© IoT Inspector

Smarte Haushaltsgeräte im Home Office sind trojanische Pferde für Hacker

Millionen Arbeitsplätze wurden im Zuge der Corona-Pandemie in die heimischen vier Wände verlagert. Während vor der Krise nur knapp vier Prozent von zuhause arbeiteten, ist mittlerweile ein Viertel der Beschäftigten in Deutschland im Home Office.

Ein Großteil der Haushalte nutzt dabei smarte Devices mit Anbindung an das heimische Netzwerk – Router, smarte Staubsauger, Mediensysteme, Lichtsteuerungen oder smarte Schließanlagen. Neun von zehn dieser Geräte weisen allerdings eklatante Sicherheitslücken in der Firmware auf, ergaben Untersuchungen des IoT-Security-Spezialisten IoT Inspector. Für die Studie „(I)IoT Sicherheitsreport 2021“ wurden 260 Unternehmen aus der IT-Branche befragt – 57 Prozent sehen in diesen Devices ein Risiko für Hacker-Attacken auf Unternehmensnetzwerke. „Diese smarten Haushalts- und Heimgeräte sind ein trojanisches Pferd, mit dem Hacker relativ leicht Zugang zu einem WLAN-Netzwerk im Haushalt bekommen. Darüber lassen sich eingebundene Computer attackieren, und letztlich auch Firmennetzwerke, auf die beispielsweise per VPN zugegriffen wird“, erklärt Rainer M. Richter, Geschäftsführer von IoT Inspector.

Home Office als Schlüssel zum Firmennetzwerk 

57 Prozent der Befragten halten zwar eine VPN-Verbindung für sicher, jedoch hält keiner der 260 befragten UnternehmensvertreterInnen diese Form der Verschlüsselung für „sehr sicher“. 30 Prozent hingegen klassifizieren die Verschlüsselung als „weniger sicher“ oder sogar „unsicher“. „Der Zugriff auf das lokale Heimnetzwerk und die Infektion eines Rechners darin sind der Schlüssel zum Firmennetzwerk. Ist das passiert, schützt beim gewöhnlichen Unternehmens-Setup selten noch etwas vor Attacken mit Ransomware oder anderer Schadsoftware“, analysiert Rainer M. Richter. Mit der IoT Inspector Plattform ermöglicht sein Unternehmen die einmalige oder laufende Überprüfung der Firmware solcher IoT Geräte auf Sicherheitslücken und mögliche Einfallstore für Cyber-Kriminelle. Die Lücken reichen dabei vom problemlos im Klartext lesbaren WLAN-Schlüssel bis zum versteckten Administratoren-Zugang in der Firmware, mit dem Hacker in wenigen Minuten beginnen können, ihr Unwesen zu treiben.

BSI warnt vor Schwachstellen in WLAN-Routern 

Sicherheitsmaßnahmen oder Richtlinien für solche Einfallstore gibt es kaum in den Unternehmen, ein Bewusstsein für das Risiko ist nicht vorhanden – 71 Prozent der Unternehmensvertreter sind sicher, dass traditionelle Sicherheitsmechanismen nicht mehr ausreichend sind, um Risiken durch IoT Devices ebenfalls abzudecken. Ebenfalls 71 Prozent sind der Meinung, dass die Maßnahmen zur Absicherung von IoT Devices nicht ausreichend sind. Sieben Prozent geben sogar die Schulnote „mangelhaft”, nur 12 Prozent der Befragten halten die Maßnahmen für ausreichend. Die jüngsten Warnungen des Bundesamts für Sicherheit in der Informationstechnik vom 12. Mai unterstreichen diese Einschätzungen. Das BSI veröffentlicht eine ausdrückliche Warnung der Stufe 3 – „die IT-Bedrohungslage ist geschäftskritisch“. Die Schwachstelle für sogenannte „FragAttacks“ betrifft WLAN-Router fast aller Hersteller.

