Massnahmen zum Schutz von IOT Geräten

Als Internet of Things (IoT), oder zu Deutsch «Internet der Dinge», werden Gegenstände und Geräte bezeichnet, welche mit einem Netzwerk wie z. B. dem Internet verbunden sind und über dieses miteinander kommunizieren oder Informationen zur Verfügung stellen.

Verallgemeinert handelt es sich um Sensoren resp. Aktoren sowie Bedienelemente welche vielfach über eine cloud-basierte Anwendung gesteuert werden.

Solche Geräte können beispielsweise «smarte Netzwerklautsprecher» (Digitale Assistenten), «intelligente Lichtschalter», Backöfen/Kühlschränke, Smart-TVs usw. sein, welche über eine Netzwerkschnittstelle an ein internes Netzwerk oder direkt an das Internet angeschlossen sind.

Viele dieser «intelligenten» Geräte benötigen einen Internetanschluss, damit sie einwandfrei funktionieren. Dadurch steigt nicht nur die Anzahl der Kommunikationsteilnehmer im Internet, sondern auch die Anzahl verwundbarer Geräte, welche von Hackern missbraucht werden können. Diese werden dann beispielsweise verwendet, um Spam-Mails zu versenden oder Angriffe auf andere Internet-Teilnehmende durchzuführen (z. B. DDoS-Angriffe).

Dementsprechend müssen diese Geräte sowohl abgesichert (individuelle Passwörter, einge-schränkter Zugang) wie auch regelmässig aktualisiert werden. Eine Aktualisierung sollte auch hier rasch erfolgen, wenn kritische Sicherheitslücken in der Software solcher Geräte entdeckt werden und von Hackern ausgenutzt werden können. Anders als beim Computer oder Smart-phone denkt aber beim intelligenten Lichtschalter oder Kühlschrank noch kaum jemand daran, dass auch diese Geräte Software-Updates brauchen.

Ein noch grösseres Gefahrenpotenzial geht von Gegenständen und Geräten aus, die über das Internet von jedem gefunden werden können (beispielsweise mit einem Portscan oder einer Suchmaschine wie «Shodan»). Das Risiko ist speziell stark erhöht, wenn mit Standard-Zugangsdaten (Benutzername und Passwort) zugegriffen werden kann. 

Präventive Massnahmen

Um zu verhindern, dass Ihr intelligenter Lichtschalter, Ihr digitaler Assistent oder ein sonstiges IoT-Gerät von Hackern missbraucht wird, empfiehlt das BACS folgende präventive Massnah-men:

Bevor Sie netzwerkfähige Gegenstände oder Geräte anschaffen oder diese in Ihrem Haus installieren, erkundigen Sie sich über deren IT-Sicherheitsvorkehrungen:

  • Wie oft erscheinen Software-Updates?
  • Werden diese automatisch eingespielt oder ist eine Interaktion des Benutzers notwen-dig? Wie erfährt der/die Benutzende, dass ein Update verfügbar ist?
  • Ist das Gerät über das Internet erreichbar?
  • Über welche Schutzmechanismen verfügt dieses, um unbefugten Zugriff zu verhindern? Unterstützt das Betriebssystem des Geräts Zugriff über eine geschützte Verbindung wie SSH oder HTTPS? 
  • Lassen sich die vom Hersteller voreingestellten Zugangsdaten (Benutzername / Passwort) ändern?

Stellen Sie sicher, dass das Gerät nicht über das Internet erreichbar ist, wenn die Verwendung dies nicht erfordert (z. B. durch die Verwendung einer Firewall oder eines separaten Netzwerkes, welches nicht mit dem Internet verbunden ist).

Falls das Objekt über das Internet erreichbar sein muss (z. B. weil über das Internet Informationen zur Verfügung gestellt werden sollen), empfehlen wir folgende Massnahmen:

  • Richten Sie für Ihre vernetzten Geräte ein eigenes Netzwerksegment ein, welches keinen Zugriff auf Ihre persönlichen Daten hat (PC, NAS, usw.). Es kann somit nur noch mit dem Internet kommunizieren, nicht aber mit Ihrem internen Netz. Viele moderne Router unterstützen heute solche Ansätze. Somit stellen Sie sicher, dass Ihr internes Netz nicht via eines Ihrer IoT-Geräte angegriffen werden kann. 
  • Schränken Sie den Zugriff aus dem Internet auf das Gerät ein, beispielsweise durch die Verwendung eines IP-Adressfilters (indem der Zugang zum Gerät nur bestimmten IP-Adressen gestattet wird) oder durch die Verwendung eines Geo-IP-Filters (indem der Zugang zum Gerät beispielsweise auf Schweizer IP-Adressen beschränkt wird). 
  • Verwenden Sie nur Protokolle, die eine geschützte Verbindung ermöglichen, wie SSH oder HTTPS. Verwenden Sie niemals Klartext-Protokolle wie Telnet oder HTTP.
  • Verwenden Sie keine Standard-Ports (z. B. 23 – Telnet, 443 – HTTPS, usw.), da Ihr Ge-rät sonst mittels eines einfachen Portscans gefunden werden kann. Verwenden Sie stattdessen einen high-port (z. B. 2323 anstelle von 23, 43443 anstelle von 443 usw.), um das Auffinden des Geräts zu erschweren.

Verwenden Sie keine voreingestellten Zugangsdaten (Benutzername, Passwort). Diese sind weitläufig bekannt und können von Hackern einfach verwendet werden. Ändern Sie gleich bei der Inbetriebnahme des Geräts den Benutzernamen und das Passwort.

Verwenden Sie ein komplexes Passwort (mindestens 12 Zeichen, Zahlen und Buchstaben sowie Sonderzeichen).

Verwenden Sie wenn immer möglich einen zweiten Faktor für die Authentifizierung (z. B. SMS, Google Authenticator, Hardware-Token, usw.)

Falls Sie ein Gerät nicht mehr benötigen, trennen Sie es vom Netzwerk bzw. Internet.

Deaktivieren Sie die UPnP-Funktion (Universal Plug and Play) Ihres Routers. Erkundigen Sie sich bei Ihrem Internetzugangsanbieter oder Router-Lieferanten über Konfigurations-möglichkeiten sowie Funktionseinschränkungen und mögliche weitere unbeabsichtigte Konsequenzen, die diese Massnahme auslösen kann.

Massnahmen nach einem erfolgreichen Angriff

Sollten Sie bereits Opfer eines Angriffes auf ein vernetztes Gerät geworden sein, empfehlen wir Ihnen, dieses auf die Werkseinstellungen zurück zu setzen (Factory-Reset). Nach dem Factory-Reset empfehlen wir Ihnen, die unter «Präventive Massnahmen» beschriebenen Punkte zu beachten und die entsprechenden Massnahmen zu treffen, um eine erneute Kom-promittierung zu verhindern.
Informationen zum Factory Reset, finden Sie in der Betriebsanleitung oder auf der Website des jeweiligen Herstellers.

Weiterführende Informationen

Letzte Änderung 01.01.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/infos-fuer/infos-behoerden/aktuelle-themen/massnahmen-schutz-iot.html