Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 12.03.2026] Zero Trust hat sich als Prinzip einer Sicherheitsarchitektur in vielen Unternehmen etabliert: Vertrauen wird nicht vorausgesetzt, sondern fortlaufend überprüft mit dem Ziel, Zugriffe und Datenflüsse konsequent nach dem „Least-Privilege“-Prinzip abzusichern. In klassischen IT-Umgebungen ist dieser Sicherheitsansatz angekommen, aber in Produktionsumgebungen oder Systemen mit mobilem IoT-Datenverkehr besteht noch Nachholbedarf.

In diesen Bereichen ist der Datenverkehr bislang nur schwer oder mit großem Aufwand zu kontrollieren. Dazu zählen insbesondere OT- und IoT-Systeme, bei denen Mobilität in vielen Einsatzbereichen eine Rolle spielt. Gerade hier wächst die Anzahl der Anwendungsfälle rasant und mit ihr die Notwendigkeit, Zero Trust so zu erweitern, dass auch diese Umgebungen zuverlässig und praktikabel abgedeckt werden.

Christoph Schuhwerk, CISO in Residence bei Zscaler, Foto: Zscaler

Achillesferse der Datensicherheit

Im Zuge der Digitalisierung von großen Teilen der Industrie wird Flexibilität für Systeme und Mitarbeiter zunehmend zur Grundanforderung. Ein Beispiel sind Scanner im Warehouse-Management: Oft laufen diese Geräte nicht mit einem vollständigen Android-System, sondern mit einem stark reduzierten, geschlossenen System. Häufig kommen SIM-Karten zum Einsatz, über die das Gerät mit einem Gateway kommuniziert.

In der Praxis entstehen dadurch komplexe Kommunikationswege: Der Datenverkehr läuft beispielsweise beim Drucken von Labels über das Mobilfunknetz zu den Gateways der Mobilfunkbetreiber, von dort weiter zum Firmennetzwerk, dann zu einem Druckserver an einem anderen Standort und anschließend zum Drucker. Genau die Kommunikationskette kann zur Angriffsfläche werden. Nicht unbedingt weil einzelne Komponenten per se unsicher sind, sondern weil die Kette nur so stark ist wie ihr schwächstes Glied.

Ein weiteres typisches Szenario betrifft Maschinen, die nach der Inbetriebnahme weiterhin vom Hersteller überwacht und gewartet werden. Dafür werden beispielsweise Telemetriedaten oder Firmware-Updates übertragen. In der Vergangenheit wurden Zugriffsanforderungen oft mit eher improvisierten Methoden gelöst wie beispielsweise mit separaten Wartungs-Ports, die physisch verplombt wurden, oder über Fernwartungs-Zugänge, die zwar nur temporär geöffnet wurden, aber nicht durchgehend Ende-zu-Ende abgesichert waren. Denn irgendwo muss es immer eine Instanz geben, die den Traffic passieren lässt. Und genau dort ist die Achillesferse: eine kleine, aber entscheidende Schwachstelle, die immer wieder aufs Neue gefunden und geschlossen werden muss, wenn sichere Kommunikation gewährleistet sein soll.

Die SIM-Karte als Ausgangspunkt für Sicherheit

Viele der beschriebenen Use Cases entstehen dort, wo Geräte oder Dinge beweglich eingesetzt werden und über Mobilfunk kommunizieren müssen. In solchen Szenarien rückt die SIM-Karte als technischer Ankerpunkt in den Fokus: Genau hier findet der relevante und potenziell angreifbare Datenverkehr statt, den Angreifer als Einfallstor in weitere Netzbereiche nutzen könnten. Der Ansatz von Zero Trust Everywhere setzt deshalb möglichst nah am Gerät an und verschiebt den Beginn der Absicherung bis an den Kommunikationsursprung.

Konkret bedeutet das: Die SIM-Karte wird Bestandteil des Sicherheitskonzepts und der Datenverkehr wird direkt dort zu einem Microtunnel gebündelt und anschließend verschlüsselt Ende-zu-Ende übertragen. Auch der Mobilfunkanbieter kann den Traffic in diesem Modell nur verschlüsselt sehen, nicht jedoch die Inhalte. Geht ein Gerät verloren oder wird ein Gerät entwendet, kann es einzeln gesperrt werden. Dank Überprüfung des Gerätekontexts wird auch der Zugriff durch unautorisierte Parteien unterbunden. Umgekehrt fällt auch der Versuch der Manipulation der SIM-Karte auf und kann zur Sperrung des Geräts führen. Über einen Zero Trust-Ansatz z.B. mit Zscaler Cellular wird die Absicherung der Identität und des Datenflusses auch für mobile Endgeräte oder mobile und fahrbare Gegenstände einfach möglich.

Policies bleiben zentral, Netze werden austauschbar

Ein zentrales Ziel moderner Produktion ist eine weitgehend automatisierte Fertigung (Stichwort: „Dark Factory“). Teil- oder voll-autonome Roboter, Komponenten und Geräte müssen dabei kontinuierlich überwacht und kontrolliert werden, ohne die betriebliche Flexibilität zu verlieren. Genau hier stoßen klassische Netzwerkmodelle häufig an ihre Grenzen: Wenn ein Gerät den Standort wechselt, ist es oft zu aufwändig, Netzwerk-Policies immer wieder neu anzupassen und am alten Ort sauber zurück zu bauen.

Das Zero Trust Everywhere-Prinzip eliminiert diesen Aufwand, indem es die Security vom darunterliegenden Transportnetz entkoppelt: Die Policy wird Cloud-basiert vorgehalten und überwacht, während das Netzwerk selbst nur als Transportmedium fungiert. Damit spielt es für die Durchsetzung der Sicherheitsregeln keine entscheidende Rolle, ob ein Gerät über WLAN, 5G oder eine andere Technologie kommuniziert, wo es sich befindet oder wie schnell die Anbindung ist – solange eine Internetverbindung besteht.

Entscheidend dabei ist es, die starke Sicherheitskette möglichst früh zu beginnen und möglichst spät – also so nah wie möglich am anfragenden Gerät und am Datensatz – zu beenden und zwischen den Punkten eine durchgehende Verschlüsselung aufrechtzuerhalten. Auf diese Weise wird Zero Trust auf Teile des Ökosystems ausgedehnt, die bisher nur eingeschränkt erreichbar waren.

In solchen Anwendungsbereichen erkennen Unternehmen, dass Cybersicherheit nicht bei klassischen IT-Endpunkten enden darf. Eine stärker automatisierte und mobilere Industrie muss den Schutz konsequent auf Geräte ausweiten, die in OT-/IoT-Umgebungen betrieben werden und über SIM-Karten kommunizieren. Wird die SIM-Karte als Beginn der Verschlüsselung und Policy-Durchsetzung verstanden, lassen sich auch bislang schwer greifbare Datenflüsse kontrolliert gestalten. Ein solches Umdenken geht mit einem weiteren Schritt in Richtung allumfassender Cyber-Resilienz einher.

Zero Trust – Executive Overview

• Zero Trust muss über klassische IT hinaus gedacht werden, weil mobile OT- und IoT-Systeme zunehmend kritische Datenflüsse erzeugen.
• In verteilten Kommunikationsketten entsteht ein Risiko dort, wo Datenverkehr durchgelassen oder nur teilweise abgesichert wird.
• Zero Trust Everywhere setzt möglichst nahe am Gerät an und nutzt die SIM-Karte als technischen Anker, damit Verschlüsselung frühestmöglich beginnt.
• Der gesamte Traffic wird über einen Microtunnel Ende-zu-Ende verschlüsselt übertragen, sodass auch Netzbetreiber nur verschlüsselte Daten sehen.
• Cloud-basiert werden Policies über einen Sicherheitsbroker umgesetzt, während das Transportnetz austauschbar wird.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2026
Post-Quantum-Readiness: Akuter Anspruch für die Datensicherheit der Zukunft

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

[datensicherheit.de, 18.02.2026] Während es bei der Entsorgung von Abfall bzw. Müll für viele Verbraucher wohl heißt „Aus den Augen, aus dem Sinn!“, beginnt für die in München ansässige MARTIN GmbH die Herausforderung: Seit über 100 Jahren baut diese thermische Abfallbehandlungsanlagen zur Energiegewinnung – neuerdings zudem mit hochmoderner IoT-Datenauswertung. Um z.B. den Zustand der Anlagen oder die Belastung mit Emissionen zu überprüfen, kommt demnach die „Stackable Data Platform“ zum Einsatz.

Foto: Martin GmbH

Max Schönsteiner: Die Datensouveränität war uns sehr wichtig. Nicht, weil es in unseren Anlagen um hochempfindliche Daten geht, sondern weil wir durch unseren Entsorgungsauftrag Teil der Kritischen Infrastruktur sind…

MARTIN übernimmt Bau der Anlagen und oft auch deren Wartung sowie Reparatur

Die Wurzeln der heutigen MARTIN GmbH für Umwelt- und Energietechnik liegen im Jahr 1925, als das Unternehmen vom Ingenieur Josef Martin gegründet wurde – nun, rund 100 Jahre später, ist es noch immer in Familienbesitz, inzwischen in vierter Generation. Mit Tochterfirmen weltweit wirken in den verschiedenen Firmen der MARTIN Gruppe, von den USA über Europa bis nach Asien, mehr als 1.000 Mitarbeiter.

• Gebaut werden „Waste-to-Energy“-Anlagen für die ganze Welt. Jedoch immer individuell – für kommunale Betreiber wie auch für private Firmen.

MARTIN übernimmt nicht nur den Bau der Anlagen, sondern meist auch deren Wartung und Reparatur: Damit eben die Mitarbeiter jederzeit wissen, was im Inneren vor sich geht, sind alle Anlagen mit zahlreichen Sensoren ausgestattet – etwa im Rostsystem, in der Feuerung, in der Entschlackung, der Transportanlage oder auch in der Energiegewinnung.

Betriebsdatenanalyse erfolgte bislang dezentral

Max Schönsteiner, „Head of Research & Development“ der MARTIN GmbH, erläutert: „Wir können mit den Sensoren nicht nur den Zustand der Anlage und einzelner Komponenten überwachen, sondern auch die ,Performance’. Oder ob die Emissionswerte okay sind, schließlich soll hier ja möglichst nachhaltig und umweltschonend Energie entstehen. Die Auswertung der Daten ist aber ziemlich komplex, weil jede Anlage ein Einzelstück mit eigenen Signalen ist und es auch auf andere Faktoren ankommt – zum Beispiel den Standort und die Jahreszeit.“

• Grundsätzlich wandelten sie alles nicht mehr Recyclebare in Energie um. „Wenn regional Obstsaison herrscht und vermehrt feuchte, organische Bestandteile im Abfall anfallen, wirkt sich dies auf den Verbrennungsprozess an diesem Standort aus.“

Um die Vielzahl an anfallenden Betriebsdaten auszuwerten und nutzbar zu machen, sei die Analyse bislang dezentral erfolgt – über unterschiedliche Personen, Werkzeuge und manuelle Exporte. Mit zunehmender Datenmenge und steigender Zahl an Auswertungen sei dieses Vorgehen aber an seine Grenzen gestoßen, „so dass sowohl die wachsenden Anforderungen als auch das Potenzial der verfügbaren Daten nicht mehr ausgeschöpft werden konnten“.