-PM IoT Inspector-

 

© Unsplash Photos for everyone

Wie man das Smartphone schützt und Hacker-Angriffe vermeidet

Die Deutschen schauen auf ihr smartphone 50 bis 80 Mal am Tag, abhängig von der altersgruppe und der durchgeführten Befragung. Die Gründe dafür sind soziale Interaktion oder aber der soziale Druck, Gewohnheit, Ablenkungsbedarf oder Unterhaltung.

Durch die zunehmende Nutzung von Smartphones für die Kommunikation, das Online-Shopping und Lieferdienste sind Menschen online immer angreifbarer und stellen immer öfter ein potenzielles Angriffsziel für Hacker.   

“Wenn du dein Gerät nicht sicherst, könnten Hacker aus der Ferne darauf zugreifen und deine Daten stehlen – von Bankdaten bis hin zu privaten Fotos. Die Ergebnisse des kürzlich von NordVPN durchgeführten National Privacy Test zeigten, dass nur die Hälfte (53,2%) der Deutschen gute digitale Gewohnheiten besitzt“, stellt Daniel Markuson, Experte für digitale Privatsphäre bei NordVPN, fest. 

Für diejenigen, die nicht wollen, dass ihre mobilen Geräte von Kriminellen geplündert werden, zeigt Daniel Markuson 5 Möglichkeiten auf, wie dein Smartphone leicht gehackt werden kann, sowie Tipps, um dem vorzubeugen.

 

  1. Verlorenes oder gestohlenes Smartphone. Wenn du dein Smartphone verlierst, kann es in falsche Händegelangen. Hacker könnten dein Passwort erraten oder schwache Mustersperren umgehen.

Nutze beim iPhone die App Wo ist, um dein Smartphone aus der Ferne zu sperren. Diese Funktion gibt es auch bei Android-Smartphones; du kannst sie aktivieren, indem du dich bei deinem Google-Konto einloggst. Setze dein verlorenes oder gestohlenes Smartphone auf die Liste der gesperrten Geräte. Du kannst deinen Mobilfunkanbieter bitten, Dienste für dein Smartphone zu sperren. Telefone mit IMEI- oder ESN-Nummern, die auf der schwarzen Liste stehen, werden blockiert.

  1. Ausspionieren öffentlicher WLAN-Netzwerke. Öffentliches WLAN ist nicht sicher. Denn es ist unverschlüsselt, die Daten aller Personen sind im Netzwerk sichtbar und können von Hackern ausspioniert werden. Das bedeutet, dass Zahlungsinformationen und andere persönlichen Daten, die du übermittelst, gestohlen werden können. 

Benutze stets ein VPN für eine umfassende Sicherheit deines Smartphones. Es verschlüsselt deine Verbindung und verbirgt deine persönlichen Daten vor Hackern, die in öffentlichen WLAN-Netzwerken lauern.

  1. Phishing-Angriffe. Bei Phishing-Angriffen sendet dir ein Hacker eine vertraulich aussehende E-Mail in der Hoffnung, dass du auf den Link in der Nachricht klickst. Durch den Link lädst du dir entweder Malware auf dein Smartphone herunter, oder du gelangst auf eine gefälschte Webseite, die erstellt wurde, um deine persönlichen Daten zu stehlen.

Lerne, zu unterscheiden: Überprüfe die E-Mail nach Rechtschreibfehlern, kleinen Änderungen der bekannten URL oder der Absenderadresse, sowie einer ungewöhnlichen Formatierung. Solltest du eine unerwartete Nachricht von einer Bank oder einem Unternehmen erhalten, kontaktiere sie direkt über den Kundensupport und erkundige dich, ob die Nachricht oder E-Mail echt ist.

  1. Madware und Spyware. Bei Madware handelt es sich um ein Script oder ein Programm, das ohne Erlaubnis auf deinem Smartphone installiert wird. Es sammelt Daten über dich für passendere Werbeanzeigen. Es erfasst deinen Standort, deine Internetnutzung und deine Kontakte, um sie Werbetreibenden zu übermitteln.

