Wie sichern Sie Ihre smarten Kaffeemaschinen und Sensoren gegen Botnet-Angriffe ab?

Die smarte Kaffeemaschine im Pausenraum, die IP-Kamera im Eingangsbereich oder der vernetzte Temperatursensor im Serverraum – das Internet der Dinge (IoT) hat längst Einzug in Schweizer Unternehmen gehalten. Doch jedes dieser Geräte ist ein potenzielles Einfallstor für Cyberkriminelle. Die Bedrohung ist real und messbar: Allein in der letzten Woche des Jahres 2023 wurden dem Nationalen Zentrum für Cybersicherheit (NCSC) 637 Cybercrime-Vorfälle in der Schweiz gemeldet. Viele davon nutzen die notorischen Schwächen von IoT-Geräten aus, um sie zu kapern und in Botnets zu integrieren.

Standardratschläge wie das Ändern von Passwörtern oder das Einspielen von Updates sind zwar notwendig, aber sie kratzen nur an der Oberfläche. Sie basieren auf einem fundamentalen Trugschluss: dem Vertrauen in die Sicherheitspraktiken der Hersteller. Doch was tun, wenn der Hersteller gar keine Updates bereitstellt oder die Gerätearchitektur inhärent unsicher ist? Die Antwort liegt nicht darin, den Geräten zu vertrauen, sondern darin, ein Netzwerk zu errichten, das ihnen misstraut. Eine Festung, die selbst kompromittierte Geräte isoliert und unschädlich macht.

Die wahre Strategie zur Härtung Ihrer IoT-Infrastruktur ist eine Abkehr von reaktiven Massnahmen hin zu einer proaktiven Zero-Trust-Architektur. Der Schlüssel dazu ist nicht die Sicherheit des einzelnen Geräts, sondern die intelligente und rücksichtslose Kontrolle des Netzwerks, in dem es operiert. Es geht um radikale Isolation, strikte Authentifizierung und die Minimierung des potenziellen Schadens, des sogenannten „Blast Radius“, den ein einzelnes unsicheres Gerät anrichten kann.

Dieser Leitfaden zeigt Ihnen, wie Sie diese Philosophie in die Praxis umsetzen. Wir gehen über die Grundlagen hinaus und tauchen tief in die technischen Abwehrmechanismen ein, die für ein robustes IoT-Sicherheitskonzept in einem Schweizer Unternehmensumfeld unerlässlich sind. Von der Netzwerkarchitektur über das Patch-Management für „unpatchbare“ Geräte bis hin zur physischen Sicherheit am Switch-Port.

Die folgenden Abschnitte bieten einen strukturierten Überblick über die wesentlichen Säulen einer gehärteten IoT-Umgebung. Jeder Teil adressiert eine kritische Schwachstelle und liefert konkrete, technische Lösungsansätze, die auf die spezifischen Herausforderungen für Netzwerkadministratoren zugeschnitten sind.

Warum die Werkseinstellung Ihrer IP-Kamera das Einfallstor Nr. 1 ist?

Die Verwendung von Standardanmeldeinformationen wie „admin/admin“ ist nicht nur eine Nachlässigkeit, sondern ein Symptom für eine grundlegend fehlerhafte Sicherheitskultur vieler IoT-Hersteller. Diese Geräte werden für eine schnelle Inbetriebnahme konzipiert, nicht für Sicherheit. Für Angreifer sind sie leichte Beute: Automatisierte Skripte scannen das Internet permanent nach Geräten mit genau diesen Werkseinstellungen, um sie sekundenschnell in ein Botnet zu integrieren. Die Änderung des Passworts ist daher der absolute, nicht verhandelbare erste Schritt. Doch es ist nur die Haustür, die Sie abschliessen.

Ein Angreifer, der einmal Zugriff auf das Gerät erlangt hat, kann oft weitere, im Code versteckte Schwachstellen ausnutzen. Das NCSC der Schweiz empfiehlt daher einen mehrstufigen Ansatz, der über die blosse Passwortänderung hinausgeht. Es geht darum, das Gerät von aussen so unsichtbar und unerreichbar wie möglich zu machen. Dies umfasst die Deaktivierung aller nicht benötigten Dienste wie Telnet oder HTTP und die ausschliessliche Verwendung sicherer, verschlüsselter Protokolle wie SSH und HTTPS. Zusätzlich sollte der Zugriff aus dem Internet drastisch eingeschränkt werden, beispielsweise durch GeoIP-Filter, die nur Verbindungen aus der Schweiz zulassen.