Neue Lösung mit deutlich höheren Datenkapazitäten implementiert

Eine neue Lösung mit deutlich höheren Datenkapazitäten sei erforderlich gewesen. „Die Datensouveränität war uns sehr wichtig. Nicht, weil es in unseren Anlagen um hochempfindliche Daten geht, sondern weil wir durch unseren Entsorgungsauftrag Teil der Kritischen Infrastruktur sind und nicht in die Abhängigkeit eines großen ,Hyperscalers’ geraten wollten“, berichtet Schönsteiner.

• Sie hätten daher nach einer intuitiven Lösung aus Deutschland oder Europa, vorzugsweise auf Open-Source-Basis, gesucht – nach einer Marktanalyse habe man sichfür die Datenplattform von Stackable entschieden.

Der Aufbau der Stackable-Datenplattform habe im Januar 2023 begonnen und nach rund neun Monaten habe ein „Minimum Viable Product“ (MVP) zur Verfügung gestanden – also eine frühe gangbare Version. Die vollständige Umsetzung bis zur produktiven Betriebsumgebung sei innerhalb von etwa zwei Jahren erfolgt. Inzwischen sei diese Datenplattform an allen Standorten im Einsatz.

Sehr große Datenmengen können analysiert und ohne Verluste verarbeitet werden

Schönsteiner und seine Kollegen entschieden sich für die „Cloud“-Version, gehosted vom deutschen Anbieter IONOS – „dank der Open-Source-Möglichkeiten von Stackable und dessen universeller Technologiebasis ,Kubernetes’ können wir aber jederzeit nahtlos zu On-Prem wechseln, wenn wir möchten“.

• Innerhalb kürzester Zeit habe sich die „Data Platform“ bei MARTIN bewährt: Beispielsweise durch die in Stackable enthaltene Analyse-Engine „Apache Spark“, mit welcher die Mitarbeiter selbst sehr große Datenmengen analysieren und ohne Verluste verarbeiten könnten – pro Linie seien es täglich rund 10 Gb an Daten. Statt dezentraler Einzelauswertungen stünden dem Team heute alle relevanten Anlagenparameter zentral und konsistent zur Verfügung.

Ein großer Vorteil für MARTIN ist dabei nach eigenen Angaben die Datenharmonisierung: Die Mitarbeiter könnten Daten aus verschiedenen Sensoren und Anlagen vereinheitlichen und vergleichen, wodurch sie tiefergehende Einblicke in alle Phasen der Müllverbrennung bekämen.

Kombination physikalisch-thermodynamischer Modelle mit Messdaten und weiteren betrieblichen Informationen

Schönsteiner führt weiter aus: „Wir kombinieren nun physikalisch-thermodynamische Modelle mit Messdaten und weiteren Informationen aus dem Betrieb. Oder anders gesagt: Erfahrung trifft auf Technik.“

• Für das Personal bedeute dies weniger Aufwand, geringere Kosten und mehr Kapazitäten für sich selbst zu haben, etwa um das gewonnene Wissen in den Bau zukünftiger Anlagen einfließen zu lassen. Vor allem bedeute es aber auch, dass die Mitarbeiter deutlich schneller mögliche Fehlerquellen identifizieren und beheben könnten.

Dies sei auch im Servicebereich ein wichtiger Vorteil für die Kunden von MARTIN. Die Münchner lieferten ihnen detaillierte Analysen und Berichte zu den Betriebsdaten, auf welche die Verantwortlichen ihre Entscheidungen stützen könnten.

Datensouveränität als echtes Alleinstellungsmerkmal gegenüber Neukunden

Zudem bekämen sie mit der „Data Platform“ die Möglichkeit, kommende Services und Wartungen vorausschauend zu planen und unnötige Stillstände zu vermeiden – Schönsteiner erklärt: „Wenn bei unseren Anlagen mal etwas nicht funktioniert, sind davon sehr schnell sehr viele Menschen betroffen. Und deswegen stehen wir unseren Kunden auch nach der Gewährleistung bei allen Anliegen zur Verfügung.“ Bei Gesprächen mit potenziellen Neukunden sei Stackable und die damit einhergehende Datensouveränität ein echtes Alleinstellungsmerkmal.

• Mehr als 1.000 Entsorgungslinien von MARTIN gebe es aktuell weltweit. Möglichst viele davon möchte MARTIN in den kommenden Monaten und Jahren mit dieser Datenplattform ausstatten. Auch darüber hinaus habe das Unternehmen langfristige Pläne mit Stackable – die Verknüpfung der Daten weiter auszubauen, die Analysen und daraus entstehenden Datenprodukte weiter zu optimieren und so letztendlich einen noch besseren Service für alle Kunden und Partner bieten zu können.

Laut Schönsteiner hat sich das Projekt schon jetzt gelohnt: „Für Außenstehende sieht die thermische Abfallbehandlung womöglich recht einfach aus, in Wirklichkeit ist es aber ein hochkomplexer Vorgang. Wir sind froh, diese Komplexität jetzt mit Stackable managen zu können – und das wirklich einfach.“ Die Einführung dieser Datenplattform sei für alle Beteiligten ein voller Erfolg. Sie bekämen ganz neue Einblicke, könnten schneller und effizienter handeln und ihren Kunden einen echten Mehrwert bieten.

Weitere Informationen zum Thema:

MARTIN
MARTIN GmbH für Umwelt- und Energietechnik – Was 1925 mit einer bahnbrechenden Idee, großem Durchhaltevermögen und einer gehörigen Portion unternehmerischen Wagemuts begann, ist heute ein solides aufgestelltes, mittelständisches Unternehmen, das stolz auf seine Wurzeln zurückblickt und entschlossen in die Zukunft getragen wird.

Linkedin
Max Schönsteiner / Head of R&D – MARTIN GmbH

Stackable
Die modulare Open-Source-Datenplattform / Beliebte Data Apps. Kubernetes-nativ. Einfach aufzusetzen und zu betreiben

datensicherheit.de, 03.02.2026
KRITIS-Dachgesetz verabschiedet: Deutschland muss dringend seine Kritischen Infrastrukturen besser schützen / Die Umsetzungsfrist für das „KRITIS-Dachgesetz“ lief am 18. Oktober 2024 ab – gegen die Bundesrepublik wurde bereits ein „Vertragsverletzungsverfahren“ der EU-Kommission eingeleitet

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 17.02.2022
Ransomware-Angriff auf Entsorger Otto Dörner zeigt: Kritische Infrastruktur zunehmend im Visier / Jörg Vollmer rät angesichts wachsender Ransomware-Bedrohung zur Prävention mit einhergehender Cyber-Hygiene

[datensicherheit.de, 15.09.2025] Die Landesbeauftragte für Datenschutz Schleswig-Holstein / Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) betont in ihrer aktuellen Stellungnahme, dass seit dem 12. September 2025 nach einer Übergangsphase endgültig die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ gilt, kurz: „Datenverordnung“ („Data Act“). Nutzer sollen fortan leichter zwischen genutzten Diensten wechseln können, welche mit Produkten im Kontext des „Internet of Things“ (IoT) zusammenhängen. Für den Datenschutz besonders wichtig ist demnach, dass Anbieter den Nutzern auf Anforderung Produktdaten und verbundene Dienstdaten bereitstellen müssen. Das ULD – seit jeher für Beschwerden bei vermuteten Datenschutzverstößen zuständig – werde nun ebenfalls zuständig für solche Beschwerden, die mit der Verarbeitung personenbezogener Daten und den Rechten nach dem „Data Act“ zusammenhängen.

„Data Act“ verschafft Nutzern neue Rechte auf Datenzugang, -nutzung und -weitergabe

„Vernetzte Produkte sind insbesondere Gegenstände, die mit dem Internet verbunden sind und Daten über ihre Nutzung und deren Umgebung verarbeiten. Verbundene Dienste sind digitale Dienste mit deren Hilfe die vernetzten Produkte ihre Funktionen ausführen können.“

• Erfasst seien zum Beispiel elektronische Haushaltsgeräte, Fahrzeuge oder auch Produktionsmaschinen, die Daten speichern. Nutzer, die ein vernetztes Produkt besitzen oder denen zeitweilig vertragliche Rechte für die Nutzung des Produkts übertragen wurden oder die verbundene Dienste in Anspruch nehmen, erhielten mit dem „Data Act“ neue Rechte auf Zugang zu den Produktdaten.

Zusätzlich bestehen laut ULD „Weitergaberechte“, welche einen Dateninhaber verpflichten, verfügbare Produktdaten sowie die für die Auslegung und Nutzung dieser Daten erforderlichen Metadaten einer anderen Stelle zur Verfügung zu stellen.

ULD-Zuständigkeit nach „Data Act“ im Falle der Verarbeitung personenbezogene Daten

„Soweit im Zusammenhang vor allem mit der Wahrnehmung der Nutzungsrechte der Zugang, die Nutzung oder Weitergabe personenbezogener Daten zu prüfen ist, übernimmt das ULD nunmehr für die in Schleswig-Holstein verpflichteten Stellen die Datenschutzaufsicht.“ Die zugrundeliegende Aufgabenzuweisung ergebe sich aus Art. 37 Abs. 3 „Data Act“.

• „Sollten Personen der Ansicht sein, dass Unternehmen in Schleswig-Holstein ihre Rechte nach dem ,Data Act’ in Bezug auf die Verarbeitung personenbezogener Daten verletzen, haben diese die Möglichkeit, beim ULD eine Beschwerde einzureichen.“

Das ULD prüfe dann den vorgetragenen Sachverhalt und wirk im Falle einer Verletzung mit den bestehenden Befugnissen auf die Einhaltung der Vorgaben des „Data Act“ hin. Das Beschwerdeformular des ULD, das auch für Beschwerden nach dem „Data Act“ verwendet werden kann, steht online zur Verfügung.