Deaktiviere deine Ortungsdienste, damit ein Smartphone deinen Standort nicht erfassen kann, und nutze ein VPN, um deine Online-Aktivität vor Trackern zu verbergen. 

  1. Unsichere Apps. Tausende an Fake-Apps werden jedes Jahr in App-Stores entdeckt; auch wenn sie seriös aussehen mögen, sind sie doch dafür erstellt worden, dein Smartphone zu infizieren und deine persönlichen Daten zu stehlen. 

Lerne, Fake-Apps zu erkennen: prüfe App-Rezensionen und beziehe Apps niemals aus Dritt-Stores oder von Webseiten. Lade regelmäßig die Updates für Apps herunter, um gefährliche Sicherheitsmängel zu beheben. Wenn du Apps auf deinem Smartphone hast, die du nicht länger benutzt, kann man Updates schnell vergessen. Lösche diese Apps besser. 

-PM NordVPN-

 

© YesWeHack

Cybersecurity-Studie

Jedes siebte befragte Unternehmen in Deutschland ohne IT-Sicherheitsmaßnahmen

Von welchen Cybersicherheitsrisiken geht in den nächsten zwölf Monaten eine Gefahr für Ihr Unternehmen aus? Welche Maßnahmen ergreift Ihr Unternehmen zum Schutz der IT-Infrastruktur? Können Sie sich vorstellen, zur Schwachstellenbekämpfung mit ethischen Hackern zusammenzuarbeiten? Diese und andere Fragen stellte Europas führende Crowdsourced-Security-Plattform YesWeHack 512 IT-Entscheidern in Deutschland. Die in Zusammenarbeit mit der YouGov Deutschland GmbH umgesetzte Befragung wurde zwischen dem 14. und 22. April durchgeführt und gibt einen Einblick, wie es aktuell um die Cybersicherheit in deutschen Unternehmen bestellt ist.

Jedes zweite Unternehmen meldet IT-Sicherheitsvorfälle in den letzten zwölf Monaten 

Die Hälfte der befragten Unternehmen hatte in den letzten zwölf Monaten mit mindestens einem Cybersicherheitsvorfall zu kämpfen. Etwa ein Drittel (29 Prozent) vermelden einen bis zehn, elf Prozent elf bis 20 Vorfälle. Fünf Prozent der Befragten berichten sogar von über 50 IT-Sicherheitsvorfällen. 

Am häufigsten waren die Studienteilnehmer in den letzten zwölf Monaten mit Problemen bei der Zugriffskontrolle, wie etwa unsicheres Design oder Implementierung von Authentifizierungs- und Autorisierungsmechanismen, konfrontiert. Fast jeder zweite Befragte (48 Prozent) musste sich mit einem solchen Sicherheitsvorfall auseinandersetzen. 

In Anbetracht dieser Zahlen ist es überraschend, dass mehr als ein Drittel der Studienteilnehmer (38 Prozent) über das IT-System ihres Unternehmens dennoch sagen, es sei optimal gegen Cyberangriffe geschützt und das nötige Wissen über Cybersecurity sei bei den Mitarbeitern in der IT vorhanden. YesWeHack fragte daher im Detail nach den Maßnahmen, die Unternehmen zum Schutz ihrer IT ergreifen.

Cyberabwehr: Jedes siebte Unternehmen ergreift keinerlei Maßnahmen 

Um ihre IT-Sicherheit zu gewährleisten, nutzen demnach 70 von 100 Unternehmen Endpoint-Security-Lösungen. 39 Prozent verlassen sich auf Security-Awareness-Trainings für ihre Mitarbeiter und 26 Prozent setzen auf Audits und Pen-Tests. 14 Prozent nutzen Bug-Bounty-Programme, lassen ihre IT also von externen, ethischen Hackern überprüfen. 

Bemerkenswert ist, dass jedes siebte Unternehmen (14 Prozent) überhaupt keine Maßnahmen zum Schutz der IT ergreift. Weitere fünf Prozent der befragten IT-Entscheider konnten keine Angabe zur Frage nach den Abwehrmethoden machen. 

