Kontakt

Sicherheit in den Digitalen Medien, SmartHome und Co.

Josephine Luther, B.A.

Veröffentlicht am 01.02.2023 von Josephine Luther, B.A.

Internet of Things

Wenn es um intelligente Geräte wie Sprachassistenten geht, befinden wir uns im sogenannten „Internet of Things“ (IoT). Diese IoT-Geräte ähneln Computern, die lokal oder über das Internet mit anderen Geräten kommunizieren. Sie sollen unser tägliches Leben einfacher, bequemer und effizienter machen, indem sie zum Beispiel die Temperatur und Helligkeit eines Raums messen und darauf aufbauend verschiedene Prozesse automatisieren. Dies kann auch das Anreichern der Daten mit anderen nützlichen Informationen umfassen. Das Gerät sendet häufig Daten an die Cloud. Dort werden die Daten verarbeitet, bereitgestellt oder sind Grundlage für weitere Dienstleistungen. 

Aber auch die Begriffe Industrie 4.0 und Smart City sind eng mit dem „Internet der Dinge“ verbunden:

Industrie 4.0 

Die Einführung digitaler Vernetzungsgeräte in der Industrie wird oft als vierte industrielle Revolution bezeichnet. Die Grundidee von Industrie 4.0 ist, dass Menschen, Maschinen, Produkte und Logistik Informationen direkt und in Echtzeit austauschen, was die Produktivität und Effizienz weiter steigert. Mit Hilfe einer digitalen Vernetzung lassen sich die Produktionsschritte besser koordinieren und somit der Einsatz von Maschinen besser planen.

Smart City 

Smart City ist ein Sammelbegriff für Konzepte, die das Leben in der Stadt angenehmer, sicherer und energieeffizienter machen sollen. Verkehrsinfrastruktur, Energie- und Wasserversorgung, Beleuchtung und urbanes Informationsmanagement sind Bereiche, in denen IoT in Städten und Gemeinden häufig eingesetzt wird. 

Wo werden IoT-Geräte eingesetzt? 

Wearables, Smart Home, Smart Toys, digitale Assistenten und Smart TVs sind Beispiele für IoT-Geräte und deren Anwendungen, zu denen Sie in unseren zukünftigen Blogbeiträgen ausführliche Informationen und Empfehlungen finden können. 

Sprachassistenten wie Siri, Alexa und die kontinuierliche Überwachung  

Der Smart-Home-Bereich enthält alle Netzwerkgeräte, die Sie in Ihrem Zuhause oder mittlerweile auch in Büroräumen verwenden. So gibt es beispielsweise Systeme, die Fenster, Türen und Rollläden automatisch öffnen oder schließen – sogenannte Home-Automation-Technik. Zu einem Smart Home gehören aber auch Heimelektronik wie Smart-TVs und vernetzte Lautsprecher mit digitalen Audiohilfen. Diese Systeme können oft von überall aus gesteuert werden.  

Ein Smart Home kann beispielsweise beim Energiesparen helfen, indem es die Heizung automatisch ausschaltet, wenn ein Fenster geöffnet wird. Einige Geräte fügen einfach persönlichen Komfort hinzu, wie z. B. das Ein- und Ausschalten von Musik oder Lichtern mit Sprachsteuerung.  

Viele dieser IoT-Geräte sind mit dem Internet verbunden. Daher sind sie den gleichen Risiken ausgesetzt wie andere Internetgeräte wie Computer oder Smartphones.  

Bewusster Einsatz von IoT-Geräten  

Machen Sie sich bewusst, wie Ihr Gerät arbeitet, welche Daten Sie mit der Nutzung Ihres Geräts generieren und wo diese gespeichert werden. Dies ist eine wichtige Grundlage für den bewussten Einsatz von IoT-Geräten.  

Folgende Fragen sind dabei hilfreich, das Gerät und die potenziellen Risiken seines Einsatzes besser einzuschätzen:  

  • Welche Sensoren, wie z.B. eine Kamera oder ein Mikrofon, hat das Gerät?  
  • Welche Informationen werden erfasst und gespeichert?  
  • Kann die Datenspeicherung nachverfolgt werden?  
  • Werden diese Informationen gesendet oder mit anderen Anwendungen geteilt? 
  • Welche möglichen Risiken können mit der Verwendung des Geräts verbunden sein? 

