Sicherheit in der IoT-Welt noch lange ein relevantes Thema

Anbieter von IoT-Geräten seien in ihrem Bereich außergewöhnlich, „wenn es darum geht, sicherzustellen, dass ihre Produkte wie vorgesehen funktionieren“. Allerdings seien dieselben Gerätehersteller bei Weitem keine Sicherheitsexperten. Schönigs Rat: „In der heutigen Cyber-Landschaft ist es von entscheidender Bedeutung, dass die mit dem Unternehmensnetzwerk verbundenen Geräte und Anlagen sicher und vor dem nächsten Angriff geschützt sind. Es ist unpraktisch, ein Patch nach dem anderen für jede Schwachstelle und jedes ,Exploit’ zu implementieren, die in freier Wildbahn auftauchen. Und selbst wenn die Softwarehersteller regelmäßig Updates für die Geräte herausgeben, zeigen Untersuchungen, dass Betreiber und Endbenutzer ihre Geräte oft nicht warten und auf dem neuesten Stand halten.“ Was in diesem Fall benötigt werde, sei eine zukunftssichere Lösung, um diese Hindernisse aus dem Weg zu räumen.

Cyber-Sicherheit in der IoT-Welt werde noch lange ein Thema bleiben, mit immer neuen Innovationen auf beiden Seiten. Grundlegende Sicherheitslösungen zur Überwachung und Erkennung reichten in der heutigen modernen Cyber-Landschaft nicht mehr aus. Ohne eine Cyber-Sicherheitslösung, welche -angriffe in Echtzeit erkennen und verhindert, „können wir nicht auf einen Sieg gegen die Cyber-Kriminellen hoffen“, so Schönigs Fazit.

Weitere Informationen zum Thema:

FORESCOUT
R4IoT: When Ransomware Meets IoT and OT

[datensicherheit.de, 22.06.2021] In einer aktuellen Warnung geht die Check Point® Software Technologies Ltd. auf die Beobachtung ein, dass Kriminelle vermehrt IoT-Geräte nutzten, um sich unerlaubten Zugang zu Netzwerken in Krankenhäusern zu verschaffen. „Erlangen die Hacker den Zugang zu einem Gerät, können sie sich lateral durch das System bewegen, Daten stehlen und diese verschlüsseln sowie für den Alltag kritische Funktionen sabotieren.“

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: IoT-Geräte und damit auch das Netzwerk an sich gegen Attacken zu schützen!

Bei Konzeption und Herstellung der IoT-Geräte IT-Sicherheit offenbar zumeist nachrangig

IoT-Geräte seien in Krankenhäuser sehr wichtig geworden, da sie nicht nur dabei helfen würden, Behandlungen zu vereinfachen, sondern die Überwachung von Patienten und die Dokumentation intelligent und automatisiert übernehmen könnten. Jedoch genieße in der Konzeption und bei der Herstellung der einzelnen Geräte die IT-Sicherheit selten eine hohe Priorität.
Dieser Umstand, kombiniert mit der Tatsache, dass etwa die Hälfte der angeschlossenen Geräte, wie Ultraschall- und MRT-Geräte, auf veralteten Betriebssystemen liefen, welche nicht mehr unterstützt oder gewartet würden, schaffe eine entsprechend große Angriffsfläche für Hacker.

Tipps zur Sperrung unterschiedlicher Angriffswege zu IoT-Geräten:

1. Schaffen Sie volle Transparenz!
   Ein umfassendes Konzept zum Schutz der Geräte könne erst dann entstehen, „wenn die IT-Fachkräfte über alle Geräte, die auf deren Netzwerk zugreifen, vollständig informiert sind“. Viele Unternehmen verließen sich noch darauf, Geräte manuell zu finden und zu identifizieren. „Das mag für traditionelle Server und Workstations als Umgebung funktionieren, kann aber nicht mit der Vielzahl der IoT-Geräte mithalten, da dies eine automatisierte Lösung für eine vollständige Abdeckung erfordert.“
2. Entschärfen Sie Schwachstellen!
   Patches und Echtzeit-Bedrohungsdaten seien das Herzstück eines jeden Sicherheitsprogramms, weswegen die meisten Unternehmen ein Patching-Programm eingerichtet hätten. Doch bezüglich der meisten IoT-Geräte sei es fast unmöglich, auf dem neuesten Stand der Sicherheitsforschung zu bleiben, „wenn Firmen sich nur auf Software-Updates verlassen“. So entgingen diesen oft wichtige Schwachstellen in den Geräten selbst. Eine Firmware-Upgrades liefernde Lösung biete darum die besten Erfolgsaussichten.
3. Zero-Trust-Netzwerksegmentierung!
   „Seitliche Bewegung bedeutet, dass sich Hacker, sobald sie einmal in dem Netzwerk sind, frei bewegen können und bestimmte Geräte, wie Mail-Server, ins Visier nehmen, um Schaden anzurichten oder auf wichtige Informationen zuzugreifen.“ Es brauche Programme, welche die Segmentierung des Netzwerks vereinfachten, wodurch sichere Bereiche auf der Basis von „Zero Trust“ entstünden, „die abgeschottet sind und den Zugriff nur legitimen Geschäftsanforderungen und autorisierten Personen gewähren“.

