Nutzer tracken ihre Gesundheit und Fitness mit smarten Geräten, stellen sich intelligente Lautsprecher mit leistungsstarken Mikrofonen mitten ins Wohnzimmer oder nutzen billige Sensoren von No-Name-Herstellern für Smart-Home-Applikationen. Das Gleiche gilt für die Industrie, wo industrielle IoT-Geräte zum Beispiel Maschinen überwachen. Die meisten dieser Geräte verschwinden schnell aus der Wahrnehmung, wenn sie erst einmal installiert und in Betrieb sind.
Mögliche Schwachstellen in veralteter Firmware oder nicht durchgeführte Software-Updates (sogenannte Patches) werden deshalb oft ignoriert, selbst wenn sie von den Herstellern zur Verfügung gestellt werden – was nicht immer der Fall ist, da viele von ihnen eine schnelle Markteinführung bevorzugen und nur selten Software- oder Firmware-Updates und Patches bereitstellen. Dies kann zu ernsthaften Datenschutz- und Sicherheitsbedrohungen für die Nutzenden führen.
Politische EntscheidungsträgerInnen weltweit sind sich dieser Bedrohungen durchaus bewusst und streben daher strenge Regulierungen wie etwa durch die europäische Datenschutz-Grundverordnung an. Wobei das seit 2022 auch in einer EU-Richtlinie festgelegte „Recht auf Updates“ in Kraft ist, was ein weiterer wichtiger Schritt hin zu sichereren Geräten darstellt. Kürzlich hat die EU-Kommission zudem den „Cyber Resilience Act“ unterzeichnet, der die Hersteller dazu verpflichtet, den Verbraucher:innen auch mehrere Jahre nach dem Gerätekauf Sicherheitsupdates zur Verfügung zu stellen.
Welche Auswirkungen hat dies auf die Hersteller smarter Geräte?
Eine neue Studie sucht Antworten auf unter anderem diese Frage und analysierte 400 Terabyte an Daten von insgesamt 52 Milliarden Geräten, die zwischen Oktober 2015 und Ende November 2021 mittels der IoT-Suchmaschine Censys.io erhoben wurden. Dieser Datensatz beinhaltet verwertbare Informationen zu 175 Millionen Geräten, 7.116 verschiedenen Modellen von 384 Herstellern und 17 verschiedene Gerätetypen.
Die Daten ermöglichen Vergleiche zwischen einer Vielzahl von Ländern, in denen die Geräte installiert sind: Allen EU-Mitgliedstaaten, Großbritannien, den G7-Staaten und der Schweiz, aber auch Russland und der Ukraine sowie asiatischen Ländern wie Malaysia, Indonesien, Singapur und Japan. Die Ergebnisse zeigen, dass die meisten Geräte in den USA (52 Prozent) installiert sind, gefolgt von Deutschland (7 Prozent), Russland (4 Prozent), Großbritannien (4 Prozent), Japan (4 Prozent) und Frankreich (4 Prozent).
Große Sicherheitsrisiken durch veraltete Firmware und hohes Gerätealter
Die Auswertung zum Stand von Ende 2021 zeigt, dass das Firmware-Alter der in Deutschland betriebenen Geräte durchschnittlich 689 Tage beziehungsweise 1,9 Jahre ist. Darüber hinaus haben die Geräte seit fast einem Jahr (351 Tage) keine andere Aktualisierung wie Software-Updates erhalten. Auf EU-Ebene ist die Situation sogar noch schlechter: Die Verzögerung bei Firmware-Updates beträgt 930 Tage (2,5 Jahre) und andere Aktualisierungen wurden seit 411 Tagen (1,1 Jahre) ignoriert. Das bedeutet, dass die Verwendung vieler dieser Geräte mit großen Cybersicherheitsrisiken verbunden ist und dass der Datenschutz hier nicht mehr gewährleistet ist – die Geräte sind angreifbar und zum Beispiel leichte Beute für Hackerangriffe.
Betrachtet man das Gerätealter und die geografischen Unterschiede, so zeigt sich, dass Geräte in Irland am aktuellsten sind (239 Tage), während in Portugal laufende Geräte mit durchschnittlich 786 Tagen das Schlusslicht bilden. In Südostasien schneidet Singapur am besten (299 Tage) und Malaysia am schlechtesten ab (477 Tage, beziehungsweise 1,3 Jahre). Die ältesten Geräte sind in Japan zu finden (716 Tage, fast 2 Jahre).
Hat die Datenschutz-Grundverordnung zu einer aktuelleren Firmware geführt?
Hinsichtlich der Frage, ob sich die Situation seit Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) zum Besseren verändert hat – schließlich enthält sie entsprechende Regelungen dazu – zeigt die Studie interessante Ergebnisse: Während sich auf globaler Ebene nach Einführung der DSGVO das Gerätealter eher verringerte, sieht die Situation in Europa anders aus: In 28 von 35 EU-Mitgliedsstaaten hat sich seit dem Inkrafttreten der DSGVO das Gerätealter sogar um durchschnittlich 99 Tage erhöht.
Dr. Frank Ebbers, Autor zweier Forschungspapiere zu diesem Thema, interpretiert die Ergebnisse wie folgt: „Die niedrige Aktualisierungsrate sollte sowohl Hersteller und Nutzende als auch politische Entscheidungsträger:innen alarmieren und den Blick auf dieses Thema schärfen. Es ist auch überraschend, dass die DSGVO tendenziell eher keine Auswirkungen auf die Aktualität von Software in der EU hatte. Dies könnte daran liegen, dass die Nutzenden glauben, dass nach Inkrafttreten der DSGVO ab jetzt vor allem Unternehmen für Updates zuständig sind und dass sich diese nun mehr um den Datenschutz ihrer Kunden kümmern“.
Frank Ebbers ist der Ansicht, dass Hersteller, Regulierungsbehörden und Nutzende gemeinsam hierfür verantwortlich sind: „Nur durch gemeinsame Anstrengungen aller drei Akteursgruppen wird eine sicherere IT-Infrastruktur möglich sein“. Oft heißt es, dass sich die Situation mit automatischen, so genannten „Over-the-Air“-Updates, verbessern ließe. Dies sieht der Forscher kritisch: „Hier stellt sich zunächst die Frage, wer für Schäden haftet, die durch Fehler bei automatischen Updates entstehen. Man denke nur an den medizinischen Bereich, wo ein fehlerhaftes Update von tragbaren Patienten-EKG-Geräten Leben kosten könnte“.
Die Regulierungsbehörden sollten daher Empfehlungen an Hersteller aussprechen, die sie dazu verpflichten, einfache Aktualisierungsmechanismen in ihre Geräte einzubauen, die für Endnutzende leicht verständlich sind. Zudem könnten Updates als Teil der CE-Kennzeichnung zu einer Voraussetzung für die Inbetriebnahme in Europa werden.