Diese Informationen finden Sie unter den Geräteeinstellungen der jeweiligen Hardware 

Natürlich unterstützen wir Sie gerne mit Hilfe unserer Datenschutz- und Informationssicherheits-management-systeme und analysieren und formulieren Ihre Risiken und Schutzmaßnahmen.

Tipps für die sichere Einrichtung und Nutzung von Sprachassistenten

In den folgenden Abschnitten erfahren Sie, wie Sie den Zugang zu Ihrem Smart Home beziehungsweise „Smart Bureau“ so sicher wie möglich gestalten können. 

Aktuelle Software und Sicherheitsupdates 

Schon vor dem Kauf eines IoT-Geräts sollte darauf geachtet werden, dass der Hersteller Softwareupdates über die zu erwartende typische Nutzungsdauer des Geräts bereitstellen wird. Erkundigen Sie sich für jedes Gerät, ob und wie die Updates durchgeführt werden, damit Ihr Gerät stets mit aktueller Software ausgestattet ist und so Hackerangriffe erschweren. In den meisten Fällen geschieht das automatisch oder manuell über die Web-Oberfläche des Gerätes. Aktivieren Sie nach Möglichkeit automatische Updates bei Ihrem Gerät, um dessen Sicherheitsfunktionen stets aktuell zu halten.

Zentrale Firewall und Routersicherheit 

Die Firewall in Ihrem Router schützt Ihr Netzwerk vor Angriffen über das Internet. Überprüfen Sie, ob Ihr Router eine Firewall integriert hat, und aktivieren Sie diese. Schützen Sie auch Ihren Router, indem Sie das dort voreingestellte Passwort ändern, verfügbare Updates einspielen und auf aktuelle Firmware achten. Das Aktivieren der Firewall sowie die Änderung des Passworts können Sie in den Einstellungen des Routers vornehmen. Im Handbuch Ihres Routers ist die Internetadresse (oftmals eine IP-Nummer) vermerkt, die Sie aus ihrem LAN bzw. WLAN heraus aufsuchen müssen, um direkten Zugriff auf den Router zu erhalten.

Keine Standardpasswörter verwenden 

Eines der häufigsten Ursachen für Internet-Angriffe sind an das Internet angeschlossene Geräte, die keinen Passwortschutz besitzen oder nur mit voreingestellten Standardpasswörtern geschützt sind. Solche Geräte sind besonders anfällig für die unbefugte Installation von Malware. Beispielsweise können infizierte Geräte Teil eines Botnetzes werden: Dies ist ein Netzwerk aus vielen Geräten, mit denen sich Angreifer aus der Ferne verbinden und für verschiedene Operationen verwenden können. In den meisten Fällen ist es sehr schwierig festzustellen, ob ein Gerät mit Malware infiziert ist. Stellen Sie daher sicher, dass Sie Ihr persönliches Passwort festlegen, wenn Sie Ihr IoT-Gerät zum ersten Mal verbinden. Geben Sie außerdem niemals Ihre Passwörter an Dritte weiter, mehr dazu in unserem ExperSite Artikel “Wie erstelle ich eine Passwortrichtlinie?” unter  https://cdn.datatree.ag/wp-content/uploads/2022/12/ExperSite_02_2022_Web.pdf

Verschlüsselte Kommunikation und Standortzugriff 

Stellen Sie sicher, dass Ihre IoT-Geräte sensible Daten verschlüsselt übertragen. Andernfalls können diese Informationen von Dritten abgefangen, gelesen und sogar verändert werde, sodass sie selbst keinen Zugriff mehr auf Ihre Geräte haben. Prüfen Sie vor dem Kauf, ob das Gerät verschlüsselte Kommunikation unterstützt. Verbinden Sie das Smart Home nur dann mit dem Internet, wenn ein Fernzugriff erforderlich ist. In vielen Fällen reicht es aus, nur IoT-Geräte im Heimnetz zu verwenden. Natürlich muss auch das Smartphone oder der Computer, mit dem Sie IoT-Geräte steuern, direkt ins Heimnetzwerk eingebunden werden. Einige Smart-Home-Basisstationen bieten die Möglichkeit, die Internetverbindung zu sperren.

