Wie verhindern Sie, dass Hacker über Ihre smarten Thermostate in das Firmennetzwerk eindringen?

Ein intelligenter Thermostat regelt die Temperatur im Konferenzraum. Ein vernetzter Kühlschrank in der Kantine meldet, wenn die Milch zur Neige geht. Tausende von Sensoren überwachen die Produktionslinie. Diese Geräte des Internets der Dinge (IoT) versprechen Effizienz und Komfort, doch für Netzwerk-Administratoren und CISOs stellen sie eine tickende Zeitbombe dar. Die schiere Anzahl und die mangelnde Transparenz dieser Geräte schaffen eine massive Angriffsfläche, die mit traditionellen Sicherheitskonzepten kaum zu kontrollieren ist. Die Bedrohung ist real und wächst exponentiell.

Die üblichen Ratschläge wie „ändern Sie das Standardpasswort“ oder „installieren Sie Updates“ sind im Unternehmenskontext zwar richtig, aber völlig unzureichend. Sie ignorieren das Kernproblem: die Skalierbarkeit und das Management von Tausenden „headless“ Geräten, die oft ohne Benutzeroberfläche auskommen und von Herstellern mit fragwürdigen Sicherheitspraktiken stammen. Die wahre Gefahr ist nicht der sichtbar gehackte Automat, sondern der unbemerkte, persistente Zugriff auf Ihr Kernnetzwerk, der durch einen schwach gesicherten Temperatursensor ermöglicht wurde.

Dieser Artikel bricht mit den oberflächlichen Ratschlägen. Anstatt zu wiederholen, *was* zu tun ist, konzentrieren wir uns darauf, *wie* Sie eine robuste, skalierbare und tiefgreifende Sicherheitsarchitektur für das IoT in Ihrem Unternehmen aufbauen. Wir betrachten das Problem nicht als eine Reihe von Einzelrisiken, sondern als eine architektonische Herausforderung. Der Lösungsansatz liegt in einer rigorosen Zero-Trust-Philosophie: Kein Gerät ist vertrauenswürdig, Kommunikation wird nur auf expliziter „Need-to-know“-Basis erlaubt, und jeder Datenverkehr wird misstrauisch überwacht.

Wir werden die strategischen und technischen Massnahmen untersuchen, die wirklich einen Unterschied machen – von der radikalen Netzwerksegmentierung über das Massenmanagement von Anmeldedaten und Patches bis hin zur strategischen Beschaffung und der proaktiven Überwachung auf verdächtige Datenströme. Ziel ist es, Ihnen eine umsetzbare Roadmap an die Hand zu geben, um die Kontrolle über das IoT-Chaos zurückzugewinnen.

Warum Kühlschränke und Sensoren nichts im gleichen VLAN wie die Buchhaltung zu suchen haben?

Die Vorstellung, dass ein Angreifer über einen smarten Kühlschrank auf die Lohnbuchhaltung zugreift, mag absurd klingen. In einem flachen, unsegmentierten Netzwerk ist dies jedoch ein absolut realistisches Szenario. Jedes Gerät, das sich im selben Netzwerksegment befindet, kann potenziell mit jedem anderen Gerät kommunizieren. Ein kompromittierter IoT-Sensor wird so zum Brückenkopf, von dem aus Angreifer sich lateral im Netzwerk bewegen, nach wertvolleren Zielen suchen und schliesslich kritische Systeme wie die Finanzserver angreifen können. Dies ist keine theoretische Gefahr; laut Check Point Research verzeichneten Schweizer Organisationen im ersten Quartal 2025 einen dramatischen Anstieg von 113% bei den wöchentlichen Cyberangriffen im Vergleich zum Vorjahr.

Die fundamentale Antwort auf diese Bedrohung ist eine rigorose Zero-Trust-Segmentierung. Anstatt eines grossen, vertrauensvollen Netzwerks schaffen Sie mehrere kleine, voneinander isolierte Zonen (typischerweise über VLANs und Firewall-Regeln), die standardmässig keinerlei Kommunikation untereinander erlauben. Ein IoT-Gerät wird in ein eigenes, streng abgeriegeltes Segment platziert. Wenn dieser Kühlschrank kommunizieren muss, dann nur mit einer einzigen, definierten IP-Adresse im Internet (z.B. dem Server des Herstellers) und niemals mit dem Server der Buchhaltung. Der Zugriff vom IoT-Netz auf das Kernnetzwerk wird vollständig blockiert.

