Viele IoT-Geräte sind gegen Angriffe so schlecht geschützt, dass es ein Kinderspiel ist, sie aus der Ferne zu übernehmen. Das muss keineswegs so sein: Mit den richtigen Mitteln und Werkzeugen lässt sich gegensteuern.

Das S in IoT steht bekanntlich für Sicherheit – so lautet ein Bonmot der Netzkultur. Die jüngere Geschichte der IoT-Entwicklung ist gepflastert von absurden Beispielen, in denen die Sicherheit im Internet der Dinge fatal auf der Strecke blieb. Quasi ein Evergreen ist die per Bluetooth zu steuernde Toilette, deren Pairing-Code 0000 war und sich nicht ändern ließ. Auch die smarte Milchpumpe, die aus unschuldigen Müttern unverhofft Botnet-Betreiber machte, dürfte dem einen oder anderen noch in Erinnerung geblieben sein.

Das alles hat dem Erfolg des Prinzips IoT aber offensichtlich keinen Abbruch getan: Immer umfangreicher wird die Masse der schlauen Helfer in den Haushalten. Nicht zuletzt das Bedürfnis, in diesem Winter mit der verfügbaren Energie sparsam umzugehen, hat vielerorts unter anderem zum Einbau schlauer Heizthermostate geführt. Die lassen sich aus der Ferne steuern und erlauben eine deutlich genauere Kontrolle der Raumtemperatur als ihre analogen Vorgänger. Auch sonst muss man nicht lange suchen, um vielerorts schlaue Geräte zu finden: Die smarte Jalousiensteuerung, die intelligente Hausbeleuchtung, schlaue Steckdosen oder Kaffee- und Waschmaschinen, die sich per WLAN steuern lassen, sind nur einige Beispiele.

Wie immer gilt: Wo Technik ist, lässt sie sich potenziell missbrauchen. Im Kontext von IoT ist das vielen Anwendern gar nicht bewusst, weil sie das von eventuell problematischen Geräten ausgehende Bedrohungsszenario nicht verstehen. Was hätten Angreifer schon davon, die Kontrolle über eine smarte Waschmaschine zu übernehmen? Abgesehen von einer bewusst herbeigeführten Überlastung durch den ständigen Betrieb ergibt sich hier in der Tat kein größeres Problem.

Anders sieht die Sache aber schon aus, wenn man sich mit den smarten Jalousien und vor allem der intelligenten Steuerung der Beleuchtung im eigenen Heim beschäftigt. Wer Zugriff auf die Konfiguration von Philips Hue (Abbildung 1) bekommt, sieht beispielsweise, wann jemand zu Hause ist und wann nicht. Diese Information lässt sich wunderbar nutzen, um Einbrüche in die betroffenen Wohnungen oder Häuser zu planen. Auch unsichere Thermostate an Heizkörpern können zum Problem werden, etwa bei einem Nachbarschaftszwist, bei dem ein Nachbar dem anderen die Wohnung in eine Sauna verwandelt. Stellt er das noch schlau an und ändert im Anschluss die Zugangsdaten zum Kontrollzentrum der Thermostate, läuft die Heizung beim Nachbarn auf Hochtouren, ohne dass dieser etwas dagegen unternehmen könnte.

Abbildung 1: Smarte Beleuchtungsutensilien wie Hue-Lampen von Philips nutzen in der Regel Zigbee für die Kommunikation untereinander. Das verkleinert den Angriffsvektor, durch den benötigten Hub bleibt aber ein Restrisiko. Quelle: Philips

Wie so oft im IT-Kontext gilt auch im Zusammenhang mit IoT, dass Vorsicht besser ist, als das Nachsehen zu haben. Wer zu Hause IoT-Geräte betreibt, tut deshalb gut daran, einige Faktoren zu beachten, um die Sicherheit zu erhöhen. In diesem Artikel geht es genau darum: Worauf sollten Sie bereits bei der Anschaffung von IoT-Geräten achten, welche Software steht zum Abwehren von Angriffen zur Verfügung, und mit welchen Werkzeugen können Sie zu Hause mit relativ geringem Aufwand zumindest herausfinden, dass etwas nicht stimmt?

Die richtige Hardware

Ihren Anfang nimmt die Betrachtung von Sicherheitsaspekten im IoT-Kontext an einem Punkt, den viele Käufer entsprechender Geräte schon gar nicht mehr beachten: die Wahl der richtigen Hardware. Dabei liegt es auf der Hand, dass Sicherheitsaspekte, um die der Hersteller einer Lösung sich adäquat kümmert, nicht mehr auf der To-do-Liste des Anwenders stehen müssen. Ein Faktor teilt die IoT-Geräte in zwei Gruppen: die WLAN-Anbindung.