Das Ziel dieser Basishärtung ist es, die Angriffsfläche massiv zu reduzieren. Jeder offene Port, jeder aktive Dienst ist eine potenzielle Schwachstelle. Indem Sie Standardports meiden, entziehen Sie Ihr Gerät den einfachsten und häufigsten automatisierten Port-Scans. Diese Massnahmen bilden das Fundament, auf dem weiterführende Sicherheitsstrategien wie die Netzwerksegmentierung aufbauen. Ohne diese grundlegende Hygiene bleibt jedes IoT-Gerät eine tickende Zeitbombe im Netzwerk.

Warum der Kühlschrank nicht im selben WLAN sein darf wie der Finanz-Server?

Ein Netzwerk, in dem alle Geräte – vom smarten Kühlschrank über die IP-Kamera bis hin zum kritischen Finanzserver – miteinander kommunizieren können, wird als „flaches Netzwerk“ bezeichnet. Aus Sicherheitssicht ist dies ein Albtraum. Gelingt es einem Angreifer, das am schwächsten gesicherte Gerät (z.B. den Kühlschrank) zu kompromittieren, hat er freien Zugang zum gesamten Netzwerk. Er kann sich seitlich bewegen („lateral movement“), nach wertvollen Zielen wie dem Finanzserver suchen und von dort aus Daten stehlen oder Ransomware verbreiten. Die Lösung ist die radikale Netzwerksegmentierung.

Durch den Einsatz von Virtual Local Area Networks (VLANs) wird das physische Netzwerk in mehrere logisch voneinander getrennte Zonen aufgeteilt. Jede Zone ist eine eigene Broadcast-Domäne und hat streng definierte Kommunikationsregeln. Ein Gerät im IoT-VLAN (für Kameras, Sensoren etc.) darf unter keinen Umständen direkt mit einem Gerät im Server-VLAN oder im Office-VLAN kommunizieren. Jede zonenübergreifende Kommunikation muss zwingend über eine Firewall laufen, die den Datenverkehr analysiert und unerwünschte Verbindungen blockiert. Dies reduziert den potenziellen Schaden („Blast Radius“) eines Angriffs dramatisch.

Wie Schweizer KMUs zeigen, ist die Einbeziehung des WLANs hierbei entscheidend. Mittels WPA2-Enterprise und einem RADIUS-Server kann jedem Benutzer oder Gerät bei der Anmeldung dynamisch das korrekte VLAN zugewiesen werden. Dies stellt sicher, dass die Segmentierung nicht an der Bürotür endet, sondern sich nahtlos über die gesamte drahtlose Infrastruktur erstreckt. Diese Trennung ist nicht nur eine technische Best Practice, sondern auch eine wichtige Massnahme zur Einhaltung des neuen Datenschutzgesetzes (nDSG), das Privacy by Design fordert.

Der folgende Vergleich verdeutlicht die fundamentalen Unterschiede zwischen einem ungesicherten und einem segmentierten Netzwerk-Ansatz.

Wie halten Sie 500 Sensoren aktuell, wenn der Hersteller keine Updates pusht?

Das ist die Kernherausforderung im industriellen und professionellen IoT-Umfeld: die grosse Masse an Geräten, deren Hersteller keinen oder nur unzureichenden Support bieten. Das Mantra „Halten Sie Ihre Firmware aktuell“ wird hier zur Farce. Die Konsequenzen sind gravierend: Gemäss der aktuellen Cyberstudie 2024 der FHNW wurden rund 4% der Schweizer KMU Opfer schwerwiegender Cyberattacken, wobei bei 73% der Betroffenen ein erheblicher finanzieller Schaden entstand. Viele dieser Angriffe nutzen bekannte, aber nicht geschlossene Schwachstellen aus.

Wenn das Gerät selbst nicht gehärtet werden kann, muss das Netzwerk die Schutzfunktion übernehmen. Die effektivste Methode hierfür ist das „virtuelle Patching“. Dabei wird eine spezialisierte Firewall oder ein Intrusion Prevention System (IPS) vor das verwundbare Gerät oder das gesamte IoT-Netzwerksegment geschaltet. Dieses System erkennt Angriffsversuche, die auf eine bekannte Schwachstelle abzielen, und blockiert sie, bevor sie das Gerät erreichen können. Das Gerät selbst bleibt zwar verwundbar, ist aber durch die vorgeschaltete Instanz effektiv geschützt.

