Cyberangriffe auf IoT: Bedrohungen, Methoden und wirksame Abwehr
Im Jahr 2025 haben polnische Dienste 682 Tausend Meldungen über Cyber-Vorfälle registriert, von denen 273 Tausend als reale Angriffe bestätigt wurden. Ein erheblicher Teil davon betraf IoT-Geräte (Internet of Things, also das Internet der Dinge). Router, Kameras, smarte Haushaltsgeräte, industrielle Sensoren und sogar Kühlschränke werden zu Eintrittspunkten in Unternehmensnetzwerke und kritische Infrastruktur. Dieser Artikel erklärt, wie Cyberangriffe auf IoT funktionieren, welche Techniken Angreifer einsetzen und welche konkreten Schritte das Risiko wirksam reduzieren.
Inhaltsverzeichnis
- Was ist ein Cyberangriff auf IoT und warum ist er gefährlich
- Die häufigsten Methoden und Mechanismen von Cyberangriffen auf IoT
- Moderne Angriffsvektoren: Cloud, Tokens und Hardware
- Reale Folgen von Cyberangriffen auf IoT: Ausmaß, Akteure, Konsequenzen
- Wie man sich gegen Cyberangriffe auf IoT verteidigt - wirksame Strategien und Vorschriften
- Warum klassische IoT-Schutzstrategien nicht mehr ausreichen - unsere Perspektive
- Fortschrittliche Werkzeuge und Hardware für IoT-Penetrationstests bei Sapsan
- Häufig gestellte Fragen
Wichtigste Erkenntnisse
| Punkt | Details |
|---|---|
| Ausmaß der IoT-Bedrohung | Angriffe auf IoT-Geräte nehmen rasant zu, wobei zunehmend Heimgeräte ins Visier geraten. |
| Vielfältige Angriffstechniken | Cyberkriminelle nutzen sowohl klassische als auch moderne, schwerer erkennbare Mechanismen. |
| Neue Vorschriften | EU-Regelungen erzwingen die Einführung verpflichtender IoT-Sicherheitsmaßnahmen ab 2025-2027. |
| Wirksame Abwehr | Entscheidend sind regelmäßige Updates, Netzwerksegmentierung und Monitoring der Cloud-Kommunikation. |
Was ist ein Cyberangriff auf IoT und warum ist er gefährlich
IoT ist jedes mit dem Internet verbundene Gerät außerhalb klassischer Computer und Smartphones. IP-Kameras, smarte Thermostate, industrielle PLC-Steuerungen, Heimrouter, Alarmsysteme und sogar medizinische Geräte. Ein Cyberangriff auf IoT ist jede Handlung, die darauf abzielt, die Kontrolle über ein solches Gerät zu übernehmen, es zu deaktivieren oder es für weitere offensive Aktionen zu nutzen.
IoT-Geräte sind aus mehreren Gründen besonders anfällig. Hersteller verwenden oft identische Standardpasswörter für ganze Produktlinien. Firmware-Updates sind selten oder nach einigen Jahren nach Markteinführung gar nicht mehr verfügbar. Die Rechenressourcen der Geräte sind zu gering, um fortschrittliche Verschlüsselungs- oder Anomalieerkennungsmechanismen auszuführen. Zudem überwachen Nutzer den von diesen Geräten erzeugten Datenverkehr nur selten.