Diese architektonische Entscheidung ist die wichtigste Einzelmassnahme zur Eindämmung von IoT-Risiken. Sie verwandelt einen potenziell katastrophalen Einbruch, der das gesamte Unternehmen lahmlegen kann, in einen isolierten Vorfall, der auf ein einziges, unwichtiges Gerät beschränkt bleibt. Die Kompromittierung des Kühlschranks ist dann ärgerlich, aber für den Rest des Unternehmens irrelevant. Das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz empfiehlt dringend, separate Netzwerksegmente für IoT-Geräte einzurichten, die strikt von Netzen mit persönlichen oder kritischen Daten getrennt sind.

Das „admin/admin“-Problem: Wie ändern Sie Standardpasswörter bei 1000 Sensoren massenhaft?

Die Anweisung „Ändern Sie Standardpasswörter“ ist der wohl bekannteste, aber auch nutzloseste Ratschlag im Unternehmenskontext. Niemand wird manuell auf Tausende von Sensoren, Kameras und Aktoren zugreifen, um deren Passwörter zu ändern. Das „admin/admin“-Problem ist kein Problem der Disziplin, sondern ein Problem der Skalierung. Wenn Ihre Sicherheitsstrategie manuelle Eingriffe an jedem einzelnen Gerät erfordert, ist sie von vornherein zum Scheitern verurteilt. Echte Sicherheit muss automatisiert und zentral verwaltbar sein.

Professionelle Lösungen für dieses Problem basieren auf zentralen Provisionierungs- und Konfigurationsmanagement-Systemen. Anstatt jedes Gerät einzeln zu konfigurieren, werden Richtlinien und Konfigurationen zentral definiert und bei der Inbetriebnahme automatisch auf die Geräte ausgerollt. Werkzeuge wie Ansible, Puppet oder spezialisierte IoT-Management-Plattformen ermöglichen es, mit einem einzigen Befehl sichere, einzigartige Anmeldedaten für eine ganze Flotte von Geräten zu generieren und zu verteilen. Diese Systeme können auch die Rotation von Passwörtern und Zertifikaten automatisieren, was die Sicherheit weiter erhöht.

Dieser Ansatz erfordert eine strategische Planung bereits bei der Beschaffung. Die ausgewählten Geräte müssen eine solche zentrale Verwaltung unterstützen, sei es über eine API, Protokolle wie TR-069 oder die Integration in eine Management-Plattform. Ein Gerät, das nur über ein Web-Interface auf einer lokalen IP-Adresse konfiguriert werden kann, ist für den Einsatz in grossem Massstab ungeeignet und ein Sicherheitsrisiko.

Die Relevanz dieser Herausforderung zeigt sich auch in der Schweizer Wirtschaft. Das Bundesamt für Cybersicherheit (BACS) hat die Dringlichkeit erkannt und gezielte Initiativen gestartet.

Wie patchen Sie Geräte, die keinen Bildschirm und keine Tastatur haben?

Ein weiteres kritisches Skalierungsproblem ist das Patch-Management für „Headless“-Geräte. Während bei einem PC oder Server ein Administrator den Update-Prozess anstossen kann, fehlt bei einem einfachen Sensor, einer Kamera oder einem smarten Schloss jegliche Benutzeroberfläche. Wenn eine Sicherheitslücke entdeckt wird – und das passiert ständig –, wie wird die korrigierte Firmware auf Tausende von installierten Geräten aufgespielt? Das Warten auf einen Techniker, der mit einem Laptop von Gerät zu Gerät geht, ist in der Praxis undenkbar und viel zu langsam.

Die einzige funktionierende Lösung ist ein robustes „Over-the-Air“ (OTA) Update-Management. Dies bedeutet, dass die Geräte so konzipiert sein müssen, dass sie ihre Firmware sicher und automatisiert über das Netzwerk aktualisieren können. Eine effektive OTA-Architektur umfasst mehrere Schlüsselkomponenten: eine zentrale Management-Konsole, die den Update-Status aller Geräte anzeigt, die Möglichkeit, Updates in Wellen (z.B. zuerst an eine Testgruppe) auszurollen, und einen Mechanismus, der bei einem fehlgeschlagenen Update automatisch zur vorherigen, funktionierenden Firmware-Version zurückkehrt (Rollback).