IoT-Geräte im Gesundheitswesen können über Leben und Tod entscheiden

Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei der Check Point Software Technologies GmbH prognostiziert: „Die Anzahl der IoT-Geräte, die im Gesundheitswesen eingesetzt werden, wird stark steigen – diese Geräte können in manchen Fällen über Leben und Tod entscheiden.“ Entsprechend müsse sichergestellt werden, dass sie – und damit auch das Netzwerk an sich – „gegen Attacken geschützt sind“.
Aus diesem Grund sollten Krankenhäuser auf Lösungen setzen, welche Transparenz schafften, um gezielt Sicherheitslücken schließen zu können. Gleichzeitig empfehle sich ein Zero-Trust-Ansatz für das gesamte Netzwerk, um im Falle eines Eindringlings den Schaden so gering wie möglich zu halten, so Schönigs Rat.

Weitere Informationen zum Thema:

Check Point Blog
How to Tighten IoT Security for Healthcare Organization

datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021

datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt

datensicherheit.de, 04.11.2020
Deutschlands Gesundheitswesen nicht ausreichend gegen DDoS geschützt / 2020: Bereits mehr als 2.000 DDoS-Angriffe gemeldet

[datensicherheit.de, 04.02.2021] Laut einer aktuellen Meldung von Avast wurden auf der „CES“ in Las Vegas im Januar 2021 einige neue Smart-Home-Produkte angekündigt, welche bald auch in Deutschland verfügbar seien – Avast-Sicherheitsexperten raten daher den Deutschen, „beim Kauf neuer Smart-Home-Technologien, besonders auf die Sicherheit zu achten“. Aufgrund der steigenden Anzahl von Smart-Home-Geräten werde das Thema Sicherheit immer wichtiger. Die folgenden von Avast benannten sieben einfachen Schritte könnten deutschen Haushalten dabei helfen, die Sicherheit rund um Smart-Home-Geräte und -Anwendungen zu erhöhen.