VPN-Konfiguration 

Ein virtuelles privates Netzwerk (VPN) ist eine hochsichere Verbindung zwischen zwei Punkten. Vom Smartphone zum Heimnetzwerk oder Router wird ein Tunnel gebildet, beispielsweise über das öffentliche Internet. 

Das Besondere an VPN ist, dass der aufgebaute Tunnel nur einen Eingang und einen Ausgang hat, sodass unterwegs keine Daten nach außen dringen können. Zudem ist Ihr Heimnetz durch das VPN nur mit von Ihnen freigeschalteten Geräten erreichbar. Moderne Router bieten die Möglichkeit, ein einfaches VPN einzurichten. 

Die DATATREE AG unterstützt Sie bei all diesen Punkten dahingehend, dass wir bei Implementierung unserer Managementsysteme eine Risikoanalyse durchführen und Schwachstellen beseitigen. Ebenfalls schulen wir Ihre Mitarbeitenden für den sicheren Umgang mit Software und eine sichere interne und externe Kommunikation.

Social-Media-Richtlinie für Unternehmen 

Die Möglichkeit von Schäden im Unternehmensnetzwerk ist grundsätzlich begrenzt. Nur der Netzwerkadministrator bestimmt, wer was im Netzwerk tun darf und was nicht. In digitalen Netzwerken ist das grundlegend anders, denn hier hat jeder Zugriff, und Unternehmen haben nicht die Möglichkeit, eine Art Privatsphäre zu schaffen und ihre Mitarbeitenden daran zu hindern, „Dummheiten“ wie beispielsweise die Verwertung der Daten für unter anderem Social Media Beiträge, zu machen. Aus Sicht des Unternehmens natürlich. Daher kann die Einstellung der Mitarbeitenden zu Social Media nur durch Richtlinien geregelt werden.  

Da es schwierig ist, privates und berufliches Engagement in Netzwerken zu trennen, sollten sich Social-Media-Nutzer und ihre Social-Media-Manager Gedanken über Social-Media-Richtlinien machen. 

Social-Media-Richtlinien sollten als Teil der Social-Media-Strategie eines Unternehmens geschrieben werden. Sie können aber nur sehr allgemeine Verhaltensregeln beschreiben. Rechtlich sind Abweichungen nur sehr schwer nachvollziehbar. Zum Beispiel, wenn ein Mitarbeitender gezielt gegen Urheberrechte verstößt oder das Unternehmen in einer Weise kritisiert, die eindeutig als unternehmensschädigend einzustufen ist. Unternehmen sollten sich daher nicht der Illusion hingeben, dass die Erstellung von Richtlinien für soziale Medien Konflikte ein für alle Mal beseitigt. 

Darüber hinaus schaffen aktuelle Ereignisse immer wieder neue Situationen, die konkrete Handlungsempfehlungen erfordern. Wenn ein Unternehmen eine langjährige Partnerschaft mit einem anderen Unternehmen beendet oder von einem Unternehmen übernommen wird, wirkt sich dies logischerweise auch auf den Social-Media-Verhaltenskodex aus. Dies gilt insbesondere im Falle eines tragischen Ereignisses: Wenn ein Flugzeug abstürzt, können Airline-Mitarbeiter nicht so sorglos posten wie vor dem Zwischenfall. Daher sollte die Leitlinie einen Abschnitt mit konkreten Handlungsempfehlungen enthalten, der in regelmäßigen Abständen bzw. bei Bedarf aktualisiert und als integraler Bestandteil der Leitlinie betrachtet werden sollte. 

Grundsätzlich sollte Folgendes beachtet werden: 

  • Beiträge von Mitarbeitenden als Expert:innen zu bestimmten Produkten des Unternehmens sind grundsätzlich sehr hilfreich und können zur Imageverbesserung beitragen 
  • Mitarbeitende darauf hinweisen, dass sie für eigene Beiträge auch die Verantwortung tragen 
  • Die Nutzung von Social Media während der Arbeitszeit klären 
  • Private Meinungen als solche kennzeichnen 
  • Den rechtlichen Rahmen der jeweiligen Plattform beachten 
  • Auf Urheberrechte aufmerksam machen und einhalten 
  • Kommunikationsregeln festlegen 
  • Aktuelle Vorkommnisse berücksichtigen 

Schwachstelle Mitarbeiter:in 

Wenn Sie die Technik so sicher wie möglich eingerichtet haben, sollten Sie sich unbedingt auch Ihren Mitarbeitenden widmen, um diese für den sicheren Umgang mit Netzwerken zu schulen.  