Die Notwendigkeit eines funktionierenden Patch-Prozesses ist unbestreitbar. Im Schweizer Bug-Bounty-Programm der Bundesverwaltung gingen 2024 allein 371 Schwachstellenmeldungen ein, von denen 45 als kritisch eingestuft wurden. Jede dieser Lücken könnte potenziell ein IoT-Gerät betreffen. Ohne einen OTA-Mechanismus bleiben diese Geräte permanent verwundbar. Die Verantwortung liegt hierbei massgeblich beim Hersteller, der eine sichere und zuverlässige Update-Infrastruktur bereitstellen muss. Ein entscheidendes Kriterium bei der Beschaffung ist daher die Frage nach dem garantierten Support-Zeitraum: Wie lange verpflichtet sich der Hersteller, Sicherheitsupdates für das Gerät bereitzustellen? Ein Produkt, dessen Support nach zwei Jahren endet, wird zu Elektroschrott und einem permanenten Sicherheitsrisiko.

Zertifikate oder Billig-Import: Worauf müssen Sie beim Kauf von Sensoren achten?

Die Sicherheit Ihrer IoT-Infrastruktur wird massgeblich bei der Beschaffung entschieden. Ein billiger, nicht zertifizierter Sensor aus einem anonymen Online-Shop mag kurzfristig Kosten sparen, aber die langfristigen Risiken und Folgekosten durch Sicherheitsvorfälle sind immens. Eine professionelle Beschaffungsstrategie priorisiert nachweisbare Sicherheit über den reinen Preis. Anstatt blind zu kaufen, müssen Sie die richtigen Fragen stellen und auf anerkannte Standards und Zertifizierungen achten.

Ein zentraler europäischer Standard ist die ETSI EN 303 645. Sie definiert grundlegende Sicherheitsanforderungen für Consumer-IoT-Produkte, die auch im Unternehmensumfeld als Mindeststandard gelten sollten. Dazu gehören die Abwesenheit von universellen Standardpasswörtern, die Bereitstellung eines Mechanismus zur Meldung von Schwachstellen und die Garantie, dass Software-Updates sicher aufgespielt werden können. Unabhängige Prüforganisationen wie der TÜV bieten Zertifizierungen auf Basis solcher Standards an.

Es gibt drei Prüflevel: Basic, Substantial und High, deren Prüfumfang und Prüftiefe zunimmt. Geprüft werden das IoT-Produkt selbst sowie der Produktentwicklungsprozess.

– TÜV SÜD, TÜV CSC-Zertifizierungsprogramm für Consumer-IoT-Geräte

Für Schweizer Unternehmen kommen weitere, landesspezifische Aspekte hinzu. Die Konformität mit dem neuen Datenschutzgesetz (nDSG) muss geklärt sein. Zudem ist die Wahl eines Schweizer Distributors von strategischer Bedeutung. Er bietet nicht nur lokalen Support, sondern ist auch im Falle von Haftungsfragen greifbar – ein entscheidender Vorteil gegenüber einem anonymen Verkäufer aus Übersee. Die folgende Checkliste fasst die wichtigsten Punkte für eine sichere IoT-Beschaffung zusammen.

Wann sendet Ihr Drucker verdächtige Datenpakete nach China?

Selbst bei perfekter Segmentierung, gehärteten Passwörtern und aktuellem Patch-Stand bleibt ein Restrisiko: Was, wenn das Gerät selbst bösartig ist oder eine versteckte Backdoor enthält? Ein vernetzter Drucker oder eine Überwachungskamera könnte unbemerkt sensible Daten an einen Server in einem anderen Land senden – ein klassischer Fall von Datenexfiltration. Die Frage ist nicht, *ob* es passieren kann, sondern wie Sie es bemerken. Die Antwort liegt in der kontinuierlichen und intelligenten Überwachung des Netzwerkverkehrs.

Moderne Firewalls und Intrusion Detection/Prevention Systeme (IDS/IPS) können weit mehr als nur Ports blockieren. Sie führen eine Deep Packet Inspection (DPI) durch, bei der sie den Inhalt der Datenpakete analysieren. In Kombination mit Verhaltensanalysen und maschinellem Lernen können solche Systeme Anomalien erkennen. Ein Drucker, der normalerweise nur Druckaufträge empfängt, aber plötzlich beginnt, grosse Datenmengen an eine unbekannte IP-Adresse in China zu senden, löst sofort einen Alarm aus. Die schiere Menge an gemeldeten Vorfällen in der Schweiz unterstreicht die Notwendigkeit solcher wachsamen Systeme: Das Nationale Zentrum für Cybersicherheit verzeichnete im Jahr 2024 insgesamt 62.954 gemeldete Cybervorfälle.

