Spionieren mich meine Smart-Home-Geräte aus?

Einige, ja – mit Absicht. Intelligente Lautsprecher achten auf Weckwörter und senden bei Auslösung Audiobeispiele an die Cloud. Intelligente Kameras können Videos in den Cloud-Speicher streamen. Die Datenschutzkontrollen variieren je nach Anbieter; Apple, Amazon und Google veröffentlichen detaillierte Datenschutzrichtlinien, die Umsetzungshistorie ist jedoch uneinheitlich. Überprüfen Sie vor dem Kauf die Einstellungen des Geräts und die Richtlinien des Anbieters.

Kann mein Smart-Gerät zum Angriff auf andere Websites verwendet werden?

Ja, wenn kompromittiert. Ein kompromittiertes IoT-Gerät schließt sich einem Botnetz an, das für DDoS-Angriffe genutzt wird. Sie würden die Aktivität nicht bemerken, außer möglicherweise als langsames Internet während der Angriffsfenster. Das Mirai-Muster funktioniert auch heute noch bei vielen Verbrauchergeräten.

Sollte ich IoT-Geräte in ein separates Netzwerk einbinden?

Ja. Viele Consumer-Router bieten Gastnetzwerke, die verhindern, dass IoT-Geräte Ihre anderen LAN-Geräte erreichen. Einige unterstützen richtige VLANs oder dedizierte IoT-Segmente. Die Netzwerksegmentierung begrenzt den Schaden, wenn ein Gerät kompromittiert wird – es kann das Internet angreifen, aber nicht Ihren Laptop.

Wie lange sollten IoT-Geräte Sicherheitsupdates erhalten?

Als bewährte Branchenpraxis gilt mindestens die erwartete Lebensdauer des Geräts – 5+ Jahre für Produkte wie Kameras, 7+ Jahre für Router und Großgeräte. Die meisten Anbieter bleiben weit hinter den Erwartungen zurück. Achten Sie auf eine schriftliche Verpflichtung in den Produktspezifikationen; Das Fehlen einer Verpflichtung ist eine gelbe Flagge.

Ist Open-Source-Firmware sicherer?

Manchmal. OpenWrt, Tasmota, Home Assistant ESPHome bieten Ihnen langfristig unterstützte Alternativen für einige Gerätekategorien. Die Sicherheit ist ungefähr so gut wie die der Upstream-Betreuer – im Allgemeinen besser als die Firmware aufgegebener Anbieter, aber keine Zauberei. Kompatible Hardwarelisten zeigen Ihnen, welche Geräte Ersatz-Firmware unterstützen.

IoT-Sicherheit erklärt: Warum Ihre Smart-Kamera einem Botnetz beigetreten ist

Geräte für das Internet der Dinge werden mit Standardkennwörtern ausgeliefert, erhalten keine Firmware-Updates und bleiben jahrelang in Netzwerken, auch wenn der Hersteller sich nicht mehr darum kümmert. Zusammengenommen bildeten diese Eigenschaften die größten Botnet-Armeen, die das Internet je gesehen hat – Mirai, Mozi und ihre Nachfolger. Die Geschichte der IoT-Sicherheit ist die Geschichte, wie Skalierbarkeit und Sicherheit nicht zueinander passen.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

IoT (Internet der Dinge) Sicherheit deckt den Schutz von mit dem Netzwerk verbundenen Geräten ab, bei denen es sich nicht um Laptops, Telefone oder herkömmliche Server handelt – Kameras, Router, intelligente Lautsprecher, Thermostate, Türklingeln, Glühbirnen, Babyphone, Industriesensoren. Die Kategorie explodierte von ein paar hundert Millionen Geräten im Jahr 2015 auf über 25 Milliarden im Jahr 2026, und die Sicherheitslage hat nicht Schritt gehalten.

XPLZ4 Der Hersteller verfügt über kein Budget für Sicherheitstechnik oder langfristigen Support.

XPLZ14 Viele Benutzer ändern sie nie.

Update-Mechanismus fehlt oder ist defekt. Viele Geräte verfügen über kein automatisches Update; Einige verfügen über Updates, die einen manuellen Download und eine manuelle Installation erfordern. Einige verfügen über Updates, die der Hersteller nach ein bis zwei Jahren nicht mehr veröffentlicht.

XPLZ22 Das Mirai-Botnetz hat Hunderttausende IoT-Geräte kompromittiert – vor allem DVRs und IP-Kameras – und sie für rekordverdächtige DDoS-Angriffe gegen Krebs on Security, OVH und den DNS-Anbieter Dyn verwendet (der stundenlang die Hälfte des Verbraucher-Internets lahmgelegt hat). Standard-Benutzername/Passwort-Paare installieren, bei Erfolg den Bot installieren. Es gab keine Exploits, keine Zero-Days, keine cleveren Tricks. Die Schwachstelle lautete: „Das Gerät wird mit admin/admin ausgeliefert und befindet sich im öffentlichen Internet.“ Das allein reichte für Hunderttausende Infektionen.