Ein Teil der am Markt verfügbaren IoT-Geräte nutzt für seine Kommunikation Protokolle und Standards, die an den spezifischen Zweck angepasst sind, allen voran Zigbee. Zigbee ist auch ein Wireless LAN, aber nicht das typische WLAN des heimischen WLAN-Routers. Stattdessen funkt Zigbee auf eigenen Frequenzen, und es ist für Clients nicht vorgesehen, sich in ein Netz auf Zigbee-Basis einzuloggen. Wie ein normales Wi-Fi lässt Zigbee sich also gar nicht nutzen, und das ist bereits ein Beitrag zur Sicherheit: Ein Netz, das umfangreichen Angriffsszenarien keinen Raum bietet, ist von vorneherein weniger anfällig.

Zur Riege der Zigbee-Geräte gehören heute typischerweise Lösungen für die smarte Beleuchtung von Räumen, darunter Philips Hue. Auch viele Thermostate für Heizkörper setzen auf die Kommunikation nach diesem Standard. Allerdings ist ein Kommunikations-Gateway nötig, um zwischen den Zigbee-Geräten einerseits und dem Administrator andererseits zu vermitteln. Das ist in den meisten Setups der sogenannte Hub, wie man ihn im Beispiel Philips Hue findet. Er steht quasi mit einem Bein in der Zigbee-Kommunikation, ist mit dem anderen aber automatisch Mitglied des normalen Netzwerks vor Ort und mithin ein neuralgischer Ansatzpunkt für die Abwehr von Angreifern.

Hersteller in der Pflicht

Hier greift wieder die Forderung, sich im Vorfeld die Hardware genauer anzusehen, die man sich ins Haus holt, denn die erste Verteidigungslinie im Kampf gegen IoT-Angriffe ist stets der Hersteller. Ihn trifft die Pflicht, die eigene Nutzerschaft regelmäßig mit Updates zu versorgen, um bekannt gewordene Fehler in den Geräten zu korrigieren. Die Premiumhersteller haben hier in Summe eine gute Leistungsbilanz. Wer sich allerdings schlaue Lampen via Ali Express aus Fernost bestellt, holt sich möglicherweise buchstäblich Probleme ins Haus. Hängt ein verwundbares Gerät erst einmal im Netz, wird vom Hersteller aber nicht mehr aktualisiert, handelt es sich um einen permanent präsenten, gefährlichen Angriffspunkt für einen Einbruch.

Als Administrator eines lokalen Netzwerks sind Sie dem aber nicht vollkommen schutzlos ausgeliefert. Die allermeisten Router und Wi-Fi-Access-Points bieten heute die Möglichkeit, mehrere Netzwerke lokal zu betreiben. Es gibt dann etwa ein Gastnetz, dessen spezifische Parameter Sie bis ins Detail festlegen können. Die Idee dahinter gilt eigentlich der Internet-Anbindung von Besuchern in Ihren vier Wänden. Sie lässt sich im Sinne von höherer IoT-Sicherheit aber wunderbar verwenden, um die IoT-Geräte in einem eigenen Netzwerksegment zu separieren.

Daraus wiederum ergeben sich etliche Möglichkeiten, die Sicherheit zu erhöhen, auch wenn einige der Maßnahmen ausgesprochen mühsam sind. So lässt sich für ein IoT-Netz beispielsweise auf den meisten Routern eine generelle Sperre für ein- wie ausgehende Pakete definieren. Hier lautet die Devise dann, dass die im Netz beheimateten Geräte weder Traffic für die Außenwelt produzieren dürfen noch welchen empfangen, den der Administrator – also Sie – per Firewall zuvor nicht explizit erlaubt hat. Mühsam ist diese Absicherung vor allem, weil längst nicht jeder Hersteller klar kommuniziert, mit welchen Systemen im Netz seine Geräte denn zu kommunizieren gedenken. Versuch und Irrtum, ergänzt um eine entsprechende Google-Suche sind hier in der Regel die Mittel der Wahl.

