Zahllose IoT-Geräte sind heutzutage in viele Lebensbereiche, die Industrie und kritische Infrastrukturen vorgedrungen. Da diese permanent vernetzten smarten Geräte sehr sensible Daten verarbeiten, sei die Aktualität ihrer Soft- und Firmware essentiell, um Schwachstellen zu schließen und die Cybersicherheit zu erhöhen – vor allem in Zeiten täglicher Hackerangriffe, des Datenmissbrauchs oder Industriespionage. In diesem Kontext hat eine neue Studie des Fraunhofer ISI Daten von 52 Milliarden Geräten analysiert und dabei geklärt, wo die Geräte installiert sind, wie aktuell ihre installierte Firmware ist und ob sich hierbei seit Inkrafttreten der europäischen Datenschutz-Grundverordnung etwas verbessert hat. Die Ergebnisse zeigen, dass es nur eine Frage der Zeit ist, bis es zu schwerwiegenden Cyberangriffen kommen könnte.
Nutzer tracken ihre Gesundheit und Fitness mit smarten Geräten, stellen sich intelligente Lautsprecher mit leistungsstarken Mikrofonen mitten ins Wohnzimmer oder nutzen billige Sensoren von No-Name-Herstellern für Smart-Home-Applikationen. Das Gleiche gilt für die Industrie, wo industrielle IoT-Geräte z.B. Maschinen überwachen. Die meisten dieser Geräte verschwinden schnell aus der Wahrnehmung, wenn sie erst einmal installiert und in Betrieb sind. Mögliche Schwachstellen in veralteter Firmware oder nicht durchgeführte Software-Updates (sogenannte Patches) werden deshalb oft ignoriert, selbst wenn sie von den Herstellern zur Verfügung gestellt werden – was nicht immer der Fall ist, da viele von ihnen eine schnelle Markteinführung bevorzugen und nur selten Software- oder Firmware-Updates und Patches bereitstellen. Dies kann zu ernsthaften Datenschutz- und Sicherheitsbedrohungen für die Nutzenden führen.
Politische Entscheidungsträger und -trägerinnen weltweit sind sich dieser Bedrohungen durchaus bewusst und streben daher strenge Regulierungen wie etwa durch die europäische Datenschutz-Grundverordnung an. Wobei das seit 2022 auch in einer EU-Richtlinie festgelegte Recht auf Updates in Kraft ist, was ein weiterer wichtiger Schritt hin zu sichereren Geräten darstellt. Kürzlich hat die EU-Kommission zudem den Cyber Resilience Act unterzeichnet, der die Hersteller dazu verpflichtet, den Verbrauchern auch mehrere Jahre nach dem Gerätekauf Sicherheitsupdates zur Verfügung zu stellen.
Welche Auswirkungen hat dies auf die Hersteller smarter Geräte?
Eine neue Studie sucht Antworten auf u.a. diese Frage und analysierte 400 Terabyte an Daten von insgesamt 52 Milliarden Geräten, die zwischen Oktober 2015 und Ende November 2021 mittels der IoT-Suchmaschine Censys.io erhoben wurden. Dieser Datensatz beinhaltet verwertbare Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen. Die Daten ermöglichen Vergleiche zwischen einer Vielzahl von Ländern, in denen die Geräte installiert sind: Allen EU-Mitgliedstaaten, Großbritannien, den G7-Staaten und der Schweiz, aber auch Russland und der Ukraine sowie asiatischen Ländern wie Malaysia, Indonesien, Singapur und Japan. Die Ergebnisse zeigen, dass die meisten Geräte in den USA (52%) installiert sind, gefolgt von Deutschland (7%), Russland (4%), Großbritannien (4%), Japan (4%) und Frankreich (4%).
Große Sicherheitsrisiken durch veraltete Firmware und hohes Gerätealter
Die Auswertung zum Stand von Ende 2021 zeigt, dass das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage bzw. 1,9 Jahre ist. Darüber hinaus haben die Geräte seit fast einem Jahr (351 Tage) keine andere Aktualisierung wie Software-Updates erhalten. Auf EU-Ebene ist die Situation sogar noch schlechter: Die Verzögerung bei Firmware-Updates beträgt 930 Tage (2,5 Jahre) und andere Aktualisierungen wurden seit 411 Tagen (1,1 Jahre) ignoriert. Das bedeutet, dass die Verwendung vieler dieser Geräte mit großen Cybersicherheitsrisiken verbunden ist und dass der Datenschutz hier nicht mehr gewährleistet ist – die Geräte sind angreifbar und z.B. leichte Beute für Hackerangriffe.
Betrachtet man das Gerätealter und die geografischen Unterschiede, so zeigt sich, dass Geräte in Irland am aktuellsten sind (239 Tage), während in Portugal laufende Geräte mit durchschnittlich 786 Tagen das Schlusslicht bilden. In Südostasien schneidet Singapur am besten (299 Tage) und Malaysia am schlechtesten ab (477 Tage bzw. 1,3 Jahre). Die ältesten Geräte sind in Japan zu finden (716 Tage, fast 2 Jahre).
Hat die Datenschutz-Grundverordnung zu einer aktuelleren Firmware geführt?
Hinsichtlich der Frage, ob sich die Situation seit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) zum Besseren verändert hat – schließlich enthält sie entsprechende Regelungen dazu – zeigt die Studie interessante Ergebnisse: Während sich auf globaler Ebene nach Einführung der DSGVO das Gerätealter eher verringerte, sieht die Situation in Europa anders aus: In 28 von 35 EU-Mitgliedsstaaten hat sich seit dem Inkrafttreten der DSGVO das Gerätealter sogar um durchschnittlich 99 Tage erhöht.
