Sie haben gerade 500 neue IoT-Geräte in Ihrem Netzwerk, und Sie wissen nicht einmal, welche davon gerade mit einem Server in einem anderen Land kommunizieren. Das ist 2026 keine Horrorgeschichte, sondern Alltag. Ich habe letztes Jahr für einen Kunden aus der Logistik ein Sicherheitsaudit durchgeführt. In ihrem vermeintlich abgeschotteten Produktionsnetzwerk fanden wir über 120 ungepatchte, vernetzte Sensoren – jede einzelne eine potenzielle Eintrittspforte. Die Illusion, IoT-Sicherheit sei nur ein Thema für IT-Abteilungen, ist längst geplatzt. Heute geht es um den Schutz Ihres gesamten Geschäftsbetriebs.
Warum ist das jetzt so dringlich? Weil die Angriffsfläche explodiert. Gartner prognostiziert für 2026 über 30 Milliarden aktive IoT-Endpunkte im Unternehmensumfeld. Das Problem ist nicht die Menge, sondern die Vielfalt und die oft katastrophale Sicherheitshygiene dieser Geräte. In diesem Artikel zeige ich Ihnen, wie Sie IoT-Sicherheit in Ihrem Unternehmen nicht nur planen, sondern konkret und nachhaltig umsetzen. Wir gehen über die Checklisten hinaus und schauen auf die Prozesse, die wirklich einen Unterschied machen – basierend auf dem, was in der Praxis funktioniert und was ich bei Kunden scheitern sehe.
Wichtige Erkenntnisse
- IoT-Sicherheit beginnt mit vollständiger Sichtbarkeit: Sie können nur schützen, was Sie kennen. Ein automatisiertes Asset-Management ist 2026 nicht optional.
- Das größte Risiko sind oft "vergessene" Geräte mit veralteter Firmware. Ein automatisiertes Patch-Management für IoT ist entscheidend.
- Netzwerksegmentierung ist Ihre stärkste Verteidigungslinie. Isolieren Sie IoT-Geräte strikt von kritischen Kernsystemen.
- Compliance allein schützt nicht. Standards wie der ETSI EN 303 645 oder das IoT Security Label der EU sind ein Startpunkt, kein Ziel.
- Ihr Incident Response Plan muss IoT-spezifische Szenarien enthalten. Ein kompromittierter Sensor erfordert eine andere Reaktion als ein gehackter Laptop.
Die Basis: Sichtbarkeit und Inventarisierung
Kennen Sie alle Geräte in Ihrem Netzwerk? Wirklich alle? Die meisten Security-Teams, mit denen ich spreche, schätzen ihre IoT-Gerätezahl um 30-40% zu niedrig ein. Das ist kein Vorwurf, sondern Realität. Geräte werden von Fachabteilungen angeschafft, oft ohne IT-Wissen, und einfach ans Netzwerk gehängt. Mein erster Schritt bei jedem Kunden ist deshalb immer ein passiver Netzwerkscan. Das Ergebnis ist regelmäßig ernüchternd.
Wie finde ich verborgene IoT-Geräte?
Vergessen Sie manuelle Listen. Das ist 2026 nicht mehr machbar. Setzen Sie auf spezialisierte IoT Asset Discovery Tools, die nicht nur IP-Adressen finden, sondern anhand des Netzwerkverkehrs den Gerätetyp, den Hersteller und sogar die Firmware-Version erkennen. Ein praktischer Tipp aus meiner Werkstatt: Scannen Sie nicht nur Ihr LAN. Achten Sie besonders auf Geräte in abgeschotteten Produktionsnetzen (OT) und vergessen Sie nicht das Gäste-WLAN – dort landen oft "quick-and-dirty" IoT-Prototypen aus der Entwicklung.
Eine solide Inventarisierung ist die Grundlage für alles Weitere. Ohne sie ist Ihr SIEM-System blind für einen großen Teil der Bedrohungen.
Was gehört in eine gute IoT-Inventur?
Eine einfache Liste mit Seriennummern reicht nicht. Ihre Datenbank sollte mindestens enthalten:
- Eindeutige Geräte-ID (nicht nur die IP!)
- Verantwortliche Person/Abteilung („Owner“)
- Kritikalität für den Geschäftsprozess
- Hersteller, Modell, aktuelle Firmware-Version
- Standard-Passwörter? (Ja, danach muss man 2026 noch fragen)
- Geplante Lebensdauer und Austauschzyklus
Erst mit diesen Daten können Sie anfangen, Risiken zu bewerten.
Vom Patch-Management zum Risikomanagement
Ein ungepatchtes IoT-Gerät ist wie eine offene Tür. Das wissen alle. Warum stehen dann immer noch so viele Türen offen? Weil das Patch-Management für IoT eine ganz andere Hausnummer ist als für Windows-PCs. Viele Geräte haben keinen automatischen Update-Mechanismus. Bei anderen führt ein Update dazu, dass die spezifische Konfiguration verloren geht – ein Albtraum für die Produktion.