Um diese Überwachung effektiv zu gestalten, müssen Sie zunächst eine Baseline des normalen Verhaltens erstellen. Welche Geräte kommunizieren typischerweise wann, mit wem und mit welchem Datenvolumen? Jede Abweichung von diesem Muster ist verdächtig und muss untersucht werden. GeoIP-Filter, die die Kommunikation mit bestimmten Ländern von vornherein blockieren, sind eine weitere wirksame Massnahme. In der Schweiz wurde die Dringlichkeit der Überwachung kritischer Infrastrukturen erkannt; seit dem 1. April 2025 gilt eine gesetzliche Meldepflicht für Cyberangriffe innerhalb von 24 Stunden, was die Bedeutung proaktiver Erkennungsmassnahmen weiter verstärkt.

Warum Ihre alten 125kHz-Badges so unsicher sind wie ein Schlüssel unter der Fussmatte?

Die IoT-Sicherheit endet nicht am Netzwerkanschluss. Oft ist die physische Sicherheit das schwächste Glied, insbesondere bei veralteten Zutrittskontrollsystemen. Viele Unternehmen setzen immer noch auf einfache 125kHz-RFID-Badges (z.B. EM4100). Diese Technologie ist fundamental unsicher. Sie sendet lediglich eine statische, unverschlüsselte Identifikationsnummer, die mit Geräten, die für unter 50 Franken online erhältlich sind (wie dem Flipper Zero), in Sekundenschnelle ausgelesen und auf einen leeren Badge geklont werden kann. Ein Angreifer kann so unbemerkt eine Kopie des Badges eines Mitarbeiters auf dem Parkplatz erstellen.

Das Risiko geht über den reinen unbefugten Zutritt hinaus. Ein geklonter Badge hinterlässt im System die Spuren des legitimen Mitarbeiters. Dies ermöglicht es einem Angreifer, sich als „Geist“ im Gebäude zu bewegen, Türen zu öffnen oder Aktionen auszulösen, die später fälschlicherweise dem ahnungslosen Mitarbeiter zugeordnet werden. Dies stellt ein enormes Risiko für Sabotage, Diebstahl und die Integrität der Protokolldaten dar. Die Verwendung solcher Systeme ist vergleichbar mit dem Verstecken eines Hausschlüssels unter der Fussmatte – jeder, der weiss, wo er suchen muss, kann ihn finden.

Die einzige adäquate Lösung ist die Migration zu modernen, verschlüsselten Technologien. Standards wie MIFARE DESFire EV2/EV3 verwenden kryptografische Verfahren, um die Kommunikation zwischen Badge und Lesegerät abzusichern. Anstatt einer statischen ID wird eine dynamische, verschlüsselte Challenge-Response-Authentifizierung durchgeführt, die ein einfaches Klonen verunmöglicht. Eine weitere sichere Alternative sind mobile Credentials, bei denen das Smartphone über NFC oder Bluetooth Low Energy (BLE) als sicherer, verschlüsselter Schlüssel fungiert. Der Umstieg ist eine Investition, die jedoch angesichts der fundamentalen Schwäche von 125kHz-Systemen unumgänglich ist, um eine grundlegende physische Sicherheit zu gewährleisten.

Wie verhindern Sie, dass Ihre intelligente Kaffeemaschine zum Einfallstor für Hacker wird?

Eine oft übersehene, aber wachsende Bedrohung ist das „Bring Your Own IoT“ (BYOIOT). Mitarbeiter bringen ihre privaten smarten Geräte mit ins Büro – von der intelligenten Kaffeemaschine im Pausenraum über den persönlichen Luftbefeuchter bis hin zur smarten LED-Lampe für den Schreibtisch. Diese Geräte werden oft gedankenlos mit dem Firmen-WLAN verbunden und unterlaufen damit sämtliche sorgfältig geplanten Beschaffungs- und Sicherheitsrichtlinien. Sie sind in der Regel für den Heimgebrauch konzipiert, selten gepatcht und entstammen oft fragwürdigen Quellen.