Weitere Informationen zum Thema:

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Das Unabhängige Landeszentrum für Datenschutz (ULD) ist die Dienststelle der Landesbeauftragten für Datenschutz und für Informationszugang / Wir über uns

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Meldungen an das ULD

datensicherheit.de, 14.09.2025
Data Act seit 12. September 2025 endgültig in Kraft – doch viele Fragen bleiben offen / Nach 20 Monaten Übergangsfrist fehlt es in Deutschland weiter an Verfahrensvorgaben und Aufsichtsbehörden zum „Data Act“ der EU

datensicherheit.de, 10.09.2025
Data Act: Geltungsbeginn am 12. September 2025 mit neuen Aufgaben für den HmbBfDI / Verbraucher und Wirtschaftsakteure profitieren von neuen Zugangsansprüchen auf Daten vernetzter Geräte, denn der „Data Act“ ermöglicht es sowohl Benutzern als auch Dritten, Sensordaten anzufordern

datensicherheit.de, 30.05.2025
Data Act – Frank Lange sieht Herausforderungen und Chancen für Unternehmen / „Data Act“ betrifft nahezu alle Branchen und wird weitreichende Veränderungen im Datenmanagement und der IT-Sicherheitsarchitektur nach sich ziehen

datensicherheit.de, 16.03.2025
Data Act: Kritik an geplanter Aufsichtsstruktur für die Durchsetzung / Landesdatenschutzbeauftragten sprechen sich bei der Umsetzung des Data Acts für eine föderale Aufsicht aus

[datensicherheit.de, 19.04.2025] Der eco – Verband der Internetwirtschaft e.V. fordert in seiner Stellungnahme vom 15. April 2025 „smarte Netze für smarte Industrie“ – denn die deutsche Industrie sei auf ein verlässliches Netz für Industrial-IoT-Projekte (Industrial-Internet-of-Things) angewiesen. Aus dem geplanten „Sondervermögen“ erwachse nunmehr die Chance, um den Ausbau der Gigabit-Netze am Industriestandort Deutschland zu beschleunigen.

„Industrial IoT“ wichtiger Wachstumsmarkt – Latenzzeiten als Erfolgsfaktor

„Industrial IoT“ gilt als ein wichtiger Wachstumsmarkt. „Um dieses Potenzial für den Wirtschaftsstandort Deutschland zu heben, braucht es ein schnelles, verlässliches Netz.“ Der eco fordert daher, dass ein Teil des von der neuen Bundesregierung aufgenommenen 500 Milliarden schweren Sondervermögens dann für die deutsche Infrastruktur in den Ausbau der Gigabit-Infrastruktur fließen muss.

„In Industrie-4.0-Technologie schlummert enormes wirtschaftliches Potenzial”, betont Giovanni Coppa, Leiter der eco-Kompetenzgruppe „IoT“. Er führt hierzu aus: „Dieses Potenzial können Unternehmen nur dann heben, wenn sie sich auf entsprechend geringe Latenzzeiten verlassen können. Der Ausbau der Gigabit-Netze darf daher nicht ins Hintertreffen geraten!“

Markt auf Wachstumskurs: Bis 2030 weltweit vermutlich rund 40 Milliarden IoT-Geräte

Laut einer Analyse von Grand View Research wird der deutsche Markt für das „Industrial Internet of Things“ (IIoT) voraussichtlich bis 2030 auf etwa 122 Milliarden Euro anwachsen, was einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 21,7 Prozent entspricht. Allein für das Jahr 2025 wird das Umsatzvolumen des deutschen IoT-Marktes auf 50 Milliarden Euro prognostiziert – verstärkt durch den Einsatz Künstlicher Intelligenz (KI), Machine Learning (ML) und 5G.

Von „Smart City“-Konzepten und vernetzen Autos über Intelligente Logistik mit mobilem Tracking von Waren oder Fahrzeugen bis hin zu Patientenüberwachung aus der Ferne –Schätzungen zufolge könnten bis 2030 weltweit rund 40 Milliarden IoT-Geräte im Umlauf sein. Mehr Bandbreite – und somit niedrige Latenzzeit – würde viele IoT-Einsatzbereiche fördern und somit unterschiedliche Gesellschaftsbereiche weiterentwickeln. „Durch die zusätzlichen staatlichen Investitionen könnte das Ziel der ,Gigabitstrategie’ – den flächendeckenden Ausbau von Glasfasernetzen und dem neuesten Mobilfunkstandard bis 2030 zu garantieren – besser erreicht werden.“

Deutschland als Industriestandort 4.0 benötigt IioT mit geringer Latenz

Echtzeit-Einblicke in Produktionsmaschinen, vorausschauende Wartung, weniger Ausfälle, Aufdecken von Einsparpotenzialen: „,Smart Factories’ und Unternehmen, die das ,Industrial Internet of Things’ (IIoT) einsetzen, können nur von den Vorteilen vernetzter IIoT-Geräte profitieren, wenn die Maschinen und Anlagen ihre Daten mit möglichst geringer Latenz übertragen können.“

Zudem müsse die eingesetzte Software in der Lage sein, die Daten der Hardware effektiv zu verarbeiten, um in Echtzeit Erkenntnisse zu liefern. „Hierbei ist der Ort der Verarbeitung entscheidend: Die Kombination von ,Edge’- und ,Cloud’-Infrastruktur ermöglicht eine sichere und latenzfreie Übertragung.“ Zudem bestimme der KI-Einsatz in Zukunft über die Qualität datenbasierter Entscheidungen für mehr Effizienz und Nachhaltigkeit in der Produktion.

Weitere Informationen zum Thema:

Die Bundesregierung, 24.02.2023
Leistungsstarke Netze für den digitalen Aufbruch Gigabitstrategie der Bundesregierung / Bis zum Jahr 2030 soll es flächendeckend Glasfaseranschlüsse bis ins Haus und den neuesten Mobilfunkstandard überall dort geben, wo Menschen leben, arbeiten oder unterwegs sind. In der Gigabitstrategie formuliert die Bundesregierung klare Ziele und konkrete Maßnahmen, wie sie das erreichen will.

datensicherheit.de, 25.03.2025
Intelligente Produktion: Smarte Roboter erobern die Fabrik​ / Vier Beispiele für das Zusammenspiel von KI und Edge Computing

datensicherheit.de, 27.09.2022
Bitkom-Warnung: Hohe Stromkosten gefährden Ausbau der Netze und Gigabitstrategie / Sogar Digitalisierung insgesamt könnte laut Bitkom ausgebremst werden

datensicherheit.de, 16.07.2020
Praxisbericht aus der IIoT-Security: Digitale Identitäten in der Industrie / Wie sich Maschinen, Geräte und Komponenten anmelden und sicher miteinander kommunizieren können

datensicherheit.de, 05.06.2019
IIoT: 5 Säulen der Sicherheit / „Public Key Infrastructure“ als die nötige wie etablierte Sicherheitstechnologie

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht / Unternehmen wissen nicht, was Endpunkte sind / Studie deckt die Notwendigkeit eines kulturellen Wandels im Umgang mit Sicherheitsrisiken auf

[datensicherheit.de, 04.02.2025] Im Gesundheitswesen habe die Integration von Geräten aus dem sogenannten Internet der medizinischen Dinge (Internet of Medical Things / IoMT) die Patientenversorgung verändert und die Effizienz sowie Zugänglichkeit verbessert. „Diese technologischen Fortschritte sind jedoch mit erheblichen Sicherheitsherausforderungen verbunden“, warnt Melanie Eschbach, „Sales Team Managerin“ bei Check Point Software Technologies, in ihrer aktuellen Stellungnahme. Erfahrungen aus der Praxis unterstrichen, wie wichtig es sei, IoMT-Geräte abzusichern, um Patientendaten zu schützen und einen unterbrechungsfreien medizinischen Betrieb zu gewährleisten.

Abbildung: Check Point Software Technologies

Melanie Eschbach: IoMT-Sicherheit wichtiger denn je, da jüngste Berichte zeigen, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden ist

Zunahme des Bedarfs an IoMT-Sicherheit

Eschbach führt aus: „Laut unserem ,State of Cyber Security Report 2025‘ war das Gesundheitswesen im Jahr 2024 der am zweithäufigsten angegriffene Sektor, mit einem Anstieg der Cyber-Attacken um 47 Prozent im Vergleich zum Vorjahr.“ Dieser Bericht hebe hervor, „wie sich Schwachstellen in der Lieferkette und Ransomware-Taktiken entwickeln“, wodurch die IoMT-Sicherheit wichtiger denn je werde. Jüngste Berichte zur Cyber-Sicherheit zeigten, dass das Gesundheitswesen zu einem der am meisten angegriffenen Sektoren geworden sei. Die zunehmende Häufigkeit von Ransomware-Angriffen, Schwachstellen in der Lieferkette und die Ausnutzung von IoT-Geräten zeigten, dass medizinische Einrichtungen entschlossene Maßnahmen ergreifen müssten, um ihre digitale Infrastruktur zu schützen. „Vielen IoT-Geräten mangelt es an integrierten Sicherheitsmaßnahmen, was sie zu attraktiven Zielen für Cyber-Kriminelle macht.“

Ein geknacktes IoMT-Gerät könne schwerwiegende Folgen haben, einschließlich Datenverletzung, Geräteausfall und Unterbrechung der Patientenversorgung. Beispielsweise könne ein fehlerhafter Patientenmonitor dazu führen, dass Entscheidungen auf der Grundlage ungenauer Daten getroffen würden, wodurch die Patientensicherheit gefährdet sei. Eschbach berichtet: „Das jüngste Beispiel, ist die kürzlich veröffentlichte Schwachstelle, die in den Patientenüberwachungsgeräten ,CMS8000‘ von Contec gefunden worden ist. Laut einem Bericht der US-Behörde für Cyber- und Infrastruktursicherheit (CISA) enthielten diese Geräte eine ,Hintertür‘, über die sie Patientendaten an eine externe IP-Adresse übertragen und unbefugte Fernzugriffe ermöglichten.“

IoMT-Schutz: Empfehlungen für grundlegende Sicherheitsmaßnahmen

Um o.g. Gefahr wirksam zu begegnen, sollten sich Organisationen des Gesundheitswesens laut Eschbach auf die folgenden Punkte konzentrieren:

Risiko-Bewertung der Firmware
Gründliche Firmware-Scans identifizierten verschiedene Schwachstellen wie nicht autorisierte Zugriffspunkte, offengelegte Anmeldeinformationen und versteckte „Hintertüren“. Dies helfe bei der Risiko-Bewertung vor der Integration neuer Geräte in Netzwerke.

Autonome Geräte-Erkennung und Risikoanalyse
Der Blick über alle angeschlossenen IoMT-Geräte müsse bewahrt werden, um unautorisierte oder riskante Endpunkte zu erkennen und eine kontinuierliche Überwachung möglicher Bedrohungen zu gewährleisten.

Zero-Trust-Segmentierung
Implementierung strikter Zugriffskontrollen stellten sicher, „dass jedes Gerät innerhalb definierter Parameter arbeitet und unbefugte Zugriffe verhindert werden“. Sogar dann, wenn ein Gerät attackiert wird, verhindere die Zero-Trust-Segmentierung „seitliche Bewegungen“ im Netzwerk und schränke potenzielle Bedrohungen ein.