Die Segmentierung hat übrigens noch weitere Vorteile: Sie sorgt dafür, das Schadensausmaß eines Angriffs so klein wie möglich zu halten. Selbst wenn es einem Angreifer gelingen sollte, das IoT-Netz zu kompromittieren, erhält er dadurch nicht automatisch Zugriff auf das normale WLAN-Netz und die sich darin befindlichen Geräte. Zumindest der Verlust von Daten lässt sich auf diese Weise gut verhindern.

Direktes Wi-Fi

Finden sich im heimischen Netz Geräte, die unmittelbar per WLAN im Netz hängen und nicht auf Zigbee setzen, erweisen sich gut segmentierte Wi-Fi-Netzwerke als beinahe überlebenswichtig. Als Anwender bekommen Sie es hier nämlich mit einer ganzen Reihe potenzieller Probleme zu tun, eines kritischer als das andere.

Viele der bereits erwähnten Geräte aus Fernost funktionieren gut und leisten im IoT-Kontext wertvolle Dienste. Aus der Sicherheitsperspektive ist jedes dieser Geräte aber eben auch ein kompletter Netzwerk-Client mit allen Privilegien im jeweiligen Netz. Es ist fast schon obligatorisch, Geräte dieser Art vom Rest der Umgebung abzuschirmen, schon weil das Prinzip der Separation of Concern greift und eine Waschmaschine mit WLAN-Verbindung schlicht keinen Zugriff auf Ihren Laptop braucht.

Apropos WLAN-Waschmaschine: Gerade Geräte dieser Art sind fast noch öfter als Geräte zweifelhafter fernöstlicher Provenienz die Auslöser für große Probleme. Das hat vor allem etwas mit der Art und Weise zu tun, wie ihre Hersteller ticken: Die WLAN-Module für Waschmaschinen etwa entwickeln Firmen wie Miele oder Bosch Siemens Hausgeräte (BSH) üblicherweise nicht im eigenen Haus, schon, weil ihnen die dafür benötigten Fachleute fehlen. Stattdessen werden solche Bauteile von extern zugekauft und verarbeitet – oft genug, ohne eine konkrete Ahnung zu haben, was man da eigentlich tut.

Das ist einer der Gründe dafür, warum beispielsweise Sicherheitsaktualisierungen bei Geräten wie Waschmaschinen so schleppend funktionieren: Seitens der Hersteller fehlt es oft schon am grundlegenden Bewusstsein, dass Geräte dieser Art überhaupt ein Problem in Sachen Sicherheit sein können. Als Anwender haben Sie hier letztlich nur zwei Optionen: Entweder verzichten Sie komplett auf die smarten Eigenschaften dieser Geräte, oder Sie kapseln sie zumindest so gut wie möglich in einem separaten WLAN-Netz ab.

Der Router im Fokus

Vielerorts ist der Router heute eine Komponente im Netzwerk, deren Existenz den Nutzern gar nicht mehr bewusst ist. Das Konzept von Masquerading und NAT ist bis heute auch wegen der mangelnden Verbreitung von IPv6 so ubiquitär, dass es ganz normal erscheint, solch ein Gerät irgendwo stehen zu haben. Dazu haben auch die verschiedenen Internet-Anbieter beigetragen, die ihre Router mit immer generischeren und immer offeneren Standardkonfigurationen ausliefern.

Es geht aber auch umgekehrt wie bei den Kollegen von Magenta-T, die ihre Speedport-Router mit so fehlerhaft implementierten Sicherheits-“Features” auslieferten, dass das normale Versenden von E-Mails nicht mehr möglich war und die Anwender frustriert gleich sämtliche Sicherheitsmaßnahmen auf den Geräten deaktivierten. Gerade im Kontext des IoT-Sicherheitsthemas spielt der Router in den eigenen vier Wänden aber eine relevante Rolle, und zwar aus mehreren Gründen.

Haben Sie schon einmal von uPNP gehört? Universal Plug and Play ist ein für Multimediageräte wie Audioplayer oder Kameras konzipiertes Protokoll, das es den Geräten erleichtern soll, sich untereinander zu finden. Gegen den Einsatz in den eigenen vier Wänden ist bei uPNP grundsätzlich auch nichts einzuwenden. Doch manche Router- und Internet-Anbietern konfigurieren die Geräte ab Werk so, dass sie uPNP-Ankündigungen von Geräten im LAN an die Außenwelt weiterleiten.