Für Angreifer ist IoT eine ideale Umgebung. Millionen schlecht gesicherter Netzwerkknoten, rund um die Uhr verfügbar, mit vorhersehbarer Software. Ein klassisches Beispiel ist das Botnet Mirai, das 2016 hunderttausende IoT-Geräte infizierte, hauptsächlich Kameras und Router mit Standardpasswörtern, und einen der größten DDoS-Angriffe in der Geschichte des Internets gegen den DNS-Anbieter Dyn ausführte, wodurch der Zugang zu Diensten wie Twitter, Reddit oder Spotify unterbrochen wurde.
| Merkmal des IoT-Geräts | Sicherheitsrisiko |
|---|---|
| Werkseitige Standardpasswörter | Leichte Übernahme durch netzscannende Bots |
| Fehlende Firmware-Updates | Bekannte Schwachstellen bleiben ungepatcht |
| Ständige Netzwerkverbindung | Dauerhafte Exposition gegenüber Portscans |
| Begrenzte Rechenressourcen | Kein Platz für Schutzmechanismen |
| Große Geräteanzahl | Skalierung erleichtert den Aufbau von Botnets |
Bemerkenswert ist auch, dass Turris Omnia ein Beispiel für einen Router ist, der mit Blick auf regelmäßige Updates und IoT-Netzwerksicherheit entwickelt wurde, was eher eine Ausnahme als die Regel auf dem Markt ist.
Die häufigsten Methoden und Mechanismen von Cyberangriffen auf IoT
Wer die Schwachstellen kennt, sollte sich konkrete Techniken ansehen. Angriffe auf IoT umfassen DDoS-Botnets, Ransomware, Man-in-the-Middle, Firmware-Exploits sowie Phishing. Jede dieser Methoden folgt einer anderen Logik und hat andere Konsequenzen.
Hauptarten von Angriffen auf IoT:
- DDoS über Botnets - infizierte Geräte senden Massendatenverkehr an ein Ziel und überlasten Server
- Ransomware - Schadsoftware sperrt den Zugang zum Gerät oder zu Daten und fordert Lösegeld
- Man-in-the-Middle (MitM) - der Angreifer fängt die Kommunikation zwischen Gerät und Server ab
- Firmware-Exploits - Ausnutzung bekannter Schwachstellen in der Gerätesoftware
- Cloud Token Theft - Übernahme von API-Tokens oder Konten in Cloud-Plattformen, die IoT verwalten, unter Umgehung klassischer Firewalls
- Credential Stuffing - automatisches Testen von Standard- oder geleakten Passwörtern
| Angriffstyp | Ziel | Erkennungsschwierigkeit |
|---|---|---|
| Botnet DDoS | Überlastung der Infrastruktur | Mittel |
| Ransomware | Sperrung von Gerät oder Daten | Niedrig (sichtbarer Effekt) |
| MitM | Abfangen von Daten | Hoch |
| Firmware-Exploit | Dauerhafte Geräteübernahme | Sehr hoch |
Ein typischer Angriff verläuft nach einem festen Schema:
- Scannen - der Angreifer durchsucht das Internet nach Geräten mit offenen Ports (z.B. Telnet 23, SSH 22, HTTP 80)
- Identifikation - Erkennung des Gerätemodells und der Firmware-Version
- Authentifizierung - Anmeldeversuch mit Standard- oder geleakten Zugangsdaten
- Infektion - Aufspielen von Schadsoftware oder einer Backdoor
- Persistenz - Sicherstellung der Beständigkeit nach einem Geräteneustart
- Ausbeutung - Einbinden des Geräts in ein Botnet oder Diebstahl von Daten
Profi-Tipp: Das Monitoring des Netzwerkverkehrs ist der erste und schnellste Alarm. Ein IoT-Gerät, das plötzlich mehrere hundert MB ausgehenden Datenverkehr pro Tag erzeugt, ist verdächtig. Tools zur Netzwerkanalyse sowie eine geeignete Konfiguration von IoT-Routern mit VLAN-Segmentierung erlauben es, Anomalien zu isolieren, bevor es zu schwerwiegenden Folgen kommt.
Moderne Angriffsvektoren: Cloud, Tokens und Hardware
Klassische Angriffe erforderten die direkte Exposition des Geräts im Internet. Neue Vektoren umgehen diese Voraussetzung vollständig. Angriffe über Cloud-Verwaltungskanäle übernehmen die Kontrolle über das Gerät ohne Firmware-Exploits und ohne öffentliche IP-Adresse. Das ist eine grundlegende Veränderung in der Logik der Bedrohungen.