In jedem dritten Unternehmen (31 Prozent) gibt es zudem keine Person oder Gruppe, die hauptsächlich für das IT-Sicherheits- und Risikomanagement zuständig ist. 40 Prozent der befragten Unternehmen nennen den CTO oder CIO als Hauptverantwortlichen, und nur 17 Prozent verfügen über einen dezidierten Chief Information Security Officer (CISO). Selbst in Großunternehmen mit mehr als 1000 Mitarbeitern ist seltener ein CISO (23 Prozent) als ein CTO (27 Prozent) oder ein CIO (28 Prozent) hauptverantwortlich für Sicherheitsthemen.

Wachsende Angriffsfläche und Komplexität ist aktuell größte Herausforderung bei der Abwehr von Cyberangriffen 

Für 37 Prozent der IT-Teams stellt aktuell die kontinuierlich wachsende Angriffsfläche und Komplexität, getrieben durch die digitale Transformation, die größte Herausforderung bei der Abwehr von Cyberangriffen dar. 34 Prozent nehmen die starke Zunahme von Cyberattacken über alle Branchen und Unternehmensgrößen hinweg als größte Bedrohung wahr. 32 Prozent macht die gewachsene Anzahl der Angriffspunkte aufgrund der Arbeitssituation der Homeoffice-Mitarbeiter Sorgen. 

Auch interne Faktoren werden von den Teilnehmern der Studie als Problem wahrgenommen. So sieht knapp jeder Vierte (24 Prozent) die Zusammenarbeit rund um Erkennung, Priorisierung und Behebung von Schwachstellen als insgesamt komplex und daher herausfordernd an. Zu wenig Wissen in Bezug auf Cybersicherheit im Team ist für 18 Prozent ein Grund zur Besorgnis, für weitere 17 Prozent ist es der Mangel an Budget, um sich vor aktuellen Sicherheitsbedrohungen effektiv zu schützen.

Zusammenarbeit mit ethischen Hackern: Für die meisten Unternehmen eine Option

Die Studie ging darüber hinaus der Frage nach, ob sich die Teilnehmer vorstellen können, mit ethischen Hackern zusammenzuarbeiten, die IT-Systeme durch Angriffe gezielt attackieren, um Sicherheitslücken in Unternehmen zu identifizieren und zu schließen. Mehr als die Hälfte (52 Prozent) der Befragten kann sich eine solche Zusammenarbeit vorstellen. Auch die geplante oder bereits erfolgte Implementierung einer Vulnerability Disclosure Policy (VDP) spricht für die Bereitschaft zur Zusammenarbeit mit ethischen Hackern. Eine VDP ist eine öffentlich zugängliche Richtlinie für die Offenlegung von Sicherheitslücken: Sie bietet ethischen Hackern einen rechtlich sicheren, strukturierten Rahmen, um Schwachstellen auf der Website, in Produkten oder Dienstleistungen eines Unternehmens zu melden. 39 Prozent der Studienteilnehmer geben an, dass ihr Unternehmen eine VDP implementiert hat oder 2021 plant, dies zu tun.

-PM YesWeHack-

 

IoT-Studie

Risiko durch smarte Geräte wird von heimischen Unternehmen massiv unterschätzt

Sie sind flächendeckend im Einsatz, aber das damit verbundene Sicherheitsrisiko wird unterschätzt: Die Rede ist von smarten Devices. 42 Prozent von 260 für den „IoT-Sicherheitsreport 2021“ befragten Unternehmen verfügen über keinerlei Compliance-Regeln für ihre IoT-Devices wie Router, WiFi-Accesspoints, VoIP-Telefone, Netzwerkkameras oder IoT-Geräte in der Produktion.