Wer also beispielsweise überwachen möchte, was der Hund während der eigenen Abwesenheit in der Wohnung treibt und dazu eine billige IP-Kamera beim Discounter anschafft, läuft Gefahr, unfreiwillig ein Live-Video aus der eigenen Bude ins Internet zu streamen – und zwar 24 Stunden am Tag. Wer das für ein übertriebenes Szenario hält, sei an Shodan (Abbildung 2) verwiesen: Der Dienst sammelt entsprechende Announcements weltweit und katalogisiert sie, sodass man sich mit den entsprechend ins Netz gestreamten Kameras unmittelbar verbinden kann.

Abbildung 2: Wer Abhörangriffe auf schlecht gesicherte Webcams per uPNP für eine ferne Utopie hält, sieht sich durch die Website Shodan eines Besseren belehrt. Quelle: Sebastian Hemel

Wem so ein Sicherheit-GAU unterläuft, der hat meist gleich mehrere Grundsätze der Internet-Sicherheit fröhlich ignoriert. Die oberste Regel lautet, die Standardpasswörter auf ausnahmslos jedem IoT-Gerät zu ändern, sobald es zu Hause live geht. Das Webcam-Beispiel setzt nämlich auch voraus, dass auf der Kamera noch die Standardkombination aus Benutzernamen und Passwort für den Zugriff aktiv ist. Wer diese Credentials nicht hat, sieht zwar noch den Stream, kann aber zumindest nicht mehr auf ihn zugreifen.

Darüber hinaus ist es für Sie an der Zeit, die Sicherheitseinstellungen des eigenen Routers genauer zu kontrollieren, falls Sie das bis dato noch nicht erledigt haben. Das Streamen von uPNP-Ankündigungen ins Internet sollten Sie jedenfalls dringend unterbinden, denn diese Funktion öffnet dem Missbrauch Tür und Tor.

Schwachstellen suchen

Bis hierhin hat dieser Artikel vorrangig Best Practices empfohlen, die darauf abzielen, den möglichen Angriffsvektor im IoT-Kontext so klein wie nur irgend möglich zu halten. Wer massiven Gebrauch von IoT-Geräten macht, dem genügt das aber möglicherweise nicht mehr: Dann gilt es, das eigene Netzwerk aktiv abzusichern, indem man etwa Software zum Einsatz bringt, die vorhandene Schwachstellen erkennt und Alarm schlägt.

Dass es beim Einsatz Dutzender IoT-Geräte von etlichen verschiedenen Herstellern kaum möglich ist, deren Sicherheitsankündigungen allesamt ständig zu verfolgen, liegt auf der Hand. Ein Werkzeug, das stattdessen aktiv auf eine auftretende ausnutzbare Schwachstelle hinweist, entlastet den Betreiber und macht die Überwachung implizit auch effizienter. Für Linux steht ein solcher Schwachstellenscanner zur Verfügung. Er stammt von der Firma Greenbone, gehört zur Greenbone Community Edition und hört auf den etwas sperrigen Namen OpenVAS-Scanner. Die Abkürzung OpenVAS steht für Open Vulnerability Assessment Scanner. Die Software wird sogar seitens des Bundesamts für Sicherheit in der Informationstechnologie (BSI) als Werkzeug zum Auffinden von Schwachstellen empfohlen.

Dazu wertet OpenVAS die regelmäßig erscheinenden Sicherheitsankündigungen von Stellen wie dem CERT oder der CVE aus, definiert maschinenlesbare Kriterien, nach denen es ein System als verwundbar identifiziert, und ermöglicht Suchläufe im Batch-Modus. Unter der Haube arbeitet OpenVAS dabei ein wenig wie ein klassisches Antivirenprogramm: Anhand von Signaturen versucht es, betroffene Systeme zu finden. Anders als bei AVsoftware gilt bei OpenVAS aber nicht nur das Finden einer konkreten Schadsoftware als Metrik für Erfolg, sondern auch das Identifizieren bestimmter Firmwareversionen auf Zielgeräten.

Es schadet nicht, sich in diesem Kontext in Erinnerung zu rufen, dass auch in den meisten IoT-Geräten ein kleiner Computer steckt, der verschiedene Details wie den genutzten Kernel oder die verwendete SSH-Version zur Außenwelt exponiert. Lässt man OpenVAS auf ein lokales Netz los, identifiziert es dort zunächst aktive Systeme und klopft diese danach anhand der eigenen Datenbank auf potenzielle Probleme ab. Für den Besitzer der Geräte im Netz ist das besonders praktisch, weil die Überprüfung ohne das händische Zutun einer Person abläuft, also vollkommen automatisch.