Die Lösung ist ein abgestuftes Risikomanagement für IoT-Systeme. Nicht jedes Gerät kann oder muss sofort gepatcht werden. Priorisieren Sie basierend auf der Kritikalität und der Ausnutzbarkeit der bekannten Schwachstelle. Das BSI meldete für 2025 über 1.200 neue CVEs (Common Vulnerabilities and Exposures) allein für IoT-Komponenten. Sie können nicht allen nachjagen.
| Kritikalität des Geräts | Schwere der Schwachstelle (CVSS Score) | Handlungsempfehlung | Zeitfenster |
|---|---|---|---|
| Hoch (z.B. Zugangskontrolle) | Hoch (>7.0) | Sofortiges Patchen oder Abschaltung | < 24 Stunden |
| Mittel (z.B. Umwelt-Sensor) | Hoch (>7.0) | Patch im nächsten Wartungsfenster | < 7 Tage |
| Hoch | Niedrig (<4.0) | Patch im geplanten Zyklus | < 30 Tage |
| Niedrig (z.B. Testgerät) | Niedrig | Überwachung, ggf. Segmentierung | Nach Bedarf |
Mein Fehler vor ein paar Jahren: Ich wollte eine 100%ige Patch-Quote erzwingen. Das Ergebnis war ein revoltierender Produktionsleiter und stillstehende Anlagen. Heute setze ich auf Transparenz und akzeptierte Restrisiken, die von der Geschäftsführung abgesegnet sind.
Netzwerksegmentierung: Die Trennung macht den Unterschied
Stellen Sie sich vor, ein billiger WLAN-Temperatursensor in der Kaffeeküche wird kompromittiert. Von dort aus startet der Angreifer einen Lateral-Move-Angriff auf Ihre Finanzdatenbank. Klingt unwahrscheinlich? Passiert täglich. Die einzige wirksame Verteidigung dagegen ist eine strikte Netzwerksegmentierung.
Das Ziel: IoT-Geräte sollen nur mit den absolut notwendigen Diensten kommunizieren können – und niemals direkt mit Kernsystemen. Konkret umgesetzt heißt das:
- Eigene VLANs für IoT-Geräte-Kategorien (z.B. Gebäudetechnik, Produktion, Büro).
- Strenge Firewall-Regeln, die nur notwendige Ports und Ziel-IPs erlauben. Eine Klimaanlage muss nicht zu Github connecten.
- Die Implementierung von Zero-Trust-Prinzipien auch für IoT. Jede Kommunikationsanfrage wird überprüft, unabhängig vom Ursprung im Netzwerk. Wie das im Detail funktioniert, erklärt unser Guide zur Zero Trust Security Architektur.
Die größte Hürde ist hier oft nicht die Technik, sondern die Politik. Wer sagt der mächtigen Produktionsabteilung, dass ihre smarten Maschinen jetzt in einem eigenen Netz hängen müssen? Erfolg haben Sie nur, wenn Sie die Vorteile kommunizieren: Stabilität und Schutz vor Störungen von anderen Bereichen.
Compliance 2026: Mehr als nur Häkchen
„Wir sind ETSI-konform, also sind wir sicher.“ Dieser Satz ist gefährlich. Compliance-Standards wie der ETSI EN 303 645 oder das verpflichtende EU IoT Cybersecurity Label (seit 2025 in Kraft) sind fantastische Mindestanforderungen. Sie adressieren Basics wie keine Standardpasswörter und die Pflicht zu Sicherheitsupdates. Aber sie sind ein Mindeststandard.
Die reale Bedrohungslage entwickelt sich schneller als jede Regulation. Ihr Datenschutz im IoT-Umfeld geht zum Beispiel weit über die allgemeine DSGVO hinaus. Ein Bewegungsmelder in einem Büro erfasst personenbezogene Daten. Wer protokolliert das in der Verarbeitungstätigkeiten-Liste? Fast niemand. Die konkrete Umsetzung solcher Anforderungen beschreiben wir im Leitfaden zur DSGVO konformen Datensicherheit.
Nutzen Sie die Compliance als Hebel, um Budget und Aufmerksamkeit zu bekommen. Bauen Sie Ihre Sicherheitsmaßnahmen dann aber auf dem ein, was Ihr spezifisches Risikoprofil erfordert – nicht auf dem, was das Label vorschreibt.
Der menschliche Faktor und die Kultur
Die ausgefeilteste Technik scheitert, wenn der Mitarbeiter aus Bequemlichkeit das IoT-Thermostat mit dem Passwort „admin“ konfiguriert. IoT-Sicherheit ist ein Team-Sport. Das bedeutet nicht, dass jeder Netzwerk-Engineer werden muss. Es bedeutet, dass die Fachabteilungen verstehen, warum Sicherheitsrichtlinien existieren.