1. Schritt: Die richtigen Smart-Home-Geräte auswählen!
   Beim Kauf von neuen Smart-Home-Geräten sollten Anwender auf Produkte von bekannten, renommierten Herstellern zurückgreifen. Es sei wahrscheinlicher, dass diese bei der Entwicklung der Geräte auf den Sicherheitsaspekt geachtet hätten. Auch Sicherheitsupdates seien ein wichtiger Faktor, „damit die Firmware bei Bedarf repariert werden kann“.
   Bevor ein neues Gerät zum Netzwerk hinzugefügt wird, sollten sich Anwender die Zeit nehmen, alle Aspekte dieses Gerätes zu verstehen. Dazu gehörten neben den Gerätefunktionen auch die Art und Weise, wie Daten gesammelt und verwendet werden. So werde sichergestellt, „dass die Nutzer wissen, welche Funktionen sie für zusätzliche Sicherheit deaktivieren müssen“.
2. Schritt: Das Standardpasswort ändern!
   Diese Regel gelte nicht nur für WLAN-Router, sondern als Grundregel für alle Geräte, die mit einem Standardpasswort ausgestattet sind. Das Standardpasswort sollte immer in ein komplexes Kennwort geändert werden. „Idealerweise besteht es aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen.“
   Werden die Standardanmeldedaten nicht aktualisiert, hätten Hacker leichtes Spiel. Die meisten Angreifer könnten ein Standardpasswort leicht erraten. Dies ermögliche es ihnen, in ein Netzwerk einzudringen und Smart-Home-Geräte mit einem Botnet zu verbinden. Dabei handele es sich um eine Sammlung von mit dem Internet verbundenen Geräten, welche von Cyber-Kriminellen kontrolliert würden.
3. Schritt: Eine zweistufige Authentifizierung einrichten!
   Wo immer möglich, sollten Anwender die Gerätesicherheit zusätzlich stärken, „indem sie eine zweistufige Verifizierung verwenden“. Dies sei ein Verfahren, bei dem zwei Authentifizierungsmethoden erforderlich seien, um Zugang zu erhalten:
   So müsse beispielsweise neben dem Passwort zusätzlich ein Code eingegeben werden. Dieser werde an ein zweites Gerät, wie zum Beispiel ein Smartphone, gesendet oder von diesem gescannt. Dadurch könnten Angriffe verhindert werden, sollten Cyber-Kriminelle in den Besitz eines Passworts gelangen.
4. Schritt: So schnell wie möglich aktualisieren!
   „Dieser Punkt kann nicht oft genug betont werden – die Firmware von IoT-Geräten muss immer mit den neuesten verfügbaren Versionen und Patches auf dem aktuellen Stand gehalten werden.“ Der Grund für die meisten Updates sei, dass in der vorherigen Version eine Sicherheitslücke gefunden und ausgenutzt worden sei.
   Die kompromittierte Version sollte daher sofort ersetzt werden. Beim Kauf eines neuen IoT-Gerätes gelte es auch den Update-Prozess zu berücksichtigen. Dieser müsse einfach und unkompliziert sein und dem Anwender eine Benachrichtigung senden, wenn ein neues Update verfügbar ist.
5. Schritt: Das Heimnetzwerk aufteilen!
   Die Trennung eines Heimnetzwerks in zwei Teile könne ebenfalls von Vorteil sein. So empfehle das Federal Bureau of Investigation (FBI) Anwendern, Geräte mit sensiblen Daten – wie beispielsweise Laptops oder Smartphones – in einem anderen Netzwerk zu betreiben als Smart-Home-Geräte.
   Auf diese Weise könne ein Hacker nicht direkt auf einen persönlichen Laptop zugreifen, wenn er ein Smart-Home-Gerät hackt. Gleichzeitig könne dieses Netzwerk auch für Gäste genutzt werden, falls deren unangemessenes Surfverhalten zu einem Sicherheitsproblem führen könnte.
6. Schritt: An Cyber-Sicherheit denken!
   Heutzutage liege der persönliche Schutz in der eigenen Verantwortung der Nutzer. Sie sollten daher ein digitales Sicherheitsprodukt installieren, welches „alle mit dem Netzwerk verbundenen IoT-Geräte überprüft und ungewöhnliche Vorgänge meldet“.
   „Wi-Fi Inspector“ z.B. – ein Teil von „Avast Free Antivirus“ und „Premium Security“ – laufe lokal auf dem PC des Anwenders und führe Netzwerk-Scans des Subnetzes durch. Dabei suche das Programm nach Geräten, „die unsichere Anmeldeinformationen akzeptieren oder aus der Ferne ausnutzbare Schwachstellen aufweisen“ und warne Anwender vor gefundenen Sicherheitsproblemen.
7. Schritt: Daten von alten Geräten löschen!
   Werden ältere Smart-Home-Geräte ausrangiert, gelte es sicherzustellen, „dass alle Daten und persönlichen Informationen vorher gelöscht werden“. Das komplette Benutzerkonto sollte gelöscht werden, sofern es nicht mehr benötigt wird.
   Außerdem empfiehlt es sich laut Avast, das Gerät auf die Werkseinstellungen zurückzusetzen. Auch aus allen Online-Konten, Netzwerken und Apps, mit denen das Gerät verknüpft war, müsse es entfernt werden.

Angreifer könnten Sicherheitslücken von Smart-Home-Produkten ausnutzen und sich Zugang zu Heimnetzwerken verschaffen

„Smart-Home-Geräte dienen der Unterhaltung und verschaffen uns Zeit für die wichtigen Dinge im Leben, aber sie können auch zur Bedrohung werden, wenn Cyber-Kriminelle sie als einfache Ziele ins Visier nehmen. Angreifer können die Sicherheitslücken von Smart-Home-Produkten ausnutzen und sich Zugang zu Heimnetzwerken verschaffen, um sensible Daten zu stehlen oder die Kontrolle über die Geräte zu übernehmen und Nutzer auszuspionieren“, warnt Luis Corrons, „Global Security Expert“ bei Avast.
Die „Corona-Pandemie“ habe einen Mini-Boom bei vernetzten Geräten ausgelöst, da viele Deutsche ihren Lebensstandard in den eigenen vier Wänden verbessern wollten. Untersuchungen von Avast zeigten, dass der Anteil der deutschen Haushalte, die fünf oder mehr vernetzte IoT-Geräte (Internet of Things) hätten, von 38 Prozent im Dezember 2019 auf 52 Prozent im September 2020 gestiegen sei. Auch Smart-Home-Anwendungen würden immer beliebter – so nutzten laut einer aktuellen Bitkom-Studie zum Thema Smart Home 2020 bereits 37 Prozent der Deutschen Smart-Home-Anwendungen in ihrem Haushalt.