OpenVAS sinnvoll ausrollen

Will man eine eigene Instanz des Verwundbarkeitsscanners im lokalen Netz betreiben, empfiehlt es sich, das auf separater Hardware zu tun. Greenbone macht das mittlerweile relativ leicht: Ein aktueller Raspberry Pi bietet genug RAM und CPU, um die zur Lösung gehörenden Komponenten zu betreiben. Lediglich eine hinreichend große SD-Karte sollte im Gerät verbaut sein, um die zu OpenVAS gehörenden Dateien aufzunehmen.

Zudem bietet der Hersteller die für OpenVAS benötigten Komponenten in Form von handlichen Docker-Containern an, auch für den Raspberry Pi. In seiner Dokumentation erläutert Greenbone, wie Sie die Community-Edition von OpenVAS auf einem Raspberry Pi in Container-Form schnell zum Laufen bekommen. Dieser Weg sei hier ausdrücklich empfohlen, denn mehr als einen Raspberry Pi und das passende Docker-Compose-File benötigen Sie für diese Art des Deployments nicht [1].

OpenVAS umfasst im Hintergrund etliche Komponenten, die nur im Zusammenspiel sinnvolle Ergebnisse liefern. Mittels der Docker-Compose-Option lassen diese sich allesamt gleichzeitig und ideal aufeinander abgestimmt ausrollen. Die Alternative hierzu wäre die ebenfalls in der Dokumentation beschriebene Handarbeit. Die ist im Vergleich mit der Docker-Compose-Option aber unnötig komplex.

Haben Sie per Docker Compose alle Dienste auf dem Raspberry Pi an den Start gebracht, steht im nächsten Schritt bereits die Nutzung von dessen Dashboard auf dem Plan (Abbildung 3). Hierzu verbinden Sie sich per SSH mit dem Raspberry Pi und führen dann das Kommando aus Listing 1 aus – zumindest, wenn auf Ihrem PC eine grafische Oberfläche läuft. X11 steht sowohl für MacOS als auch für Windows zur Verfügung, und wer von einem Linux-Desktop aus auf OpenVAS zugreifen möchte, aktiviert in SSH einfach die Weiterleitung des X-Protokolls und ist im Rennen.

Abbildung 3: Nach dem ersten Deployment von OpenVAS von Greenbone sieht das Webinterface des Schwachstellenscanners noch leer aus. Quelle: Greenbone

$ xdg-open "http://127.0.0.1:9392" 2>/dev/null >/dev/null &

Der Greenbone Security Assistant gibt sich im weiteren Verlauf sehr benutzerfreundlich. Am oberen Bildschirmrand finden sich diverse Schalter für zentrale Aufgaben. Der wichtigste davon dürfte Scans sein: Hier definieren Sie nur noch das Netz, das OpenVAS durchkämmen soll, und schon geht es los. Der Scanner findet zuverlässig auf Linux oder ähnlichen Betriebssystemen basierte Geräte, deren diverse Signaturen in der Verwundbarkeitsdatenbank von CERT oder CVE einer konkreten Schwachstelle zugeordnet sind (Abbildung 4).

Abbildung 4: Nach den ersten Scans zeigt das Webinterface eine detaillierte Auswertung der lokalen Sicherheitslücken an, unter anderem für IoT-Geräte. Quelle: Greenbone

Über die Admin-Schnittstelle der Software lässt sich auch das Versenden von Benachrichtigungen aktivieren, denn der Greenbone Security Assistant kann bei entsprechender Konfiguration das lokale Netz periodisch durchsuchen und die Ergebnisse per E-Mail an den Admin verschicken.

Von einer laufenden Instanz des Greenbone Security Assistants profitiert übrigens nicht nur der IoT-Gerätezoo in einem Netzwerk. Selbstverständlich findet der Scanner auch offene Schwachstellen in normalen Systemen, also Desktop-Computern oder Laptops mit MacOS, Windows oder Linux. In Summe ist der Betrieb von OpenVAS in einem lokalen Netz jedenfalls ein echter Mehrwert in Sachen Sicherheit.

Aktive Angriffe erkennen

OpenVAS ist das ideale Werkzeug dafür, Schwachstellen zu erkennen und zu schließen, noch bevor sie ausgenutzt werden. Allerdings helfen Werkzeuge wie OpenVAS kaum noch weiter, wenn ein Angriff schon läuft. Hier kommt eine andere Art von Programm ins Spiel, das ebenfalls ohne größere Probleme zu Hause betrieben werden kann: ein sogenanntes Intrusion Detection System. Das bekannteste IDS der Open-Source-Szene dürfte Suricata sein, und tatsächlich finden sich im Netz mittlerweile auch etliche Suricata-Heuristik-Beschreibungen für Angriffe auf IoT-Geräte.