Echtzeit-Bedrohungsdaten und virtuelles Patching
Die Nutzung aktueller Bedrohungsdaten zur Abwehr bekannter und neuer Cyber-Bedrohungen sei unumgänglich. Durch sogenanntes virtuelles Patching könnten Sicherheitskräfte die Risiken mindern, ohne die umgehende Einspeisung von Firmware-Updates zu erfordern, „was bei Geräten mit Schwachstellen, die ab Werk enthalten sind, von entscheidender Bedeutung ist“.

Security-by-Design bei der Geräteherstellung
Die Hersteller sollten ermutigt werden, Sicherheitsfunktionen direkt in ihre Geräte zu integrieren, um die Einhaltung gesetzlicher Normen zu gewährleisten und Schwachstellen vor der Markteinführung zu verringern.

Abhängigkeit von IoMT-Geräten erfordert Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen

Die zunehmende Abhängigkeit von IoMT-Geräten im modernen Gesundheitswesen erfordere einen Wechsel von reaktiven zu aktiven Cyber-Sicherheitsmaßnahmen. „Wenn die Sicherheit von Patienten auf dem Spiel steht, ist es nicht mehr möglich, sich ausschließlich auf Reaktionen nach einem Vorfall zu verlassen!“, stellt Eschbach klar. Durch die Implementierung robuster Sicherheitslösungen könnten Organisationen im Gesundheitswesen die Risiken der vernetzten Geräte minimieren, die betriebliche Integrität aufrechterhalten und sicherstellen, „dass Patientendaten geschützt bleiben“.

Durch die Einführung einer umfassenden Cyber-Sicherheitsarchitektur mit einer zentralen Plattform als Ansatz könnten sich Krankenhäuser vor den neuen Bedrohungen besser schützen und weiterhin eine qualitativ hochwertige, unterbrechungsfreie Versorgung anbieten. Eschbach gibt abschließend zu bedenken: „Investitionen in sichere Infrastrukturen und bewährte Verfahren stärken die Widerstandsfähigkeit gegen Cyber-Bedrohungen und schützen wichtige Prozesse im Gesundheitswesen.“ Erst eine vorausschauende Cyber-Sicherheitsstrategie sei der Garant für eine moderne Gesundheitsversorgung durch vernetzte Geräte. „Sie sorgt dafür, dass die Vorteile dieser IoMT-Geräte sorgenfrei genossen werden können und den Patienten zugutekommen!“

Weitere Informationen zum Thema:

CHECK POINT, 2025
THE STATE OF CYBER SECURITY 2025 / Top threats, emerging trends and CISO recommendations

CISA CYBERSECURITY & INFRASTRUCTURE SEURITY AGENCY, 30.01.2025
Contec CMS8000 Contains a Backdoor

[datensicherheit.de, 04.02.2025] „Mit der zunehmenden Verbreitung von IoT-Geräten, die tief in das tägliche Leben eingebunden werden, steigt der Bedarf an fortschrittlichen, beliebig skalierbaren Sicherheitslösungen in allen Unternehmen und Branchen enorm“, betont Thomas Boele, „Regional Director Sales Engineering CER/DACH“ bei Check Point Software Technologies, in seiner aktuellen Stellungnahme. Herkömmliche Sicherheitsansätze hätten oft mit der begrenzten Leistung von IoT-Geräten zu kämpfen, was die Fähigkeit zur Durchführung umfassender Sicherheitskontrollen einschränke. Diese Herausforderung habe nun den Weg für sogenanntes Eingebettetes Maschinelles Lernen („Embedded ML“ oder „TinyML“ / EML) geebnet – „eine einzigartige Lösung, um die Sicherheitsanforderungen an moderne IoT-Geräte zu erfüllen“.

Foto: Check Point Software Technologies

Thomas Boele erläutert die EML-Rolle als leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit

Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitigt EML Sicherheitsbeschränkungen von Systeme mit geringer Leistung

EML verändere das IoT und eingebettete Systeme, „indem es Geräten ermöglicht, Datenanalysen und Entscheidungsfindungen direkt auf dem Gerät durchzuführen“. Diese lokale Verarbeitung verringere die Latenz erheblich und verbessere den Datenschutz, da die Informationen nicht in eine „Cloud“ übertragen werden müssten. Neben den Vorteilen intelligenterer und anpassungsfähigerer IoT-Geräte beseitige EML die Sicherheitsbeschränkungen von Systeme mit geringer Leistung, da es eine maßgeschneiderte, unabhängig arbeitende Intelligenz auf Geräteebene biete.

Boele führt aus: „Da IoT-Geräte jedoch immer intelligenter werden, sind sie auch komplexer und potenziell anfälliger für ausgeklügelte Cyber-Bedrohungen. Cyber-Kriminelle nutzen daher ML-Techniken zur subtilen Manipulation von Eingabedaten, wodurch IoT-Geräte falsch klassifiziert werden oder Fehlfunktionen aufweisen, ohne sie Alarm zu schlagen.“

Darüber hinaus könnte dies zu falschen IoT-Aktionen führen, z.B. zur Fehlinterpretation von Messwerten oder gar zur Abschaltung. Besonders gefährlich sei dies in OT-Umgebungen und Kritischen Infrastrukturen (KRITIS). „Ein Ausfall bedeutet eine teure Unterbrechung des Betriebes. Im schlimmsten Fall drohen Angriffe auf die Energie-Infrastruktur infolge der Anforderungen aus dem ,Solarspitzen-Gesetz’.“

EML quasi als geheime und unsichtbare Sicherheitswaffe

EML nutze die Leistung des Maschinellen Lernens direkt in kleinen IoT-Geräten mit geringem elektrischen Energieverbrauch und ermögliche es ihnen, Bedrohungen lokal auf dem Gerät zu erkennen und zu verhindern. Durch die Einbettung von dieser Sicherheits-Intelligenz direkt in IoT-Geräte meistere EML die wichtigsten Sicherheitsherausforderungen und bietee erhebliche Vorteile für eine Vielzahl von Branchen.

„Eine der überzeugendsten Eigenschaften von EML ist die Fähigkeit, eine unsichtbare Sicherheitsebene zu schaffen, auf der sich IoT-Geräte autonom und ohne menschliches Eingreifen selbst überwachen und vor neuen, aufkommenden Bedrohungen schützen können.“ Dieser unsichtbare Ansatz bedeutet demnach, dass die Sicherheitsmaßnahmen unauffällig im Hintergrund ablaufen, ohne sichtbare Kameras oder aufdringliche Hardware erforderlich zu machen. Dies mache die Lösung ideal für sensible Umgebungen, wie Krankenhäuser bzw. KRITIS, in denen offensichtliche Sicherheitsvorrichtungen unpraktisch oder sogar störend sein könnten.

Für Branchen und Unternehmen biete diese sich selbst überwachende, wartungsarme Verteidigungsarchitektur einen großen Vorteil, da sie den Bedarf an häufigen manuellen Updates oder aktiver Überwachung reduziere. „Die Fähigkeit von EML, unsichtbar zu bleiben, beruht auf seiner nahtlosen Integration in den Gerätebetrieb. Es analysiert leise Daten und passt sich an Bedrohungen an, sobald diese auftauchen“, so Boele.

Mit EML die IoT-Compliance verbessern

Nationale Vorschriften, wie der „Cyber Resilience Act“ (CRA) der EU, schrieben vor, dass sensible Daten sicher und unter strengem Schutz der Privatsphäre verarbeitet werden müssten. EML ermögliche eine lokale Verarbeitung und stelle sicher, dass die Daten zur Analyse nicht an zentrale „Cloud“-Server übertragen werden müssten. Im Falle einer Datenschutzverletzung sähen weitere Vorschriften, wie die DSGVO, strenge Bußen vor, die davon abhingen, „wie ein Unternehmen mit der Sicherheit umgegangen ist“.

EML verbessere die lokale Erkennung und Vorbeugung, d.h.: „Es kann einen Verstoß oder verdächtige Aktivitäten identifizieren, bevor sensible Daten übertragen oder gefährdet werden.“ Diese Sicherheitsmaßnahme verringere das Risiko eines Verstoßes und helfe Unternehmen, die Vorschriften einzuhalten und Geldbußen zu vermeiden.

„Die Einhaltung von Vorschriften in IoT-Umgebungen kann komplex sein, insbesondere wenn die Anzahl der angeschlossenen Geräte steigt. Die schlanke EML-Lösung lässt sich dagegen ohne großen Aufwand in eine große Anzahl von Geräten integrieren und ermöglicht es Unternehmen, die Einhaltung von Vorschriften in großen IoT-Netzwerken effizient zu verwalten.“ Es stelle sicher, dass die Sicherheitsprotokolle auf allen Geräten einheitlich angewandt würden, so dass umfangreiche Compliance-Maßnahmen leichter zu bewältigen seien.

EML-Vorteile auf einen Blick

Die wichtigsten Vorteile des Eingebetteten Maschinellen Lernens lt. Boele:

Lokale Verarbeitung zur Erkennung von Bedrohungen
EML-Modelle könnten Bedrohungen in Echtzeit erkennen, indem sie direkt auf den Geräten ausgeführt würden, wodurch die Verzögerung bei der Erkennung und Reaktion auf potenzielle Angriffe verringert werde. Dies sei von entscheidender Bedeutung für Anwendungen, die eine schnelle Erkennung von und Reaktion auf Bedrohungen erforderten, wie „Smart Home Security“ und industrielle Überwachung, wo Latenz ein Sicherheitsrisiko darstellen könne.

Kostengünstige Möglichkeit zur Skalierung der IoT-Sicherheit für ältere Geräte
Viele Branchen hätten stark in veraltete Geräte investiert, denen es an harten Sicherheitsvorkehrungen mangele und die nur schwer zu aktualisieren seien. Die minimalen Verarbeitungs- und Speicheranforderungen von EML bedeuteten, dass selbst ältere IoT-Geräte mit einer zusätzlichen Sicherheitsschicht ausgestattet werden könnten, ohne eine vollständige Aufrüstung der Hardware erforderlich zu machen. Dies senke die Kosten und verbessere gleichzeitig die netzwerkweite Sicherheit – ein besonders wertvoller Punkt für CISOs, die mit Budget-Beschränkungen oder der Skalierung in großen IoT-Ökosystemen zu kämpfen hätten.

Geringere „Cloud“-Abhängigkeit
Aufgrund seiner Fähigkeit, Aufgaben lokal auszuführen, minimiere EML die Abhängigkeit von der „Cloud“, was den Bandbreiten- und Verbrauch elektrischer Energie reduziere. Dieser lokalisierte Ansatz sei in Szenarien mit eingeschränkter Konnektivität von Vorteil. Diese netzunabhängige Einrichtung sei ideal für die Überwachung in der Landwirtschaft oder beim Schutz der Tierwelt, bei Autonomen Fahrzeugen oder im Untertagebau, da viele dieser Bereiche normalerweise nicht geschützt seien. Außerdem werde der Datenschutz verbessert, da sensible Informationen das Gerät nicht verlassen müssten.