Eine proaktive Strategie für nicht-patchbare Geräte beginnt jedoch schon bei der Beschaffung. Fordern Sie vom Hersteller eine Software Bill of Materials (SBOM), eine detaillierte Liste aller Softwarekomponenten. Dies ermöglicht eine kontinuierliche Überwachung bekannter Schwachstellen in den verwendeten Bibliotheken. Parallel dazu muss eine Risikobewertung auf Basis der Datenklassifizierung nach dem neuen Datenschutzgesetz (nDSG) erfolgen. Geräte, die sensible Daten verarbeiten, benötigen strengere netzwerkbasierte Kontrollen als solche, die unkritische Informationen liefern. Für regulierte Branchen in der Schweiz, wie Energieversorger (StromVV) oder den Finanzsektor (FINMA-Richtlinien), sind solche dokumentierten Risikobewertungen und kompensierenden Massnahmen oft sogar gesetzlich vorgeschrieben.

Wie verhindern Sie, dass Hacker Sensordaten auf dem Weg zur Cloud manipulieren?

Die Sicherung des Geräts selbst ist nur die halbe Miete. Sobald ein Sensor Daten über das Netzwerk an eine Cloud-Plattform oder einen zentralen Server sendet, öffnet sich ein neues Angriffsfenster: die Datenübertragung. Ohne angemessene Schutzmassnahmen kann ein Angreifer im Netzwerk den Datenverkehr abfangen, auslesen oder sogar manipulieren (Man-in-the-Middle-Angriff). Ein manipulierter Temperaturwert eines Sensors im Rechenzentrum könnte beispielsweise dazu führen, dass die Kühlung ausfällt, was katastrophale Folgen hätte.

Die IoT-Sicherheit befasst sich mit einzigartigen Herausforderungen wie der Heterogenität der Geräte, der begrenzten Rechenleistung und der Konvergenz von physischen und digitalen Risiken.

– Proofpoint Security Research, IoT Security Reference Guide 2025

Die grundlegende und unverzichtbare Massnahme zum Schutz von Daten während der Übertragung ist die Ende-zu-Ende-Verschlüsselung. Dies bedeutet, dass die Daten direkt auf dem Gerät verschlüsselt und erst auf dem Zielserver in der Cloud wieder entschlüsselt werden. Die Kommunikation muss zwingend über sichere Protokolle wie Transport Layer Security (TLS/SSL) erfolgen. Dies stellt sicher, dass niemand auf dem Übertragungsweg – sei es im lokalen Netzwerk oder im Internet – die Daten mitlesen oder verändern kann.

Eine robuste Gerätesicherheit unterstützt diesen Prozess durch weitere Mechanismen. Ein „Secure Boot“-Verfahren stellt sicher, dass beim Start des Geräts nur vertrauenswürdige, vom Hersteller signierte Software geladen wird. Dies verhindert, dass Malware den Verschlüsselungsprozess untergräbt. Ebenso müssen Firmware-Updates selbst verschlüsselt und digital signiert sein, um zu verhindern, dass Angreifer eine manipulierte Firmware aufspielen. Die Kombination aus starker Geräteidentität, sicheren Boot-Prozeduren und verschlüsselter Kommunikation bildet eine geschlossene Sicherheitskette vom Sensor bis zur Cloud.

Was hindert einen Angreifer daran, den Netzwerksensor im Flur einfach auszutauschen?

Netzwerksegmentierung und Verschlüsselung sind entscheidend, aber sie übersehen einen kritischen Vektor: den physischen Zugriff. Was passiert, wenn ein Angreifer – sei es ein externer Dienstleister mit böswilligen Absichten oder ein getarnter Eindringling – einen legitimen Netzwerksensor einfach aussteckt und durch ein eigenes, präpariertes Gerät ersetzt? Ohne eine Kontrolle auf der physischen Netzwerkebene würde dieses bösartige Gerät sofort Netzwerkzugang erhalten und könnte als Brückenkopf für einen Angriff dienen.

Die technische Antwort auf diese Bedrohung ist der IEEE-Standard 802.1X, auch bekannt als Port-Based Network Access Control (PNAC). Dieser Mechanismus macht den Netzwerk-Port selbst zu einem intelligenten Torwächter. Wenn ein Gerät an einen 802.1X-fähigen Switch-Port angeschlossen wird, wird der Port zunächst in einen blockierten Zustand versetzt. Das Gerät (der „Supplicant“) muss sich nun gegenüber dem Switch (dem „Authenticator“) ausweisen. Der Switch wiederum kontaktiert einen zentralen „Authentication Server“ (typischerweise ein RADIUS-Server), um die Identität des Geräts zu überprüfen.