Weitere Informationen zum Thema:

bitkom, September 2020
Das intelligente Zuhause: Smart Home 2020 / Ein Bitkom-Studienbericht

datensicherheit.de, 09.12.2020
Tausende IoT-Schwachstellen unter dem Weihnachtsbaum / IoT Inspector warnt vor gefährlichen Sicherheitslücken in beliebten Geschenken

datensicherheit.de, 13.07.2020
EN 303 645: Mehr Sicherheit im Smart Home / BSI maßgeblich an Entwicklung des neuen Europäischen Standards beteiligt

Ein Beitrag von unserem Gastautor Chris Sherry, Regional Vice President, EMEA Central bei Forescout Technologies Inc.

[datensicherheit.de, 19.06.2020] Am 16. Juni 2020 wurden von der JSOF insgesamt 19 Schwachstellen, die zusammen als Ripple20 bezeichnet werden und den eingebetteten IP-Stack von Treck betreffen, öffentlich gemacht. Vier der Schwachstellen weisen einen kritischen CVSS-Wert auf, wobei die Auswirkungen unter anderem die entfernte Code-Ausführung und die Preisgabe sensibler Informationen betreffen. Die Schwachstellen wirken sich potentiell auf mehrere Millionen Geräte von über 50 Anbietern aus. Sicherheitsforscher der Forescout Research Labs haben sich mit der JSOF zusammengetan, um deren Analyse mit detaillierten Endgeräteinformationen aus der Forescout Device Cloud zu kombinieren, einer Wissensdatenbank mit mehr als 11 Millionen Geräten. Identifiziert wurden mehr als 90.000 potentiell anfällige IoT-Geräte von über 50 Herstellern. Beispiele für betroffene Geräte sind Infusionspumpen in Krankenhäusern, USV-Systeme (unterbrechungsfreie Stromversorgung) in Rechenzentren und Videokonferenzsysteme in Unternehmen.

Chris Sherry, Forescout Technologies Inc., Bild: Forescout

Vollständiger Schutz nur durch Patchen von Geräten

Ein vollständiger Schutz vor Ripple20 erfordert das Patchen von Geräten, auf denen die anfällige Version des IP-Stacks läuft. Dies ist jedoch nicht so einfach, denn Geräte mit eingebetteten Systemen sind notorisch schwierig zu verwalten und zu aktualisieren. Der Grund ist, das herkömmliche Endpunkt-Agenten meist nicht installiert werden können und Aktualisierungen in der Regel Firmware-Updates erfordern. Viele der betroffenen Geräte sind jedoch Teil von kritischen Systemen und Infrastrukturen, die das Patchen kompliziert machen. Außerdem müssen Patches von den Herstellern der Geräte zur Verfügung gestellt und oft sogar ausgerollt werden. Bestimmte Patches sind möglicherweise noch nicht verfügbar oder werden nie verfügbar sein, da einige Anbieter nicht mehr geschäftlich tätig sind.

Inventarisierung aller Geräte im Netzwerk

Um Sicherheitsrisiken, die durch die aktuellen Schwachstellen entstehen, zu begegnen, sollten Unternehmen alle Geräte in ihrem Netzwerk inventarisieren. Sie müssen Kontrollen zur Risikominderung durchzusetzen und Patch-Updates priorisieren. Darüber hinaus tragen Segmentierung, Isolierung und Kontrolle des Netzwerkzugriffs für gefährdete Geräte zur Risikominderung bei. Automatische Alarme zur Information von IT-Sicherheitsabteilungen und Incident Response-Teams helfen dabei, die Spreu vom Weizen zu trennen und die wichtigsten Sicherheitsvorfälle frühzeitig zu erkennen.

Weitere Informationen zum Thema:

Forescout-Blog
Identifying and Protecting Devices Vulnerable to Ripple20

datensicherheit.de, 26.02.2019
Forescout-Studie: Unternehmen spüren veränderte Sicherheitslage