In der realen Welt müssen sich Anbieter, Integratoren und Benutzer ständig zwischen Anwendungskomfort und Sicherheit entscheiden. Dabei müssen sie zwischen zwei Punkten abwiegen: Wie schwer möchten sie es ihren Angreifern machen und welche aufwendigen Sicherheitsvorkehrungen wollen sie den Mitarbeitern dabei zumuten?

Es liegt in der Natur des Menschen, die bequemste Option zu wählen – so wechseln beispielsweise die wenigsten Menschen von Zeit zu Zeit das Passwort ihres WLAN-Routers, obwohl dies angebracht wäre. Denn das würde bedeuten, dass sie das Passwort auf allen eigenen Geräten und jenen von weiteren Familienmitgliedern ändern müssen. So wird der Einfachheit halber das bestehende Passwort einfach weiterverwendet. Auch komplexe Passwörter sind selten im privaten Bereich.

Bequem statt sicher

Leider haben die jüngsten Ereignisse gezeigt, dass auch die IoT-Branche oftmals Bequemlichkeit der Sicherheit vorzieht, was viele Unternehmen und Organisationen gefährdet. Anwender, seien es kleine oder große Unternehmen, erwidern oft: "Aber wir sind kein potenzielles Ziel", oder "Warum sollte jemand in unsere Kameras schauen wollen?“. Was sie jedoch nicht wissen, ist, dass Cyber-Angriffe heute weitaus breiter gestreuter stattfinden als je zuvor. Ein Angreifer interessiert sich möglicherweise nicht für die Kamera oder das Unternehmen direkt. Vielleicht sucht er aber nach einem Weg, um bei einem ihrer Lieferanten oder Kunden einzudringen. Inzwischen sind alle so stark miteinander verknüpft, dass die eigene Sicherheit auch andere Unternehmen und Personen betrifft.

Angreifer sind auch nicht länger Computerfreaks, die sich zum Spaß irgendwo einhacken. Es sind Profis, deren Geschäftsmodell u.a. auf dem Hacken von IoT-Geräten beruht. Riesige Botnets, die mehrere 100.000 Geräte umfassen, sind Beleg für eine immer umfangreichere Aktivität in diesem Bereich.

Das richtige Passwort als grundlegende Maßnahme

Wie können sich Unternehmen also dagegen schützen? Welche Sicherheitsmaßnahmen sind erforderlich? Müssen es biometrische Methoden sein und muss alles auf der höchstmöglichen Sicherheitsstufe abgeschottet werden?

Ein Anfang wäre es zumindest die Grundlagen zu beherzigen. Kein Gerät sollte mit dem öffentlich dokumentierten Default-Password benutzt werden. Die Passwörter sollten nicht nur einfache Zeichenketten oder gar Wörter sein, hier sind komplexere Zeichenfolgen mit einer Mischung aus Sonderzeichen, Buchstaben, Ziffern und Groß- und Kleinschreibung empfehlenswert. Zyklisch das Passwort zu ändern bietet sich an.

Auch sollten Mitarbeiter von Fremdunternehmen ausschließlich mit temporären Passwörtern arbeiten, nur vorher geprüfte Datenträger verwenden dürfen und einen Remote-Zugriff nur in Abstimmung mit der unternehmenseigenen IT durchführen.

Fazit

Erst wenn diese Dinge so selbstverständlich wie das Händewaschen werden, macht es Sinn sich über die weiteren Schritte Gedanken zu machen. Es bringt wenig, die Haustür aufwändig zu verschließen, wenn man ein Fenster weit offen lässt.

Jeder von uns könnte einen Anfang machen: Mit der Änderung des eigenen Passwortes für den WLAN Router. Dieser Schritt wird für die meisten eine ziemliche Hürde darstellen. Es gibt schließlich genügend oberflächliche Gründe dies nicht zu tun.