Diese Überprüfung kann über verschiedene Methoden erfolgen, von einfachen Anmeldedaten bis hin zu robusten PKI-Zertifikaten, die auf dem Gerät installiert sind. Nur wenn die Authentifizierung erfolgreich ist, schaltet der Switch den Port frei und gewährt dem Gerät Netzwerkzugang – idealerweise direkt in das für dieses Gerät vorgesehene, isolierte VLAN. Ein nicht autorisiertes Gerät, das die Anmeldeinformationen nicht besitzt, bleibt blockiert und hat keinerlei Zugriff auf das Netzwerk. Dies macht den einfachen Austausch von Geräten wirkungslos.

Als Ergänzung können weitere Massnahmen die physische Sicherheit erhöhen. Tamper-Proof Seals (Manipulationsschutzsiegel) an den Geräten und Anschlüssen können sichtbar machen, ob ein Gerät unbefugt geöffnet oder entfernt wurde. Für Geräte, die 802.1X nicht unterstützen, kann als letzte Verteidigungslinie eine statische Bindung der MAC-Adresse an den Switch-Port konfiguriert werden. Dies ist zwar weniger sicher als 802.1X, da MAC-Adressen gefälscht werden können, bietet aber einen Basisschutz gegen simple Austauschversuche.

Agent oder Agentless: Welche Technologie belastet Ihr Schweizer Netzwerk weniger?

Die Überwachung und Sicherung von Tausenden von IoT-Geräten erfordert eine skalierbare Technologie. Der Schweizer IoT-Markt, dessen Volumen sich auf fast 8,9 Milliarden CHF beläuft, stellt Netzwerkadministratoren vor die Wahl zwischen zwei grundlegenden Architekturen: Agenten-basiert oder Agentenlos. Beide Ansätze haben spezifische Vor- und Nachteile in Bezug auf Netzwerkbelastung, Verwaltungsaufwand und Eignung für verschiedene Schweizer Topologien.

Ein Agenten-basierter Ansatz erfordert die Installation einer kleinen Software (des Agenten) auf jedem einzelnen IoT-Gerät. Dieser Agent sammelt lokal Daten und kommuniziert diese in komprimierter Form an einen zentralen Management-Server. Der grosse Vorteil ist die geringe Netzwerkbelastung, da die Verarbeitung dezentral erfolgt. Dies ist ideal für Standorte mit geringer Bandbreite, wie etwa ländliche Gebiete oder Aussenstellen, die nicht an das Schweizer Glasfasernetz angeschlossen sind. Der Nachteil ist der hohe Verwaltungsaufwand: Der Agent muss auf jedem Gerät ausgerollt und gewartet werden, was bei heterogenen IoT-Landschaften komplex sein kann.

Der Agentenlose Ansatz hingegen arbeitet von einem zentralen Punkt aus. Ein oder mehrere Scanner im Netzwerk fragen die IoT-Geräte aktiv über Netzwerkprotokolle ab, um deren Status und Konfiguration zu ermitteln. Dies eliminiert den Verwaltungsaufwand für die Softwareinstallation auf den Endgeräten. Allerdings erzeugt dieser ständige Scan-Verkehr eine signifikant höhere Netzwerkbelastung. Dieser Ansatz eignet sich gut für zentrale Standorte mit hoher Bandbreite, kann aber in weniger gut angebundenen Netzen schnell zu Leistungsproblemen führen. Im Kontext des nDSG kann der Agentenlose Ansatz zudem einfacher eine datensparsame Überwachung umsetzen, da nur die explizit benötigten Informationen abgefragt werden.

Die Wahl zwischen den beiden Technologien hängt stark von der spezifischen Infrastruktur und den Sicherheitsanforderungen ab, wie die folgende Tabelle zeigt.

Warum ein flaches Netzwerk der Traum jedes Hackers (und Ihr Albtraum) ist?

Ein flaches Netzwerk, in dem jedes Gerät potenziell mit jedem anderen Gerät kommunizieren kann, ist das digitale Äquivalent zu einem Grossraumbüro ohne Wände und mit nur einer einzigen Eingangstür. Sobald ein Angreifer diese eine Tür überwunden hat – sei es durch eine Phishing-Mail an einen Mitarbeiter oder die Kompromittierung einer ungesicherten IP-Kamera – steht ihm das gesamte Unternehmen offen. Er kann sich ungehindert von Schreibtisch zu Schreibtisch, von Server zu Server bewegen, ohne auf Hindernisse zu stossen. Dieses Szenario wird als ungehinderte laterale Bewegung bezeichnet und ist die Grundlage für die verheerende Ausbreitung von Ransomware und für grossangelegte Datendiebstähle.