Diese Geräte stellen ein unkalkulierbares Risiko dar, da sie ausserhalb der Kontrolle der IT-Abteilung operieren. Ein einziges kompromittiertes privates Gerät kann als Brückenkopf für einen Angriff auf das gesamte Unternehmensnetzwerk dienen. Ein technisches Verbot aller privaten Geräte ist oft unpraktikabel und schlecht für die Mitarbeiterzufriedenheit. Der einzig gangbare Weg ist eine Kombination aus einer klaren Richtlinie und technischer Isolation.

Jedes Unternehmen benötigt eine verbindliche BYOIOT-Policy. Diese sollte klar definieren, welche Arten von Geräten erlaubt sind (oder eben nicht), wer für die Sicherheit dieser Geräte verantwortlich ist und welche Konsequenzen bei Verstössen drohen. Im Kontext des Schweizer Arbeitsrechts ist es zudem entscheidend, Haftungsfragen zu klären. Technisch muss parallel dazu ein komplett isoliertes Gäste-WLAN eingerichtet werden. Die Nutzung dieses Netzwerks muss für alle privaten und nicht-geschäftskritischen smarten Geräte obligatorisch sein. Dieses Gastnetzwerk darf keinerlei Verbindung oder Routing-Möglichkeit zum internen Produktionsnetzwerk haben. So kann die gehackte Kaffeemaschine zwar vielleicht Spam versenden, aber sie kann niemals auf den File-Server zugreifen.

Wie nutzen Sie die Intelligenz Ihrer vernetzten Gebäudetechnik für mehr Sicherheit und weniger Kosten?

Nachdem wir die defensiven Massnahmen zur Eindämmung von IoT-Risiken betrachtet haben, lohnt sich ein Blick auf die Offensive: Wie kann die Intelligenz vernetzter Systeme proaktiv zur Erhöhung der Sicherheit und zur Kostensenkung genutzt werden? Eine gut durchdachte IoT-Architektur ist nicht nur ein geringeres Risiko, sondern ein aktiver Vorteil. Die Daten, die von Sensoren in der Gebäudetechnik gesammelt werden, können zur Anomalie-Erkennung auf einer höheren Ebene genutzt werden.

Stellen Sie sich folgendes Szenario vor: Ein Zutrittsbadge wird an einem Lesegerät im Serverraum verwendet. Gleichzeitig registriert aber kein Bewegungsmelder in diesem Bereich eine Person. Diese Diskrepanz zwischen digitalen und physischen Daten ist eine starke Anomalie, die auf einen kompromittierten Badge oder einen Systemfehler hindeuten kann und einen sofortigen Alarm auslösen sollte. Durch die Korrelation von Daten aus unterschiedlichen Systemen (Zutrittskontrolle, Videoüberwachung, Bewegungsmelder, Klimasensoren) kann ein intelligentes Sicherheits-Dashboard ein viel genaueres Lagebild erstellen als jedes Einzelsystem für sich.

Mit der VPN-Technologie können sichere Kommunikationstunnel zwischen verschiedenen Netzwerkbereichen oder externen Standorten aufgebaut werden. Die EDR-Router unterstützen im Gegensatz zu herkömmlichen IT-Routern die Paketfilterungsmethode Deep Packet Inspection (DPI), auch für industrielle Protokolle.

– Moxa, Technik und Wissen – Erhöhung der Netzwerksicherheit in industriellen Umgebungen

Diese Intelligenz führt auch zu Kosteneinsparungen. Eine intelligente Beleuchtungs- und Klimasteuerung, die auf Präsenzmeldern basiert, senkt nicht nur die Energiekosten, sondern kann auch Sicherheitspersonal gezielt in Bereiche lenken, in denen nachts unerwartete Aktivitäten stattfinden. Die vorausschauende Wartung (Predictive Maintenance) von Anlagen auf Basis von Sensordaten verhindert teure Ausfälle. Der Schlüssel liegt darin, IoT nicht als Ansammlung dummer Geräte zu sehen, sondern als ein verteiltes Nervensystem, dessen Datenpunkte zusammen ein intelligentes Gesamtbild ergeben. Die Voraussetzung dafür ist jedoch eine sichere, segmentierte und zentral verwaltete Architektur, wie sie in diesem Artikel skizziert wurde.

Der erste und wichtigste Schritt zur Absicherung Ihres Unternehmens ist eine rigorose Bestandsaufnahme Ihrer vorhandenen Angriffsfläche. Beginnen Sie noch heute mit der Inventarisierung und Klassifizierung all Ihrer vernetzten Geräte, um eine fundierte Grundlage für Ihre neue Sicherheitsarchitektur zu schaffen.