Geringere Bandbreitennutzung
Durch die lokale Verarbeitung von Daten werde die über das Netzwerk übertragene Datenmenge reduziert, was die Bandbreite weniger beanspruche und EML für netzwerkbeschränkte Umgebungen geeignet mache.

Nachhaltigkeit und Energieeffizienz
EML-Modelle seien auf minimalen Energieverbrauch optimiert, so dass batteriebetriebene IoT-Geräte auch bei der Durchführung von Sicherheitsaufgaben eine lange Lebensdauer hätten. Dies sei in Bereichen wie der Umweltüberwachung, in denen Geräte über Monate oder Jahre hinweg ohne menschliches Eingreifen arbeiten soltlen, von entscheidender Bedeutung. Dies unterstütze Nachhaltigkeitsziele, indem die Lebensdauer von IoT-Geräten verlängert und der Energiebedarf gesenkt werde.

Autonomer Betrieb und Ausfallsicherheit
In Kritischen Anwendungen wie dem Industriellen IoT (IIoT) ermögliche EML den autonomen Betrieb von Geräten, „die Unregelmäßigkeiten ohne externe Eingriffe erkennen und behandeln“. Diese Autarkie sei für abgelegene oder gefährliche Umgebungen, in denen menschliches Eingreifen nur begrenzt möglich sei, von entscheidender Bedeutung, da IoT-Geräte auch dann weiter funktionierten, „wenn sie von zentralen Systemen getrennt sind“.

Erleichtert adaptives Lernen
EML-Modelle könnten auf dem Gerät trainiert und feinabgestimmt werden, so dass sich IoT-Geräte an veränderte Umgebungsbedingungen anpassen könnten. In der Intelligenten Landwirtschaft könnten sich die Modelle beispielsweise an unterschiedliche Bodenbedingungen oder Wettermuster anpassen, so dass die Geräte besser auf Veränderungen in der Umwelt reagieren könnten, ohne eine ständige Neuprogrammierung von einem zentralen Server erforderlich zu machen.

Das menschliche Element der IoT-Sicherheit – EML lernt menschliche Verhaltensmuster
Es könne auch menschliche Verhaltensmuster erlernen und analysieren und so die Sicherheit durch das Aufspüren von Anomalien verbessern. „Das mag futuristisch klingen, ist aber sehr praktisch: Zum Beispiel können intelligente Schlösser verdächtige Bewegungen an einer Tür erkennen, oder industrielle Systeme merken, wenn die Anwesenheit von Menschen unüblich erscheint.“ Dies füge der IoT-Sicherheit eine Ebene der Verhaltensanalyse hinzu und verdeutliche, wie sie mit dem Null-Toleranz-Sicherheitsmodell in Einklang gebracht werden könne, „indem sichergestellt wird, dass nur geprüftes und erwartetes Verhalten zugelassen wird“.

Die Zukunft autarker IoT-Sicherheit mittels EML

„EML-Sicherheitsanwendungen bergen ein enormes Potenzial für die Schaffung eines sichereren, widerstandsfähigeren IoT-Ökosystems, indem sie schnelle, energieeffiziente und datenschutzfreundliche Sicherheitslösungen direkt auf der Geräteebene bereitstellen“, unterstreicht Boele. Doch wie bei jeder neuen Technologie, so gebe es auch hier Herausforderungen: Hacker könnten EML-Modelle missbrauchen, um eine Entdeckung zu vermeiden, „was ein Risiko darstellt“. Um diese Bedrohungen einzudämmen, seien kontinuierliche Forschungs- und Entwicklungsanstrengungen erforderlich, um die Integrität und Robustheit der Daten zu gewährleisten und sie vor Angriffen und Manipulationen zu schützen.

Auf Maschinellem Lernen basierte IoT-Bedrohungen könnten grob in zwei Kategorien eingeteilt werden: Sicherheitsangriffe und Verletzungen der Privatsphäre. „Sicherheitsangriffe konzentrieren sich auf die Beeinträchtigung der Datenintegrität und -verfügbarkeit, während Verletzungen der Privatsphäre auf die Vertraulichkeit und den Schutz der personenbezogenen Daten zielen.“ Zu den wichtigsten Beispielen für diese Bedrohungen gehörten die folgenden drei Angriffsarten:

Angriffe auf die Integrität
Integritätsangriffe zielten darauf ab, das Verhalten oder die Ausgabe eines Maschinellen Lernsystems zu manipulieren, indem seine Trainingsdaten oder sein Modell verändert würden. Durch die Einspeisung falscher Daten könnten Angreifer die Genauigkeit des Modells beeinträchtigen und das Vertrauen der Benutzer untergraben, ähnlich wie die Vermischung von minderwertigen Produkten mit hochwertigen Produkten bei Inspektionen die Glaubwürdigkeit insgesamt beeinträchtige. Im Internet der Dinge könne die Manipulation von Sensordaten für die vorausschauende Wartung das Modell in die Irre führen, was zu falschen Vorhersagen oder unsachgemäßen Wartungsmaßnahmen führe, welche die Funktionalität und Zuverlässigkeit der Geräte beeinträchtigten.

Angriffe auf die Verfügbarkeit
Verfügbarkeitsangriffe zielten auf das normale Funktionieren von auf ML basierenden IoT-Systemen, indem sie Unterbrechungen verursachten oder ungenaue Ergebnisse erzeugten, die zu Abstürzen, Dienstunterbrechungen oder fehlerhaften Ergebnissen führten. Ähnlich wie bei Verkehrsstaus oder Kommunikationsstörungen, so überforderten diese Angriffe die Systeme und verhinderten legitime Reaktionen. Auf diese Weise könnten Denial-of-Service-Angriffe auf ein Smart-Home-System dieses mit Befehlen überlasten, „so dass es nicht mehr reagiert, während die Überflutung von Sensornetzwerken mit übermäßigen oder fehlerhaften Daten eine rechtzeitige Entscheidungsfindung verzögern oder verhindern kann“.

Angriffe auf die Vertraulichkeit
„Vertraulichkeitsangriffe zielen auf ML-Systeme ab, um an sensible oder private Daten zu gelangen. Im Internet der Dinge können solche Angriffe zu unbefugtem Zugriff und zur Preisgabe sensibler Daten führen und so die Privatsphäre, Geschäftsgeheimnisse oder sogar die nationale Sicherheit gefährden.“ Angreifer könnten Seitenkanalangriffe nutzen, um Details aus elektrischen Energieverbrauchsmustern aufzudecken, oder Modellinversionstechniken verwenden, um persönliche Informationen zu rekonstruieren, wie Gesichtsmerkmale aus der Ausgabe eines Gesichtserkennungssystems.

Investition in EML kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden – zudem werden „Cloud-“Abhängigkeit und Bandbreitenanforderungen reduziert

Außerdem gebe es die Angriffe auf die Trainingsdaten von IoT-Szenarien, also Angriffe auf das Modell selbst. In Zukunft würden vielleicht EML-Modelle mit adaptiven, selbstheilenden Fähigkeiten versehen werden, welche sich nach Angriffsversuchen automatisch neu kalibrierten und so die IoT-Sicherheit weiter stärkten.

Die Auswirkung von EML auf das „Smart Edge Computing“ liege in der Fähigkeit, Intelligente Verarbeitung direkt an den „Edge“ zu bringen, so dass IoT-Geräte autonom, effizient und sicher arbeiten könnten. Diese Erweiterung verbessere die Reaktionsfähigkeit, Nachhaltigkeit und Skalierbarkeit von „IoT-Ökosystemen“. Mit der Entwicklung von EML werde sich dessen Rolle im „Smart Edge Computing“ ausweiten und die Innovation in Bereichen fördern, „in denen intelligente IoT-Lösungen mit geringer Latenz und hohem Datenschutzbedarf gefragt sind“.

Die Investition in EML sei nicht nur kosteneffizienter als herkömmliche „Cloud“-IoT-Sicherheitsmethoden, sondern reduziere auch die „Cloud-“Abhängigkeit und die Bandbreitenanforderungen, was zu erheblichen Kosteneinsparungen führe und den ROI erhöhe, insbesondere in großen IoT-Netzwerken, in denen sich die „Cloud“-Kosten schnell summieren könnten. Für Unternehmen stärke die Einführung von EML die IoT-Sicherheit und biete gleichzeitig betriebliche Effizienz und Nachhaltigkeitsvorteile, welche mit den sich entwickelnden Anforderungen an die IoT-Sicherheit übereinstimmten.

EML für Unternehmen mit komplexen IoT-Compliance-Standards von großer Bedeutung

„EML ist für Unternehmen, die mit komplexen IoT-Compliance-Standards zu tun haben, von großer Bedeutung, da es eine lokale Datenverarbeitung ermöglicht, die Datenübertragung reduziert und eine Echtzeit-Bedrohungserkennung bietet“, gibt Boele zu bedenken. Diese Technologie versetze Unternehmen in die Lage, die wichtigsten regulatorischen Anforderungen in Bezug auf Datenschutz, Cyber-Sicherheit und Auditing zu erfüllen, was sie zu einer skalierbaren und effizienten Lösung zur Sicherung von IoT-Systemen unter strengen regulatorischen Anforderungen mache.

„Zusammenfassend lässt sich sagen, dass Eingebettetes Maschinelles Lernen (EML) ein leistungsstarkes Werkzeug für Innovationen im Bereich der IoT-Sicherheit darstellt, das Kosteneinsparungen, die Einhaltung von Vorschriften und einen verbesserten Schutz der Unternehmen bietet.“

Bei der Einführung dieser Technologie sei es jedoch unerlässlich, die ihr zugrundeliegenden Grundsätze der Sicherheit, Integrität und Transparenz zu überdenken. „Die Zukunft der IoT-Sicherheit liegt im ,Edge’-Bereich, und Investitionen in EML sind neben kontinuierlicher Forschung der Schlüssel zu einer verantwortungsvollen und effektiven Umsetzung dieser Strategie!“, kommentiert Boele abschließend.

Weitere Informationen zum Thema:

Spectrum.de SciLogs, Ulrich Greveler, 18.01.2025
BSI hat recht: Unsichere Solar-Steuerungen nicht akzeptabel!

[datensicherheit.de, 08.01.2025] Der Schutz der Privatsphäre werde im Allgemeinen als ein Grundrecht angesehen und die Bürger hätten oft hohe Erwartungen an den Schutz ihrer personenbezogenen Daten. Lothar Geuenich, „VP Central Europe“ bei Check Point Software Technologies, hebt in seiner aktuellen Stellungnahme indes hervor: „Sie protestieren, wenn sie befürchten, dass sich die Regierungen immer stärker in ihr privates Leben einmischen. Sie machen sich jedoch keine Gedanken darüber, wie viele intime und sensible Daten sie über jeder Anwendung, die sie auf ihrem Smartphone installieren, oder über intelligente Geräte in ihren Wohnungen preisgeben.“

Foto: Check Point

Lothar Geuenich: Datenschutzverletzungen machen deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen sind!