Wie funktioniert das? Die meisten modernen IoT-Geräte verbinden sich über eine ausgehende HTTPS-Verbindung mit der Cloud des Herstellers. Die Firewall lässt diesen Verkehr ohne Einschränkungen passieren. Ein Angreifer, der ein Cloud-Konto übernommen oder ein Authentifizierungs-Token gefälscht hat, kann Befehle an ein Gerät erteilen, das nie direkt von außen erreichbar war.
Wichtigste Cloud-Angriffsvektoren:
- Übernahme von API-Tokens oder Konten in IoT-Verwaltungsplattformen
- Impersonierung des Cloud-Servers durch Angriffe auf TLS-Zertifikate
- Einschleusen schädlicher Firmware-Updates über den legitimen OTA-Kanal (Over-the-Air)
- Ausnutzung von Fehlern in der Autorisierungslogik von Cloud-Plattformen
Parallel dazu entwickeln sich Hardware-Angriffe. Die Diagnose-Schnittstellen JTAG und UART, die auf den PCB-Platinen vieler Geräte physisch zugänglich sind, ermöglichen das direkte Auslesen und Modifizieren der Firmware. Für Pentester ist das ein Standard-Audit-Werkzeug. Für einen Angreifer mit physischem Zugang zum Gerät, etwa in einem Hotel, Büro oder Krankenhaus, ist es ein Vektor, der ohne entsprechende Verfahren der physischen Sicherheit schwer zu blockieren ist.
"Klassische Angriffe erfordern eine IP-Exposition oder bekannte CVEs. Moderne Cloud-basierte Angriffe umgehen diese Bedingungen, was einen völlig neuen Ansatz für Monitoring und Gerätezertifizierung erzwingt."
Das Fehlen regelmäßiger Firmware-Updates bleibt ein kritisches Problem. Hersteller beenden den Support oft nach 2 bis 3 Jahren und lassen Millionen von Geräten mit ungepatchten Schwachstellen zurück. Ein 2021 gekauftes Gerät kann heute mit einer Firmware mit einer drei Jahre alten, ungepatchten CVE-Lücke betrieben werden.
Reale Folgen von Cyberangriffen auf IoT: Ausmaß, Akteure, Konsequenzen
Das Ausmaß des Problems ist global, betrifft aber auch polnische Netzwerke. Laut Daten aus dem Jahr 2025 bauen staatliche Akteure, darunter China, Botnets aus heimischen IoT-Geräten für Angriffe auf kritische Infrastruktur auf. Die Geheimdienste der Five-Eyes-Allianz (USA, Großbritannien, Kanada, Australien, Neuseeland) haben eine gemeinsame Warnung vor Botnets aus hunderttausenden Heimroutern und IP-Kameras herausgegeben.
| Art der Konsequenz | Beispiel | Ausmaß |
|---|---|---|
| Unterbrechungen des Internetzugangs | Mirai-Angriff auf Dyn DNS 2016 | Global |
| Ransomware-Erpressung | Sperrung von Industriegeräten | Organisation |
| Datenleck | IP-Kameras als Eintrittspunkt | Individuell/unternehmerisch |
| Angriffe auf kritische Infrastruktur | Staatliche Botnets | National |
Konkrete Konsequenzen für Organisationen und Nutzer:
- Verlust des Zugangs zu Gebäude- oder Produktionsverwaltungssystemen
- Datenlecks aus Überwachungskameras oder Umweltsensoren
- Nutzung des Firmennetzwerks für Angriffe auf Dritte (rechtliche Verantwortung)
- Kosten für die Beseitigung der Infektion und Wiederherstellung der Systeme, oft im Bereich von Zehntausenden Zloty
- Reputationsfolgen für Unternehmen, deren Infrastruktur Teil eines Botnets geworden ist
Ein wenig bekannter Aspekt sei betont: Der Besitzer eines infizierten Geräts ist oft nicht das direkte Opfer des Angriffs. Sein Router oder seine Kamera greift jemand anderen an. Das führt dazu, dass die Infektion monatelang ohne sichtbare Symptome auf der Seite des Besitzers andauern kann.