„Das Ergebnis ist erschreckend. Zwar sieht die Mehrzahl der befragten Firmen das Internet of Things als Risiko, aber nur der geringste Teil sichert sich durch adäquate Maßnahmen ab“, kommentiert Rainer M. Richter, Geschäftsführer des deutschen Unternehmens IoT Inspector. Im April 2021 wurde die Umfrage auf Entscheiderebene bei deutschen Betrieben unterschiedlicher Größenordnung durchgeführt. So verlassen sich 22 Prozent in Punkto Gerätesicherheit auf vertragliche Regelungen seitens der Hersteller. Nur 11 Prozent führen eine Bedrohungsanalyse durch, 28 Prozent setzen immerhin auf Penetration Testing.

Intrusion Detection findet lediglich bei 37 Prozent der befragten Unternehmen statt.

Unklare Verantwortlichkeiten

Ebenfalls kritisch ist das Vakuum, das rund um das Thema Verantwortlichkeit für IoT-Sicherheit herrscht. Bei 15 Prozent der 260 Unternehmen liegt die Last auf dem CTO, bei 17 Prozent beim CIO. 17 Prozent haben die Verantwortung im Einkauf liegen, weitere 21 Prozent vertrauen auf externe Berater. „Das ist grob fahrlässig! Jedes IoT-Device kann manipuliert werden und stellt ein entsprechendes Sicherheitsrisiko für ein Unternehmen dar. Die Zuständigkeit muss dort liegen, wo auch die restliche IT Security verantwortet wird“, sagt Richter. Sein Unternehmen betreibt eine Security Plattform zur Analyse von IoT-Firmware – also des Betriebssystems solcher smarten Devices – auf Sicherheitslücken und Compliance. Problematisch sind dabei vor allem intransparente OEM-Lieferketten, bei denen Produkte zwar von einem Hersteller verkauft, aber nicht unbedingt auch von ihm gefertigt werden. Mit dem Re-Labelling schmuggeln sich nämlich oftmals unerwünschte Sicherheitslücken in das Endprodukt. „Es kann durchaus vorkommen, dass ein Drittanbieter vollen Zugriff auf das Device hat – und darüber im Zweifelsfall auch auf das Netzwerk eines Unternehmens zugreifen kann“, warnt Rainer Richter. Dies wurde eben erst am Beispiel des niederländischen Telekommunikations Providers KPN und dessen Huawei Infrastruktur gut ersichtlich.

KPN: Half Huawei bei Spionage?

Bis heute verwaltet das umstrittene chinesische Unternehmen Huawei Geräte des KPN-Mobilfunknetzes. Huawei-Mitarbeiter in China und den Niederlanden haben laut niederländischen Quellen sogar „Administratorenrechte“ im KPN-Netzwerk und hatten so auch die Möglichkeit, Gespräche bis zur höchsten politischen Ebene mitzuhören oder an Geheimdienste weiterzugeben. „Dieses Beispiel zeigt, welcher Zündstoff in vermeintlich harmlosen Geräten steckt, die einfach in eine Inftrastruktur eingebunden und dann im laufenden Betrieb vergessen werden“, sagt Richter von IoT Inspector. In den USA steht Huawei bereits seit 2019 auf der Verbotsliste zum Einsatz in Behörden

Aber auch Hacker haben es so leicht – und das zumindest sagen auch die 260 befragten Firmenvertreter. 85 Prozent bestätigen, dass Cyberkriminelle bereits einen Fokus auf IoT-Geräte gelegt haben. Als besonders bedroht sehen die Befragten dabei Server, PCs und Industry 4.0 Anlagen. Medizintechnik mit Netzwerkanschluss hingegen halten nur 28 Prozent für gefährdet, IP-Telefone gar nur 14 Prozent. „Das ist eine grobe Fehleinschätzung, die vielleicht vor zehn Jahren Gültigkeit hatte. Heute ist jedes Device – vom Router über die Videokonferenzanlage bis zum schlüssellosen Eintrittssystem – ein trojanisches Pferd für Attacken auf Unternehmen und Organisationen“, warnt der IoT-Experte Richter.

-PM IoT Inspector GmbH-

 

Seite 1 von 2