Sogenannte Wearables sammeln intime Details über Nutzer – z.B. erfassen sie Gesundheitsdaten

Große Technologie-Unternehmen und Anbieter von tragbaren Geräten wie „Wearables“, Smartphones und Sprachassistenten sammelten intime Details über ihre Nutzer – oft weit mehr als jeder Gesundheitsdienstleister oder jede Regierungsbehörde. Diese Geräte erfassten Daten über die körperliche Gesundheit (z.B. Herzfrequenz, Schlafverhalten und körperliche Aktivität), das geistige Wohlbefinden (durch Analyse von Sprache, Mimik und Online-Aktivitäten) und persönliche Vorlieben, „z.B. wonach wir suchen, was wir kaufen oder was wir hören“. Sprachassistenten lernten kontinuierlich aus den Interaktionen der Nutzer und erstellen Profile, welche Details über Routinen, Beziehungen und sogar die Stimmung enthalten könnten, welche aus dem Tonfall und der Sprache abgeleitet würden.

Diese Daten gingen über das hinaus, was ein einzelner Arzt wissen könnte, und stellten einen „digitalen Fingerabdruck“ der persönlichen Gesundheit und des Verhaltens dar. So zeichneten „Wearables“ beispielsweise die Herzfrequenz, den Stresspegel und die zurückgelegten Schritte auf und erstellten so eine umfassende Aufzeichnung des körperlichen und geistigen Zustands des Trägers. Online-Plattformen nutzten ausgeklügelte Algorithmen, um die Interessen und das Verhalten der Nutzer besser zu verstehen, als es viele Freunde oder Familienmitglieder könnten, und erfassten so alles – von den Kaufgewohnheiten bis zu den politischen Ansichten.

Zusammenfassung von Daten über Geräte, Apps und digitale Umgebungen hinweg

Diese Unternehmen erreichten eine solche Tiefe, weil sie Daten über Geräte, Apps und digitale Umgebungen hinweg zusammenfassten. „Die gewonnenen Erkenntnisse dienen nicht nur der Bereitstellung von Diensten, sondern werden auch für gezielte Werbung verwendet und können unter bestimmten Bedingungen an Dritte oder staatliche Stellen weitergegeben werden, manchmal ohne das ausdrückliche Wissen der Nutzer“, gibt Geuenich zu bedenken.

Anwendungen müssten die Nutzer zwar um ihre Zustimmung und Erlaubnis bitten, Sensoren in ihrem Gerät zu befragen, aber in der Regel gäben die Nutzer diese Zustimmung schnell und ohne weiteres Überlegen. Diese Daten hätten zwar einen immensen Wert für die Verbesserung von Produkten und die Personalisierung von Diensten, „werfen aber auch erhebliche Bedenken hinsichtlich des Datenschutzes auf, da sie weitgehend unkontrolliert verarbeitet werden und es Technologie-Unternehmen ermöglichen, einen beispiellosen Einblick in die intimen Details von Milliarden von Menschenleben zu erlangen“.

Öffentliche Debatte um Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen

Geuenich blickt zurück: „Im Jahr 2018 erfuhren wir vom Skandal um ,facebook’ und ,Cambridge Analytica’. Kurz gesagt: Ein Beratungsunternehmen sammelte personenbezogene Daten von Millionen von Nutzern ohne deren Zustimmung. Die Daten wurden verwendet, um psychologische Profile von Nutzern zu erstellen, die dann genutzt wurden, um gezielte politische Werbung zu schalten.“ Die Hauptsorge habe der Monetarisierung von Daten, der Erstellung von Werbeprofilen und gezielten Kampagnen gegolten.

Seitdem sei die Diskussion eskaliert und drehe sich nun um Innere Sicherheit, Beeinflussungskampagnen und Spionage durch ausländische Regierungen. So drehe sich eine aktuelle öffentliche Debatte um die Datensammlungspraktiken beliebter Sozialer Medien und Technologie-Unternehmen. Untersuchungen hätten ergeben, dass solche Apps umfangreiche Nutzerdaten sammelten, darunter Standort-, Kontakt- und Verhaltensdaten, was Bedenken hinsichtlich des Datenschutzes und des möglichen Zugriffs ausländischer Regierungen wecke. Während diese Unternehmen jeglichen unrechtmäßigen Zugriff abstritten, hätten die Regierungen strenge Überwachungsmaßnahmen eingeführt, um sicherzustellen, dass sensible Nutzerdaten nicht gefährdet würden. Dies habe weltweit Maßnahmen ausgelöst, da die Länder der Datensicherheit für ihre Bürger Vorrang einräumten.

Bedenken, dass ausländische Regierungen durch „Hintertüren“ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten

„Auch die Hersteller von Smartphones und IoT-Geräten aus verschiedenen Regionen stehen auf dem Prüfstand. Es wurden Bedenken geäußert, dass ausländische Regierungen durch ,Hintertüren’ oder andere Überwachungsmechanismen auf Nutzerdaten zugreifen könnten.“ Dieses Problem trete besonders in Ländern mit unterschiedlichen Ansätzen zum Datenschutz auf, so Geuenich, „insbesondere in autoritären Regierungen, die der staatlichen Kontrolle Vorrang gegenüber der Privatsphäre des Einzelnen einräumen“. Diese Praktiken hätten zu einer verstärkten Besorgnis über den möglichen Missbrauch von Geräten für Spionage oder Überwachung geführt.

Die Datenschutzgesetze in den europäischen Ländern veranschaulichten das Engagement für den Datenschutz, indem sie dem Einzelnen die Kontrolle über seine Daten gäben und von den Unternehmen Transparenz bei der Datenerfassung und -weitergabe verlangten. Solche Rahmenwerke seien von kulturellen Werten beeinflusst, die individuelle Freiheiten und eine tief verwurzelte Abneigung gegen Überwachung, insbesondere im privaten Bereich der eigenen Wohnung, in den Vordergrund stellten.

Divergierende Datenschutzstandards mit Auswirkungen auf internationale Beziehungen und globalen IoT-Markt

Diese Divergenz präge nicht nur lokale Datenschutzstandards, sondern habe auch Auswirkungen auf internationale Beziehungen und den globalen IoT-Markt: „Viele Länder führen zunehmend Maßnahmen ein, um im Ausland hergestellte Geräte einzuschränken, die im Verdacht stehen, für staatliche Eingriffe anfällig zu sein, und verstärken damit den breiteren geopolitischen Wettbewerb zwischen offenen und geschlossenen Datenverwaltungsmodellen.“

Wie diese Fälle zeigten, sei die Bedrohung keine hypothetische Angelegenheit. Regierungen auf der ganzen Welt setzten sich mit den Auswirkungen von IoT-Geräten auf die Sicherheit und den Datenschutz auseinander, insbesondere von Anbietern mit potenziellen Verbindungen zur staatlichen Überwachung.

3 wesentliche Ansätze für mehr Datensicherheit

Als Reaktion darauf seien mehrere regulatorische und rechtliche Maßnahmen im Gange:

Verbote und Beschränkungen für „Hochrisiko-Lieferanten“
Einige Regierungen hätten Maßnahmen ergriffen, indem sie bestimmte, im Ausland hergestellte Geräte aus Kritischen Infrastrukturen verbannt hätten, insbesondere in Regierungsgebäuden und anderen sensiblen Bereichen. Dieser Ansatz sei zwar umstritten, werde aber als notwendiger Schritt zur Verringerung des Spionagerisikos angesehen.

Gesetze zum Schutz von Daten und Privatsphäre
Die europäische DSGVO und ähnliche Gesetze auf der ganzen Welt sollten den Verbrauchern mehr Kontrolle über ihre Daten geben. Diese Vorschriften verlangten, dass Unternehmen klare Zustimmungsoptionen anböten, die Datennutzung offenlegten und den Nutzern die Möglichkeit gäben, die von ihren Geräten erfassten Daten zu verwalten.
Die Durchsetzung dieser Gesetze gegenüber ausländischen Unternehmen bleibe jedoch eine Herausforderung. Aus diesem Grund habe die Europäische Kommission das neue Gesetz über die Widerstandsfähigkeit gegen Cyber-Angriffe (Cyber Resilience Act, CRA) verabschiedet, welches von den Herstellern verlange, bei allen vernetzten Geräten sowohl die Datenschutz- als auch die Sicherheitsanforderungen beim Vertrieb auf dem europäischen Markt einzuhalten.

Sicherheitsstandards für Geräte
Mehrere Länder hätten Gesetze erlassen, die Mindest-Sicherheitsstandards für von Behörden verwendete Geräte vorschreiben. Diese Gesetze förderten grundlegende Sicherheitsmaßnahmen – wie das Verbot von Standard-Passwörtern – und verringerten so das Risiko eines unbefugten Zugriffs.

IoT-Sicherheit als eigener Aspekt der Cyber- bzw. Datensicherheit

Die in den Zeitungen landenden Datenschutzverletzungen machten deutlich, wie dringend notwendig strengere Vorschriften und eine bessere Sensibilisierung der Verbraucher für Cyber-Sicherheitsbedrohungen seien. Geuenich betont abschließend: „Es geht darum, wie diese ,Smart Devices’ in den falschen Händen die Privatsphäre und Sicherheit von jedem gefährden könnten.“

„Wenn Regierungen, Aufsichtsbehörden und Verbraucher beginnen, sich mit dieser Tatsache zu befassen, werden Zusammenarbeit und Wachsamkeit der Schlüssel sein, um die Unantastbarkeit der Privatsphäre zu bewahren.“ Zudem werde dann das Bewusstsein für die IoT-Sicherheit als eigener Aspekt der Cyber-Sicherheit gestärkt werden, „damit die Geräte ab Werk und im Einsatz umfassend geschützt sind“.

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 29.08.2024
IoT: Wenn das Internet der Dinge zum Internet of Threats zu werden droht / Vorteile der IoT-Technologie dürfen nicht durch Gefahr von Cyber-Angriffen überschattet werden

datensicherheit.de, 05.12.2016
Gesundheits-Apps und Wearables: Datenschutz ungenügend / Stichproben durch Datenschutzbehörden aus Bund und Ländern unterstreichen Handlungsbedarf

[datensicherheit.de, 29.08.2024] Das sogenannte Internet der Dinge (Internet of Things / IoT) hat offenkundig langsam aber sicher Einzug in unser Zuhause und an unseren Arbeitsplatz gehalten. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, kommentiert: „Von intelligenten Häusern bis hin zu industriellen Steuerungssystemen hat das IoT unser Leben bequemer und effizienter gemacht. Mit der zunehmenden Vernetzung sind aber auch die Risiken gestiegen.“ Wenn wir indes zusammenarbeiteten, um der Sicherheit Priorität einzuräumen, das Bewusstsein für die Risiken zu schärfen und durch gezielte Schulungen zu verstärken, könnten wir sicherstellen, dass die Vorteile der IoT-Technologie nicht durch die Gefahr von Cyber-Angriffen überschattet werden.