Wie man sich gegen Cyberangriffe auf IoT verteidigt - wirksame Strategien und Vorschriften
Die Abwehr von Angriffen auf IoT erfordert mehrere parallele Maßnahmen. Kein einzelnes Werkzeug reicht aus. EU-Vorschriften, darunter RED ab August 2025 und Cyber Resilience Act ab 2027, erzwingen die Umsetzung von Sicherheitsanforderungen, die den Schutz von Netzwerk, Privatsphäre und die Resilienz gegenüber Betrug umfassen. Das ist das rechtliche Minimum, nicht der optimale Schutz.
Proaktiver IoT-Schutz Schritt für Schritt:
- Änderung der Standardpasswörter sofort nach Inbetriebnahme jedes Geräts
- Netzwerksegmentierung - IoT-Geräte in einem separaten VLAN, isoliert vom Produktionsnetzwerk
- Regelmäßige Firmware-Updates - automatisch, wo immer es möglich ist
- Deaktivierung ungenutzter Dienste - Telnet, UPnP, Fernverwaltung über HTTP
- Monitoring des Netzwerkverkehrs - Erkennung von Anomalien in der Gerätekommunikation
- Geräteinventar - vollständige Liste aller IoT-Knoten im Netzwerk
- Verifizierung von Cloud-Anbietern - Prüfung der Sicherheitsrichtlinien von IoT-Verwaltungsplattformen
- Penetrationstests - regelmäßige Sicherheitsaudits der IoT-Infrastruktur
Profi-Tipp: Die Bedeutung regelmäßiger IoT-Updates wird oft unterschätzt. Die Einführung automatischer Firmware-Updates dort, wo der Hersteller sie anbietet, eliminiert eine ganze Klasse von Angriffen, die auf bekannten CVEs basieren. Für Geräte ohne Support sollte ein Austausch oder eine Netzwerkisolation in Betracht gezogen werden.
Die RED-Vorschriften (Radio Equipment Directive) ab August 2025 verlangen, dass neue Funk- und IoT-Geräte die Anforderungen an Netzwerkschutz, Nutzerdatenschutz und Resilienz gegen finanziellen Missbrauch erfüllen. Der Cyber Resilience Act, der 2027 in Kraft tritt, weitet diese Anforderungen auf den gesamten Lebenszyklus des Produkts aus, einschließlich obligatorischer Sicherheitsupdates für mindestens 5 Jahre oder den voraussichtlichen Lebenszyklus des Produkts, falls dieser kürzer ist. Für Unternehmen, die IoT-Hardware kaufen, bedeutet das neue Kriterien bei der Lieferantenauswahl.
Warum klassische IoT-Schutzstrategien nicht mehr ausreichen - unsere Perspektive
Über Jahre war der Standard des IoT-Schutzes eine einfache Gleichung: Firewall plus Passwortwechsel plus Updates. Dieses Modell setzte voraus, dass der Angreifer die Netzwerkbarriere durchbrechen muss und dass bekannte Schwachstellen der Hauptvektor sind. Beide Annahmen sind nicht mehr aktuell.
Moderne Cloud-basierte Angriffe umgehen klassische Netzwerkbarrieren ohne IP-Exposition oder bekannte CVEs. Ein Gerät hinter NAT, ohne offene Ports, geschützt durch eine Next-Generation-Firewall, kann durch ein kompromittiertes API-Token übernommen werden. Klassische Werkzeuge erkennen das nicht.