Folgerichtig sollten Sie die Fähigkeiten von Suricata und OpenVAS geschickt kombinieren: Falls OpenVAS als erste Bastion im Kampf gegen Angriffe scheitert, informiert Suricata Sie im besten Fall trotzdem über gerade stattfindende Angriffe. Es gibt eine Menge Anzeichen, die solch eine Attacke enttarnen können, etwa wenn das eigene Setup zu Hause plötzlich viel mehr Traffic produziert als noch vor Kurzem. Auch bestimmte Arten von Netzwerkverkehr sind verräterisch und geeignet, komplexe Angriffe aufzudecken.

Die gute Nachricht: Auch Suricata lässt sich als Anwendung in Form eines Containers mittlerweile problemlos auf dem Raspberry Pi nutzen. Jason Ish stellt hierfür eigene Container [2] zur Verfügung, deren Setup auf dem Raspberry Pi selbst im Prinzip ebenso funktioniert wie das von OpenVAS. Anders als OpenVAS kommt Suricata allerdings als einzelner Container daher, sodass Sie Docker Compose gar nicht benötigen. Es sei an dieser Stelle jedoch davon abgeraten, Suricata auf demselben RasPi zu betreiben wie OpenVAS: Dafür reichen die Ressourcen des Mini-Rechners schlicht nicht aus. Um beide Dienste zu nutzen, müssen Sie also zwei Mal für einen Raspberry Pi in die Tasche greifen, bekommen im Gegenzug aber auch ein deutlich sichereres Setup in den eigenen vier Wänden.

Wie Sie Suricata auf einem RasPi in Betrieb nehmen, können Sie online ausführlich nachlesen [3]. Die Anleitung bezieht sich zwar auf die lokal aus den Quellen übersetzte Version des Diensts, doch lassen sich die meisten Details wie die Konfigurationseinstellungen auch auf die Variante mit Docker-Containern übertragen. Zudem existieren im Netz etliche Seiten, die IoT-Heuristiken für Suricata anbieten. Diese Regelwerke versetzen die Anwendung überhaupt erst in die Lage, IoT-basierte Angriffe zu erkennen (Abbildung 5). Auch unter den ab Werk in Suricata eingestellten Quellen für Heuristiken finden sich schon einige IoT-Parameter.

Abbildung 5: Suricata erkennt keine vorhandenen Sicherheitslücken, sondern nutzt heuristische Betrachtungen, um laufende Angriffe aufzudecken. Quelle: Wikipedia / Linux Screenshots

Auf eine externe Abhängigkeit sei an dieser Stelle jedoch hingewiesen: Damit Suricata sinnvoll den Traffic innerhalb des gesamten eigenen Netzwerks überwachen kann, muss der Router eine sogenannte Mirror-Funktion bieten. Das bedeutet, dass er allen durchfließenden Datenverkehr auf einen Port am Gerät spiegelt, sodass es so aussieht, als flösse der gesamte Traffic durch diesen Port. Beherrscht der eigene Router diese Funktion nicht, fällt gegebenenfalls etwas Bastelei mit einem verwaltbaren Switch an – diese Geräte bieten das Mirror-Feature in aller Regel. Genauere Details dazu hängen aber stark vom lokalen Setup ab, sodass es bei dieser allgemeinen Beschreibung bleiben muss.

Fazit

Auch Heimanwender sind in Sachen Sicherheit nicht völlig der Willkür von Anbietern ausgeliefert. Starke Werkzeuge aus der Linux-Welt wie OpenVAS und Suricata helfen dabei, Angriffe im Keim zu ersticken oder sie zumindest zu erkennen, wenn sie bereits geschehen, sodass man noch reagieren kann. Darüber hinaus gelten auch im Kontext von IoT-Geräten die goldenen Standards der Internet-Sicherheit: Regelmäßige Updates, um Bugfixes zu bekommen, kluge Standardkonfigurationen von Geräten wie Routern und das Vermeiden von Standardzugangsdaten verursachen wenig Aufwand, sind aber hoch effektiv. Nutzer von IoT-Geräten tun gut daran, Regeln wie diese zu beherzigen – letztlich ist das der Preis, den man für den Komfort mancher IoT-Appliance zahlt. (jlu)