Foto: KnowBe4

Dr. Martin J. Krämer: Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern!

Schwache bzw. voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle erhöhen IoT-Angriffsfläche

Bei der Entwicklung von IoT-Geräten stehe häufig die Funktionalität und nicht die Sicherheit im Vordergrund. „Das bedeutet, dass viele Geräte schwache oder voreingestellte Passwörter, ungepatchte Schwachstellen und unsichere Kommunikationsprotokolle aufweisen“, erläutert Dr. Krämer. Angreifer könnten diese Sicherheitslücken ausnutzen, um sich unberechtigten Zugang zu Geräten und Netzwerken zu verschaffen, sensible Daten zu stehlen oder weitere Angriffe zu starten.

Er führt aus: „Einem kürzlich veröffentlichten Bericht des Weltwirtschaftsforums zufolge wird die Zahl der IoT-Geräte bis 2025 voraussichtlich auf 30 Milliarden ansteigen und damit eine riesige Angriffsfläche für Cyber-Kriminelle bieten.“ In dem Bericht werde auch auf den zunehmenden Handel mit IoT-Schwachstellen und „Exploits“ im sogenannten DarkWeb hingewiesen, welcher es Angreifern erleichtere, diese Geräte ins Visier zu nehmen.

Social Engineering: IoT als Quelle für Cyber-Kriminelle

Einer der am meisten unterschätzten, aber auch gefährlichsten Aspekte des IoT sei sein Potenzial für „Social Engineering“. „Viele IoT-Geräte sammeln und übertragen sensible persönliche Daten wie Gesundheitsdaten, Standortdaten und sogar Video- und Audioaufzeichnungen. Angreifer können diese Daten nutzen, um sehr gezielte Phishing-E-Mails oder -Nachrichten zu verfassen und ihre Opfer zur Preisgabe von Zugangsdaten oder anderen sensiblen Informationen zu verleiten.“

Zum Schutz vor IoT-Angriffen sei ein mehrschichtiger Sicherheitsansatz erforderlich. Dazu gehören laut KnowBe4 folgende Maßnahmen:

Ändern der Standardpasswörter
Viele IoT-Geräte würden mit schwachen oder voreingestellten Passwörtern ausgeliefert. „Ändern Sie diese umgehend und verwenden Sie starke, eindeutige Passwörter für jedes Gerät!“

Geräte auf dem neuesten Stand halten
„Suchen Sie regelmäßig nach Firmware- und Software-Updates für Ihre IoT-Geräte und installieren Sie diese!“ Diese Updates enthielten häufig Sicherheitspatches für bekannte Schwachstellen.

Netzwerke segmentieren
„Verwenden Sie getrennte Netzwerke für IoT-Geräte und kritische Systeme!“ Dies könne Angreifer daran hindern, sich seitlich durch Netzwerke zu bewegen, wenn sie ein IoT-Gerät kompromittieren.

Überwachung auf Anomalien
„Nutzen Sie Tools zur Sicherheitsüberwachung, um ungewöhnliche Verkehrsmuster oder Verhaltensweisen in Ihren IoT-Geräten und -Netzwerken zu erkennen!“ Dies könne helfen, potenzielle Angriffe schnell zu erkennen und darauf zu reagieren.

Sensibilisierung der Nutzer
„Informieren Sie Ihre Mitarbeiter und Familienmitglieder über die Risiken von IoT-Angriffen und wie sie potenzielle Social-Engineering-Versuche erkennen können. Ermutigen Sie sie, verdächtige E-Mails oder Nachrichten zu melden. Bringen Sie ihnen insbesondere bei, auf Sicherheitsfunktionen zu achten, wie z.B. die Möglichkeit, Passwörter zu ändern und Geräte vor dem Kauf einfach zu aktualisieren oder zu patchen!“

Zukunft der IoT-Sicherheit

Mit der zunehmenden Zahl von IoT-Geräten wachse auch die Bedrohung durch Cyber-Angriffe. Es sei von entscheidender Bedeutung, „dass die Gerätehersteller der Sicherheit bei der Konzeption und Entwicklung von IoT-Produkten Priorität einräumen“. Während einige Länder wie Großbritannien bereits Gesetze zum Schutz der Verbraucher erlassen hätten, „indem sie Mindestsicherheitsstandards vorschreiben“, müsse auf globaler Ebene noch mehr getan werden.

Dr. Krämer hebt hervor: „Letztendlich erfordert die Sicherung des IoT eine gemeinsame Anstrengung von Geräteherstellern, Entwicklern, Unternehmen und Verbrauchern. Ein wesentlicher Bestandteil dieser Bemühungen ist die Durchführung von Security-Awareness-Schulungen, die dazu beitragen, das Sicherheitsbewusstsein auf allen Ebenen zu stärken.“ Durch solche Schulungen könnten alle Beteiligten besser über potenzielle Bedrohungen informiert werden und lernen, wie sie sicherheitsbewusste Entscheidungen treffen.

Weitere Informationen zum Thema:

GOV.UK, 29.04.2024
New laws to protect consumers from cyber criminals come into force in the UK

datensicherheit.de, 23.03.2024
IoT-Sicherheit: Keyfactor betont drei Schlüsselaspekte für den Schutz vernetzter Geräte / Keyfactor warnt: Mit dem enormen Potenzial der IoT-Technologie gehen auch signifikante Risiken einher

datensicherheit.de, 31.01.2024
Internet der Dinge: IoT-Sicherheit massiv bedroht / Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden

[datensicherheit.de, 23.03.2024] Die Bedeutung des sogenannten „Internet der Dinge (und Dienste)“ (im Englischen als IoT abgekürzt) wächst erkennbar. In der Entwicklung von IoT-Geräten hat sich laut Ellen Böhm, „SVP, IoT Strategie & Betrieb“ bei Keyfactor, seit der Einführung des ersten netzwerkverbundenen Verkaufsautomaten im Jahr 1982 einiges getan. Die Anbindung von Geräten an das Internet und andere Netzwerke habe eine transformative Ära eingeläutet und Innovationen in vielen Bereichen angetrieben. Doch mit dem enormen Potenzial dieser Technologien gingen auch „signifikante Risiken“ einher.

Foto: Keyfactor

Ellen Böhm, SVP, IoT Strategie & Betrieb“ bei Keyfactor: Sicherheit von IoT-Geräten erfordert umfassendes Verständnis, strategische Planung und Umsetzung effektiver Sicherheitsmaßnahmen!

Keyfactor empfiehlt grundsätzlich robuste IT-Sicherheitsstrategien

„Durch die zunehmende Vernetzung und Integration von IoT in die Geschäftsprozesse von Unternehmen entstehen Sicherheitsbedrohungen, die proaktiv angegangen werden müssen“, erläutert Böhm. Jedes Gerät berge die potenzielle Gefahr, zu einem Ausfall zugehöriger Abläufe zu führen.

Insbesondere bei geschäftskritischen Prozessen sei das Risiko groß, da beispielsweise Ausfälle in der Produktion hohe finanzielle Schäden und Gewinnverluste zur Folge haben könnten. Sie führt aus: „Um die von IoT-Umgebungen ausgehenden Nachteile und Risiken zu mitigieren, bedarf es robuster Sicherheitsstrategien, die im Folgenden aufgezählt und erläutert werden.“

1. Keyfactor-Tipp: Verhindern von Zertifikatsausfällen

Digitale Zertifikate bildeten das Rückgrat der Sicherheit und Funktionsfähigkeit von IoT-Geräten. Sie ermöglichten es den Geräten, die Authentizität von Netzwerksignalen zu verifizieren und sichere Verbindungen aufzubauen. Die große Mehrheit der Unternehmen scheine jedoch mit dem Management dieser Zertifikate überfordert zu sein:

„Laut einer Studie von Keyfactor haben 98 Prozent der befragten Organisationen in den letzten zwölf Monaten mindestens einen zertifikatsbezogenen Ausfall erlebt, der durchschnittlich zu Verlusten von über zwei Millionen Euro führte.“ Die Lösung liege in einer zentralisierten und automatisierten Verwaltung von Zertifikaten, um deren gesamten Lebenszyklus effektiv zu managen und Ausfallzeiten zu minimieren.

2. Keyfactor-Tipp: Definieren von Sicherheitsstandards für IoT

Eine der größten Herausforderungen für Organisationen sei das Fehlen eines klaren Verständnisses darüber, „was IoT-Sicherheit für ihre spezifische Umgebung erfordert“. Der Bericht zeige, dass 56 Prozent der Organisationen von sich selbst behaupteten, nicht über das notwendige Bewusstsein und die Expertise zu verfügen, um sich effektiv gegen IoT-Angriffe zu schützen.

Um diese Lücke zu schließen, müssten Unternehmen eine tiefgreifende Analyse ihrer IoT-Landschaft vornehmen. „Dazu gehört das Verständnis darüber, wie viele und welche Arten von Geräten verwendet werden, wie sie vernetzt sind und welche Sicherheitsrisiken damit verbunden sein könnten.“ Auf dieser Basis könnten dann spezifische Sicherheitsrichtlinien entwickelt und implementiert werden, welche sowohl die einzigartigen Anforderungen des Unternehmens als auch die Besonderheiten der eingesetzten IoT-Geräte berücksichtigten.

3. Keyfactor-Tipp: Proaktiver Umgang mit Regulatorien

„Sowohl in der Europäischen Union als auch in den Vereinigten Staaten werden gesetzliche Rahmenbedingungen geschaffen, um die Sicherheit digitaler und vernetzter Geräte zu erhöhen.“ Richtlinien wie NIS-2 sollten künftig von Grund auf sicher gestaltete Technologien fördern.

Angesichts der Entwicklungen im legislativen Bereich sei es für Organisationen unerlässlich, die aktuelle Gesetzgebung aktiv zu verfolgen und die eigenen Sicherheitsstrategien entsprechend anzupassen. Nur so könne die Sicherheit von IoT-Umgebungen gestärkt und die Einhaltung von Compliance-Kriterien gewährleistet werden.

Fazit zu Keyfactor-Handlungsempfehlungen für effektiven Schutz der IoT-Geräte

Die Sicherheit von IoT-Geräten stelle eine komplexe Herausforderung dar, welche ein umfassendes Verständnis, strategische Planung und die Umsetzung effektiver Sicherheitsmaßnahmen erfordere. Organisationen seien darauf angewiesen, ihre IoT-Sicherheitsstrategien zu optimieren.