Was tun? Das Monitoring muss den ausgehenden Verkehr zu Cloud-Plattformen umfassen, nicht nur den eingehenden Verkehr von außen. Die automatische Erkennung von Verhaltensanomalien, also Abweichungen vom normalen Kommunikationsmuster eines Geräts, ist heute wichtiger als eine Liste von Signaturen schädlicher Software.
Die Einhaltung von RED und Cyber Resilience Act ist der Ausgangspunkt, nicht das Ziel. Unternehmen, die Compliance als ausreichenden Schutz behandeln, sind anfällig für Angriffe über Vektoren, die die Vorschriften noch nicht erfassen. Echte Sicherheit erfordert das kontinuierliche Testen der eigenen Infrastruktur, nicht nur die Zertifizierung von Produkten.
Die Lehre aus realen Vorfällen ist einfach: Angreifer wählen immer das schwächste Glied. In Umgebungen mit gut gesicherten Servern ist dieses Glied zunehmend die IP-Kamera im Konferenzraum oder das Thermostat im Serverraum.
Fortschrittliche Werkzeuge und Hardware für IoT-Penetrationstests bei Sapsan
Wissen über Bedrohungen ist das Fundament. Das praktische Testen der eigenen Infrastruktur ist der nächste Schritt, der das Sicherheitsniveau real anhebt.
Sapsan bietet spezialisierte Hardware für Audits und Penetrationstests von IoT-Umgebungen. Zum Testen der Zugangskontrolle und der drahtlosen Kommunikation in IoT-Geräten dient Flipper Zero, ein vielseitiges Multitool, das NFC, RFID, Sub-GHz, BLE, iButton und IR unterstützt. Es ermöglicht das Auditieren von Smart Locks, Kartenlesegeräten, Torfernbedienungen, Alarmanlagen und Türsprechanlagen, also typischen Expositionspunkten im IoT-Ökosystem. Für Pentester, die Angriffsvektoren über USB untersuchen, steht USB Rubber Ducky zur Verfügung, ein klassisches Werkzeug zur Simulation von BadUSB. Umfassende On-Site-Tests in der Kundeninfrastruktur ermöglicht uConsole Kit RPI-CM4 Lite, eine mobile Linux-Station für Pentester, auf der Sie Kali, eigene Skripte sowie Werkzeuge für das Audit der Anwendungs- und Netzwerkschicht in cloudbasierten IoT-Ökosystemen ausführen können. Das gesamte Sortiment ist mit weltweitem Versand verfügbar.
Häufig gestellte Fragen
Wie erkenne ich, dass mein IoT-Gerät Opfer eines Cyberangriffs wurde?
Symptome sind der Verlust der Gerätekontrolle, eine Verlangsamung des Netzwerks, unbekannte ausgehende Verbindungen sowie Lösegeldforderungen. Ransomware sperrt den Zugang zu Geräten, und Botnets verursachen Anomalien im Netzwerkverkehr, die durch Monitoring erkannt werden können.
Welche IoT-Geräte sind derzeit am stärksten gefährdet?
Am stärksten gefährdet sind schlecht gesicherte Router, IP-Kameras, smarte Haushaltsgeräte sowie Geräte, die seit Jahren nicht aktualisiert wurden. Mirai infizierte hauptsächlich Kameras und Router mit Standardpasswörtern, was bis heute ein aktuelles Muster bleibt.
Betreffen Cyberangriffe auf IoT ausschließlich Verbraucher?
Nein, Angriffe auf IoT betreffen sowohl Heimanwender als auch Unternehmen und kritische Infrastruktur. Botnets, die aus heimischen IoT-Geräten aufgebaut werden, werden von staatlichen Akteuren für Angriffe auf staatliche und unternehmerische Infrastruktur genutzt.
Welche EU-Vorschriften sollen die IoT-Sicherheit verbessern?
Die RED-Richtlinie ab 2025 und der Cyber Resilience Act ab 2027 werden die Einführung verpflichtender Sicherheitsanforderungen für IoT-Geräte erzwingen, die auf den EU-Markt gebracht werden.