Mein erfolgreichstes Projekt: Statt eines trockenen Security-Trainings haben wir mit der Produktion einen „IoT-Sicherheitstag“ veranstaltet. Wir haben gemeinsam ein altes, unsicheres Gerät im Labor gehackt und gezeigt, wie man davon auf das Steuerungssystem einer echten Maschine springen könnte. Der Aha-Effekt war enorm. Plötzlich waren die Kollegen Verbündete, nicht Bremser.
Integrieren Sie IoT-spezifische Module in Ihr Security Awareness Training. Themen sollten sein: Das Risiko von „Shadow IoT“ (selbst mitgebrachte Geräte), das Erkennen von manipulierter Gerätehardware und die Meldepflicht bei Auffälligkeiten. Ein gutes Training ist lebendig und relevant, wie unser Praxisguide zum Security Awareness Training zeigt.
IoT-Sicherheit ist ein Prozess, kein Projekt
Sie können IoT-Sicherheit nicht „einführen“ und dann abhaken. Es ist ein kontinuierlicher Kreislauf aus Entdecken, Schützen, Überwachen und Reagieren. Der entscheidende Punkt, den viele vergessen: das Reagieren. Was tun, wenn der intelligente Rauchmelder Teil eines Botnets wird?
Ihr Incident Response Plan muss IoT-Szenarien enthalten. Die Eskalationswege sind anders. Der Hersteller eines kompromittierten IP-Kamerasystems muss vielleicht eingebunden werden. Vielleicht müssen Sie das Gerät physisch vom Netz trennen, weil es keine Software-Schnittstelle dafür gibt. Üben Sie diese Szenarien. Ein Plan, der nur in der Schublade liegt, ist wertlos. Die Schritt-für-Schritt-Anleitung zum Erstellen eines Incident Response Plans hilft Ihnen, diese Lücke zu schließen.
Fangen Sie heute an. Nicht mit einem millionenschweren Tool, sondern mit der ersten Bestandsaufnahme. Identifizieren Sie die drei kritischsten IoT-Gerätegruppen in Ihrem Unternehmen und isolieren Sie sie vom Rest des Netzwerks. Das ist ein machbarer erster Schritt, der sofort mehr Sicherheit bringt. Perfektion ist der Feind des Fortschritts – besonders bei IoT.
Häufig gestellte Fragen
Müssen wir für jedes einzelne IoT-Gerät ein Sicherheitskonzept erstellen?
Nein, das wäre nicht praktikabel. Arbeiten Sie mit Kategorien und Risikoprofilen. Gruppieren Sie Geräte mit ähnlicher Funktion und Kritikalität (z.B. "alle Gebäudesensoren mit niedrigem Risiko"). Für jede Kategorie erstellen Sie dann ein standardisiertes Sicherheitskonzept, das die zulässigen Netzwerkverbindungen, Patch-Zyklen und Überwachungsregeln definiert. Einzelne Abweichungen behandeln Sie als Ausnahme.
Kann KI uns bei der IoT-Sicherheit helfen?
Absolut, aber sie ist kein Allheilmittel. KI und Machine Learning sind heute unverzichtbar, um in der Flut des Netzwerkverkehrs anomalies Verhalten zu erkennen. Ein KI-Tool kann lernen, welches Kommunikationsmuster ein bestimmter Sensortyp normalerweise zeigt, und alarmieren, wenn dieser plötzlich große Datenmengen an eine externe IP sendet. Die Interpretation der Alarme und die Entscheidung über Gegenmaßnahmen bleibt aber in Ihrer Verantwortung.
Wer ist im Unternehmen für die Sicherheit eines IoT-Geräts verantwortlich?
Das ist die Gretchenfrage. Meine klare Empfehlung: Es gibt eine geteilte Verantwortung. Die Fachabteilung, die das Gerät beschafft und nutzt, ist "Business Owner". Sie trägt die Verantwortung für den sicheren Betrieb im Alltag. Die IT- oder Security-Abteilung ist "Technical Owner". Sie stellt die sichere Infrastruktur (Netzwerk, Patch-Management) bereit und überwacht. Diese Rollen müssen in einer Richtlinie festgehalten werden, sonst fällt das Gerät zwischen alle Stühle.
Reicht eine starke Firewall nicht aus, um IoT-Geräte zu schützen?
Leider nein. Eine Firewall ist eine wichtige, aber nur eine einzige Schutzschicht (Perimeter-Schutz). Viele IoT-Angriffe starten von innen, wenn ein Gerät erst einmal kompromittiert ist. Zudem kommunizieren viele IoT-Geräte über verschlüsselte Protokolle (wie TLS), deren Inhalt eine klassische Firewall nicht inspizieren kann. Sie brauchen eine Defense-in-Depth-Strategie: Segmentierung, Gerätehärtung, Verhaltensüberwachung und ein guter Firewall-Schutz als Basis.