Der Quellcode von Mirai wurde Ende 2016 öffentlich durchgesickert. Dutzende Derivate – Hajime, Persirai, Reaper, Mozi, IZ1H9 – folgten. Das gleiche Angriffsmuster funktioniert im Jahr 2026; Nur die Geräteziele und Anmeldeinformationslisten entwickeln sich weiter.

XPLZ36 überall.

XPLZ48 Dienste. XPLZ57 hat:

1–3 Jahre Firmware-Updates vom Hersteller (falls vorhanden)
Eine Nutzungsdauer von 5–10 Jahren in Ihrem Netzwerk
Kein Mechanismus, der Sie benachrichtigt, wenn Updates gestoppt werden

Nach dem Stoppen von Updates funktioniert das Gerät weiter, sammelt jedoch ungepatchte Schwachstellen an. Der Benutzer hat kein Signal, irgendetwas stimmt nicht. Das Gerät ist seit Jahren problemlos kompromittiert und über das Internet erreichbar.

XPLZ78 EU.

UK Product Security and Telecommunications Infrastructure Act (2022) verbietet Geräte mit Standardanmeldeinformationen und erfordert die Offenlegung von Supportzeiträumen.

California SB-327 (2020) erfordert „angemessene“ Sicherheitsfunktionen und eindeutige Standardeinstellungen Passwörter.

FCCs Cyber Trust Mark (USA, Einführung 2024–2026) – freiwillige Kennzeichnung für konforme Geräte.

Die Auswirkungen auf den Markt sind langsam, aber sichtbar: Große Hersteller (TP-Link, Netgear, Eufy) haben damit begonnen, Geräte mit eindeutigen zufälligen Anfangspasswörtern auszuliefern und zumindest ein Update angekündigt windows.

Was Sie als Benutzer tun können:

Ändern Sie das Standardkennwort network. Ein separates VLAN/SSID für IoT-Geräte, isoliert von Ihren Laptops und Telefonen. Die meisten Consumer-Router unterstützen mittlerweile Gastnetzwerke; einige unterstützen die vollständige VLAN-Segmentierung.
Firmware aktualisieren. Regelmäßig prüfen; Viele Anbieter pushen nicht automatisch.
Bevorzugen Sie Geräte mit dokumentierten Update-Verpflichtungen. XPLZ20 Nicht immer, aber im Durchschnitt

Häufig gestellte Fragen

Spionieren mich meine Smart-Home-Geräte aus?: Einige, ja – mit Absicht. Intelligente Lautsprecher achten auf Weckwörter und senden bei Auslösung Audiobeispiele an die Cloud. Intelligente Kameras können Videos in den Cloud-Speicher streamen. Die Datenschutzkontrollen variieren je nach Anbieter; Apple, Amazon und Google veröffentlichen detaillierte Datenschutzrichtlinien, die Umsetzungshistorie ist jedoch uneinheitlich. Überprüfen Sie vor dem Kauf die Einstellungen des Geräts und die Richtlinien des Anbieters.
Kann mein Smart-Gerät zum Angriff auf andere Websites verwendet werden?: Ja, wenn kompromittiert. Ein kompromittiertes IoT-Gerät schließt sich einem Botnetz an, das für DDoS-Angriffe genutzt wird. Sie würden die Aktivität nicht bemerken, außer möglicherweise als langsames Internet während der Angriffsfenster. Das Mirai-Muster funktioniert auch heute noch bei vielen Verbrauchergeräten.
Sollte ich IoT-Geräte in ein separates Netzwerk einbinden?: Ja. Viele Consumer-Router bieten Gastnetzwerke, die verhindern, dass IoT-Geräte Ihre anderen LAN-Geräte erreichen. Einige unterstützen richtige VLANs oder dedizierte IoT-Segmente. Die Netzwerksegmentierung begrenzt den Schaden, wenn ein Gerät kompromittiert wird – es kann das Internet angreifen, aber nicht Ihren Laptop.
Wie lange sollten IoT-Geräte Sicherheitsupdates erhalten?: Als bewährte Branchenpraxis gilt mindestens die erwartete Lebensdauer des Geräts – 5+ Jahre für Produkte wie Kameras, 7+ Jahre für Router und Großgeräte. Die meisten Anbieter bleiben weit hinter den Erwartungen zurück. Achten Sie auf eine schriftliche Verpflichtung in den Produktspezifikationen; Das Fehlen einer Verpflichtung ist eine gelbe Flagge.
Ist Open-Source-Firmware sicherer?: Manchmal. OpenWrt, Tasmota, Home Assistant ESPHome bieten Ihnen langfristig unterstützte Alternativen für einige Gerätekategorien. Die Sicherheit ist ungefähr so gut wie die der Upstream-Betreuer – im Allgemeinen besser als die Firmware aufgegebener Anbieter, aber keine Zauberei. Kompatible Hardwarelisten zeigen Ihnen, welche Geräte Ersatz-Firmware unterstützen.