Wissen Sie, welches Land weltweit den dritten Platz einnimmt, wenn es um Unternehmen geht, die einer Cyber-Attacke ausgesetzt waren? Richtig! Es ist Deutschland. Ein Grund hierfür ist, dass die Komponente „Mitarbeiter“ im Informationssicherheitssystem häufig unbeachtet bleibt. Laut BSI-Lagebericht wurden im Jahr 2022 monatlich 34.000 Mails und 78.000 Webseiten, die Schadprogramme enthielten, von der Regierung abgefangen. 69% dieser Mails waren Cyber-Angriffe wie z.B. Phishing-Mails, von denen 90% das sogenannte Finance Phishing verfolgten. Kein Wunder also, dass nicht gerade selten wichtige Unternehmensdaten abgefangen werden könne. Dennoch ist das kein Muss.  

Mitarbeiter sind Menschen. Und Menschen sind keine Maschine. Das eigene Leben und die beruflichen Ziele stehen im Mittelpunkt. Das Einhalten von Sicherheitsvorkehrungen hat dabei nicht immer höchste Priorität und kann nicht eben einprogrammiert werden.  

Daher bietet die DATATREE AG verschiedene Workshops und Schulungen, um Ihre Mitarbeitenden zu sensibilisieren und auf den Ernst-Fall vorzubereiten. Unsere bewährten Inhalte der DATATREE Akademie kommen jetzt auch direkt zu Ihnen – mit unseren In-House Weiterbildungsangeboten. Mehr Informationen zu unseren Schulungsangeboten finden Sie hier.

Phishing Test

Datenschutz, Informations- und IT-Sicherheit sind Themen, die in jedem Unternehmensprozess gelebt werden müssen. Es sind Themen der Unternehmenskultur. 

Aus diesem Grund begleiten wir Sie und Ihre Mitarbeitenden in Ihrem Alltag und stehen mit der Beratung und Bewertung von Fragen, Problemen und Anliegen zur Verfügung und versorgen Sie regelmäßig mit hochwertigen Fachinformationen (Newsletter, Kundenmagazine, uvm.) zu aktuellen Themen. Um den Stand Ihrer Mitarbeitenden zu überprüfen, bieten wir Ihnen nun auch eine eigene, personalisierte Phishing-Kampagne, bei der Ihre Mitarbeitenden eine Fake-E-Mail erhalten, mit der Bitte, einen bestimmten Link zu öffnen und Daten einzugeben. Mit Hilfe unserer Tracking Software gelingt es uns so, einzusehen, wie viele Ihrer Mitarbeiter:innen den Link geöffnet haben und personenbezogene Informationen weitergegeben haben. Diese Maßnahme wird Ihre Mitarbeitenden sensibilisieren und auf den Ernst-Fall vorbereiten.  

Was wir sonst noch für Sie tun:  

  • In einem kostenlosen Beratungsgespräch erfassen wir Ihren Bedarf und stellen Ihnen vor, wie wir Sie konkret unterstützen können.  
  • Entwicklung Ihrer Kampagne, optimal auf Ihr Unternehmen ausgerichtet  
  • Versand von für Sie entwickelten Phishing-Mails, inklusive Aufbau einer als „vertrauenswürdig“ dargestellte Website   
  • Erfolgsmessung der Kampagne   
  • Aufbereitung der Ergebnisse  
  • Maßnahmenempfehlung und Entwicklung zur Steigerung des Awarenesslevels  
  • Sensibilisierte und zertifizierte Mitarbeiter:innen 

Mehr dazu hier: https://www.datatree.ag/sicher-vor-hackern-so-schuetzen-sie-ihr-unternehmen-phishing-kampagne/?preview_id=8050&preview_nonce=e7ea5b063b&preview=true&_thumbnail_id=8051