Netzwerksegmentierung ist eine der besten Schutzmassnahmen gegen Datenlecks und Ransomware. In einem ordnungsgemäss segmentierten Netzwerk verfügen Endgeräte nur über die erforderliche Konnektivität, wodurch sich Ransomware weniger ausbreiten kann.

– Varonis Security Team, Netzwerksegmentierung Best Practices

Der Albtraum für Netzwerkadministratoren besteht darin, dass ein einziger kleiner Fehler an der am weitesten entfernten und unwichtigsten Stelle des Netzwerks eine Kettenreaktion auslösen kann, die das gesamte Unternehmen lahmlegt. Der „Blast Radius“ – der maximale potenzielle Schaden eines einzelnen Sicherheitsvorfalls – ist im flachen Netzwerk identisch mit dem gesamten Netzwerk. Die Situation wird noch prekärer, wenn man bedenkt, dass laut der FHNW-Studie vier von zehn Schweizer Unternehmen für den Fall eines schwerwiegenden Cyberangriffs keinen Notfallplan haben.

Die Mikrosegmentierung, eine Weiterentwicklung der VLAN-basierten Segmentierung, treibt das Isolationsprinzip auf die Spitze. Hierbei werden nicht nur Gerätegruppen, sondern einzelne Applikationen oder sogar Workloads voneinander abgeschottet. Die Kommunikation wird nach dem „Default Deny“-Prinzip konfiguriert: Alles ist verboten, ausser dem, was explizit erlaubt ist. Ein flaches Netzwerk ist somit das genaue Gegenteil einer modernen Zero-Trust-Architektur. Es basiert auf implizitem Vertrauen, was in der heutigen Bedrohungslandschaft einer Einladung für Angreifer gleichkommt.

Wie steigern Sie die Effizienz Ihres Gebäudeschutzes durch IoT und Vernetzung?

Die gleichen IoT-Geräte, die ein Sicherheitsrisiko darstellen, können bei korrekter Implementierung die physische Sicherheit eines Gebäudes massgeblich erhöhen. Vernetzte Kameras, Zugangskontrollen und Sensoren bieten ein enormes Potenzial für einen effizienteren und intelligenteren Gebäudeschutz. Angesichts eines Anstiegs der Cyberangriffe auf Schweizer Unternehmen um 61% im vergangenen Jahr ist es jedoch unerlässlich, dass diese Vernetzung nicht zu neuen digitalen Schwachstellen führt. Die Lösung liegt darin, die zuvor besprochenen Härtungsprinzipien konsequent auf die Gebäudeleittechnik anzuwenden.

Der erste Schritt ist die Etablierung einer starken Geräteidentität für jedes Sicherheitselement. Eine vernetzte Türkontrolle oder eine Überwachungskamera muss sich im Netzwerk eindeutig authentifizieren, bevor sie Daten senden oder empfangen darf. Dies verhindert, dass manipulierte Geräte eingeschleust werden können. Die gesamte Kommunikation muss Ende-zu-Ende verschlüsselt sein, um Abhör- und Manipulationsversuche zu vereiteln. Firmware-Updates für diese kritischen Systeme müssen digital signiert und über einen sicheren Kanal verteilt werden, um die Integrität der Geräte zu gewährleisten.

Die Effizienzsteigerung ergibt sich aus der intelligenten Verknüpfung der Systeme. Eine KI-gestützte Videoanalyse kann verdächtige Aktivitäten automatisch erkennen und einen Alarm auslösen – selbstverständlich unter strikter Einhaltung der Vorgaben des Schweizer Datenschutzgesetzes (nDSG). Vernetzte Zugangskontrollsysteme können mit der Arbeitszeiterfassung gekoppelt werden, um die Einhaltung der SECO-Vorgaben zu automatisieren. Im Alarmfall kann das System nicht nur eine Sirene auslösen, sondern auch automatisch Türen verriegeln, Lichter einschalten und einen stillen Alarm an einen Schweizer Sicherheitsdienstleister wie die Securitas AG senden.

Der Schlüssel zum Erfolg liegt darin, die IoT-Sicherheit nicht als nachträglichen Zusatz, sondern als integralen Bestandteil des gesamten Lebenszyklus der Gebäudetechnik zu betrachten – von der Beschaffung über die Konfiguration bis hin zur Ausserbetriebnahme. Nur so wird aus einem potenziellen Risiko ein echter Sicherheitsgewinn.

Beginnen Sie noch heute mit der systematischen Härtung Ihres Netzwerks. Eine professionelle Analyse Ihrer IoT-Infrastruktur und die Entwicklung einer massgeschneiderten Segmentierungs- und Authentifizierungsstrategie sind der erste Schritt zur Abwehr der nächsten Angriffswelle.