Böhm gibt abschließend zu bedenken: „Zu den wichtigsten Handlungsempfehlungen gehören die Optimierung des Zertifikatsmanagements, die Definition klarer Sicherheitsrichtlinien und die Einhaltung der relevanten gesetzlichen Rahmenbedingungen. In einer Welt, die zunehmend vernetzt ist, müssen nachhaltige Security-Strategien im Fokus stehen, um eine sichere und von digitalem Vertrauen geprägte Zukunft zu gewährleisten.“

Weitere Informationen zum Thema:

KEYFACTOR
Digital Trust in a Connected World: Navigating the State of IT Security

[datensicherheit.de, 31.01.2024] Das sogenannte Internet der Dinge (IoT) hat sich offensichtlich zu einer der herausragenden wegweisenden Technologien des 21. Jahrhunderts entwickelt: Vom vernetzten Kühlschrank über „smarte“ Autos bis hin zu „intelligenten“ Thermostaten – die Integration von Sensoren, Software und anderer Technologie hat nicht nur Unternehmen und die Wirtschaft insgesamt verändert, sondern unseren Alltag förmlich revolutioniert. „Die Vorteile dieser Entwicklung beispielsweise für Einzelhandel, Kundenservice, für die Fertigungsindustrie und in der Medizin sind unbestreitbar, aber sie bringt auch eine bedeutende Herausforderung mit sich: Die Sicherheit der IoT-Geräte bleibt eine essenzielle, aber noch nicht vollständig angegangene Thematik“, kommentiert in ihrer aktuellen Stellungnahme die IT-Sicherheitsexpertin Patrycja Schrenk.

Foto: PSW GROUP

Patrycja Schrenk: Ein zentraler IoT-Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst!

Markt für IoT-Geräte verzeichnet extrem starken Anstieg

Schrenk, Geschäftsführerin der PSW GROUP, erläutert: „Ein zentraler Aspekt ist der Schutz sowohl der übertragenen Daten als auch des Hardware-Geräts selbst. Das bedeutet, dass nicht nur die Informationen, die von einem lokalen IoT-Gerät zur ,Cloud’ gesendet werden, verschlüsselt und gesichert sein müssen, sondern auch das physische Gerät vor Manipulation und unbefugtem Zugriff geschützt werden muss!“

Mit dem exponentiellen IoT-Wachstum seien vernetzte Geräte zu einem integralen Bestandteil sowohl in Privathaushalten als auch in Unternehmen geworden. Der Markt für IoT-Geräte verzeichne einen unglaublich starken Anstieg und werde voraussichtlich von 118,37 Milliarden US-Dollar im Jahr 2023 auf 336,64 Milliarden US-Dollar im Jahr 2028 wachsen – was einem jährlichen Zuwachs von über 23 Prozent entspreche.

Zu einem ähnlichen Ergebnis komme der von IoT Analytics veröffentlichte Bericht „Zustand des IoT im Frühjahr 2023“, welcher demnach die Zahl globaler IoT-Geräte im Jahr 2022 mit 14,3 Milliarden aktiven Endpunkten angibt. Die Autoren der Studie hätten eine weitere Steigerung um 16 Prozent bis Ende 2023 prognostiziert, so dass derzeit nun weltweit etwa 16,7 Milliarden aktive vernetzte Geräte existieren dürften.

IoT-Angriffe bedrohen persönliche Daten sowie physische Systeme und Infrastrukturen

Dieses rasante Wachstum bringe auch eine zunehmende Bedrohung mit sich, „die es unerlässlich macht, sich intensiv mit der IoT-Sicherheit auseinanderzusetzen“. Denn IoT-Angriffe seien gerade deshalb problematisch, da sie nicht nur persönliche Daten gefährdeten, sondern auch physische Systeme und Infrastrukturen beeinträchtigen könnten.

„Durch einen erfolgreichen Angriff auf IoT-Geräte können nicht nur Daten beeinträchtigt, sondern auch reale Schäden angerichtet werden, wie das Manipulieren von Produktionsprozessen, Eingriffe in medizinische Geräte oder die Störung der Infrastruktur“, stellt Schrenk klar.

Sie führt hierzu weiter aus: „IoT-Geräte sammeln, oft zu unserem Leidwesen, eine Vielzahl von sensiblen Daten. Ein Angriff kann dazu führen, dass einerseits persönliche Informationen, Standorte, Gesundheitsdaten und andere sensible Informationen in die Hände von Cyber-Kriminellen gelangen. Da IoT-Geräte ja mit dem Internet verbunden sind, können sie andererseits auch als Einfallstor für den Zugriff auf das gesamte Netzwerk dienen.“ Ein einzelnes, kompromittiertes Geräts könne damit das gesamte Netzwerk gefährden.

Sicherheit der IoT-Geräte: Anwender und Hersteller in der Pflicht

Tatsächlich fragten sich viele Menschen, „was an ihrem smarten Beleuchtungssystem, ,Home Hub’, ihrem ,intelligenten Kühlschrank’ oder ,Fitness Tracker’ so besonders ist, dass jemand Interesse daran hat, es zu hacken“. Das eigentliche Ziel sei in der Regel gar nicht das IoT-Gerät selbst: Dieses sei vielmehr Mittel zum Zweck, um Zugriff auf das Netzwerk zu erhalten – sozusagen das Gateway zu anderen, oft viel besser gegen Angriffe gesicherten Systemen.

„Allerdings machen wir es Hackern und Hackerinnen häufig auch viel zu einfach: IoT-Geräte sind ständig mit dem Internet verbunden und bieten Remote-Zugriff.“ Diese Verfügbarkeit rund um die Uhr, gepaart mit einem nicht geänderten Standardpasswort – Standardpasswörter seien in der Regel für Angreifer leicht zu erraten –, mache die „smarten“ Geräte so attraktiv für Cyber-Kriminelle, diese als Ausgangspunkt für ihren Angriff zu nutzen, vertrauliche Informationen zu stehlen oder das Gerät für schädliche Zwecke zu nutzen. Hinzu komme ein oftmals mangelndes Bewusstsein für Sicherheit: Denn im Vergleich zu Laptops oder Smartphones fehle es bei vielen Verbrauchern an einem Sicherheits-Bewusstsein für IoT-Geräte. Während sie regelmäßig Sicherheitsupdates und Viren-Scanner etwa für Laptop, Handy usw. durchführten, vernachlässigten sie genau das viel zu oft bei ihren IoT-Geräten.

Viele Nutzer realisierten möglicherweise nicht die mit der Verwendung vernetzter Geräte verbundenen potenziellen Risiken: „Und leider muss ich an dieser Stelle auch Hersteller in die Pflicht nehmen: Auch viel zu viele Hersteller vernachlässigen das Thema Sicherheit bei ihren IoT-Geräten“, so Schrenk. Diese mangelnde Beachtung führe dann dazu, „dass ihre Geräte anfällig für Angriffe sind“. Eine unzureichende Sicherheitsprüfung bei der Entwicklung und Implementierung mache es für Angreifer einfacher, Schwachstellen auszunutzen und Zugriff auf sensible Daten zu erlangen.

6 praktische Sicherheits-Tipps für IoT-Geräte

Die Sicherheit eines IoT-Geräts liege auch in der eigenen Hand. Durch die Umsetzung einiger einfacher, aber wirkungsvoller Maßnahmen könnten Anwender die IoT-Security verbessern und ihr vernetztes Zuhause oder Unternehmen vor potenziellen Bedrohungen schützen:

1. Durchführung von Software- und Geräteupdates
Regelmäßige Updates von Software und Firmware seien entscheidend, um Sicherheitslücken zu schließen. Hersteller veröffentlichten oft Patches, um bekannte Schwachstellen zu beheben. „Anwendende sollten sicherstellen, dass sowohl die Software der IoT-Geräte als auch die Router und Gateways auf dem neuesten Stand gehalten werden“, rät Schrenk.

2. Änderung der Standardpasswörter und Verwendung sicherer Passwörter
Ein häufiges Einfallstor für Angreifer seien die mit vielen IoT-Geräten gelieferten Standardpasswörter. Mit jedem neuen IoT-Gerät sollten diese deshalb umgehend geändert und dabei auf die Verwendung komplexer Passwörter – am besten für jedes Gerät ein eigenes – geachtet werden.

3. Deaktivierung ungenutzter Funktionen
Viele IoT-Geräte böten nicht zwingend benötigte Funktionen. Deren Deaktivierung reduziere potenzielle Angriffspunkte. „Denn jede aktive Funktion ist eine potenzielle Schwachstelle – weniger ist oft mehr, wenn es um Sicherheit geht.“

4. Aktivierung einer Multi-Faktor-Authentifizierung (MFA)
Die MFA-Aktivierung füge eine zusätzliche Sicherheitsebene hinzu, „indem neben dem Passwort ein weiterer Authentifizierungsfaktor erforderlich ist“. Dies erschwere es Angreifern erheblich, Zugriff auf ein IoT-Gerät zu erlangen – „selbst wenn das Passwort kompromittiert ist“.

5. Übersicht über alle aktiven Geräte und Zugriffskontrolle
„Ich rate außerdem dazu regelmäßig zu überprüfen, welche Geräte überhaupt aktiv sind, und die Geräte vom Internet zu trennen, wenn sie nicht benötigt werden“, empfiehlt Schrenk. Überhaupt sollte der Geräte-Zugriff auf diejenigen Personen beschränkt werden, „die das IoT-Gerät wirklich benötigen“.

6. Kritikfähigkeit und gesundes Misstrauen
Abschließend rät Schrenk: „Eine der wichtigsten Maßnahmen ist eine kritische Einstellung. Auch wenn alle Sicherheitsvorkehrungen getroffen wurden, sollte niemals davon ausgegangen werden, dass ein IoT-Gerät nicht gehackt werden kann. Regelmäßige Überprüfungen und Sensibilisierung für aktuelle Sicherheitsbedrohungen sind unerlässlich!“

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 21.11.2023
IoT-Security: Mehr Sicherheit für IoT-Geräte

datensicherheit.de, 04.05.2023
Wenn IoT-Haustürkameras zu Phishing-Fallen werden / IoT-System zu einer möglichen Schwachstelle für seine Nutzer geworden

datensicherheit.de, 16.09.2022
Cyber Resilience Act: Sichere IoT-Geräte schwer zu entwerfen / Cybersecurity by Design soll helfen, potenzielle Einfallstore zu schließen

datensicherheit.de, 17.08.2022
IoT im Ransomware-Visier: IoT-Geräte benötigen speziellen Cyber-Sicherheitsansatz / Hunderttausende angeschlossener IoT-Geräte mit Ransomware, Krypto-Minern, Trojanern und Botnets könnten kompromittiert werden