Smart Home: Einfallstor für Hacker?

“Immer mehr Intelligente Produkte halten Einzug in unseren Alltag: W-LAN-Drucker, Bluetooth-Lautsprecher, zeitgesteuerte Sprinkler, ferngesteuerte Kaffeeautomaten und smarte Zahnbürsten. Die Geräte erscheinen harmlos, bereiten aber Experten für Cybersicherheit Kopfzerbrechen, weil sie ein Einfallstor für Hacker sind”, sagt Philipp von Königsmarck, Head of Wholesale für Deutschland, Österreich und Luxemburg bei Legal & General Investment Management (LGIM). Sicherheitslösungen, die Schutz vor Angriffen auf Internet-of-Things-Geräte (IoT) bieten, würden noch viel zu wenig genutzt. Anleger, die auf diesen wachsenden Markt setzen möchten, könnten in Unternehmen investieren, die Produkte oder Dienstleistungen für Cybersicherheit bieten:

“Der Trend ist unübersehbar: Trotz Chip-Knappheit im vergangenen Jahr wird die Anzahl der Internet-of-Things-Geräte für 2022 auf 14,4 Milliarden weltweit geschätzt. Das entspricht einem Anstieg von 18 Prozent gegenüber 2021.

Für die Verbraucher verspricht diese neue Generation von Haushaltsgeräten neue Funktionen und eine bequemere Steuerung über ein Smartphone. Aber intelligente Geräte schaffen auch potenzielle Sicherheitslücken. Immer mehr Produkte des täglichen Lebens nutzen standardmäßig das WLAN-Passwort des Haushalts. Für einen Hacker ist jedes Gerät, das mit einem Netzwerk verbunden ist, ein potenzielles Einfallstor für Manipulation.

Sicherheitslücken durch IoT-Geräte

Die Zahl der Sicherheitslücken im Zusammenhang mit IoT-Geräten ist im Jahr 2022 um 16 Prozent gestiegen – die Gesamtzahl aller IT-Sicherheitslücken hingegen lediglich um 0,4 Prozent. Im Vergleich zu Laptops und Mobiltelefonen stellen IoT-Geräte ein weitgehend übersehenes Segment für Cyberangriffe dar. Während die Software von PCs oder Mobiltelefone regelmäßige aktualisiert wird, um Sicherheitslücken zu beheben, werden IoT-Geräte nach ihrer Bereitstellung typischerweise vernachlässigt.

Für Unternehmen werden IoT-Sicherheitsmängel zunehmend zum Problem, seit die Pandemie das hybride Arbeiten etabliert hat. In einer Büroumgebung sind die potentziellen Schwachstellen bekannt, da nur vom Unternehmen gekaufte Geräte dem Netzwerk beitreten können. Heutzutage nutzen Mitarbeiter jedoch ihr Heimnetzwerk als Sprungbrett zum Unternehmensnetzwerk, verbunden mit einer beliebigen Anzahl potenziell unsicherer IoT-Geräte.

Cybersicherheit gleicht einem Katz- und Mausspiel, bei dem Angreifer ständig Systeme sondieren, um unbemerkt an wertvolle Informationen zu gelangen. IoT-Geräte sind dabei ein bevorzugtes Ziel für Hacker:

• Firmware-Angriffe: Die Firmware – die Software, die der Betriebssystemumgebung vorgelagert ist – ist nicht immun gegen Angriffe. Die Firmware von IoT-Geräten entwickelt sich oft zur Schwachstelle, weil Benutzer entweder keine Sicherheitsupdates erhalten oder sie nicht installieren.
• Angriffe auf Zugangsdaten: Während die meisten Nutzer ihrem Mobiltelefon wichtige Daten nur mit Passwort oder Gesichtserkennung anvertrauen, richten sie bei intelligenten Geräten Standard-Benutzernamen und -Passwörter ein. Hersteller von IoT-Geräten veröffentlichen diese Daten sogar, und öffentliche Datenbanken machen es einfach, nach den Zugangsdaten zu suchen.
• Denial of Service (DoS)-Angriffe: Intelligente Geräte können dazu missbraucht werden, Server mit Webverkehr zu bombardieren, so dass sie nicht mehr in der Lage sind, legitime Anfragen zu bearbeiten. Ein verteilter DDoS-Angriff (Distributed Denial of Service) verläuft nach ähnlichem Muster – hier wird lediglich ein Netzwerk von Geräten verwendet, so dass der Angriff schwerer abzuwehren ist.
• On-Path-Angriffe: Auch bekannt als "Man-in-the-Middle-Angriff", bei dem ein Angreifer mitten in einem Gespräch zwischen zwei Parteien, die einander vertrauen, auf den Datenfluss zugreifen und ihn verändern kann. Genauso wie gehackte E-Mail-Server und ein ungesichertes öffentliches WLAN solche Angriffe erleichtern können, werden auch die typischerweise unverschlüsselten Daten eines IoT-Geräts von Cyberkriminellen dafür genutzt.

Um diese Angriffe abzuwehren, benötigen Unternehmen und Institutionen Sicherheitslösungen, die Transparenz und Schutz für die gesamte IT bieten, also nicht nur für interne IT-Systeme, sondern auch für Endgeräte, deren Nutzer sich der Gefahr nicht bewusst sind.

Wer Cybersicherheit als ein zentrales Thema für Wirtschaft und Gesellschaft einstuft, kann in Unternehmen, die vielschichtige Sicherheitslösungen bieten, investieren. Allerdings ist es nicht unbedingt einfach, die richtigen Unternehmen zu identifizieren, denn viele der Anbieter von Lösungen gegen Cyber-Kriminalität sind junge und dynamische Unternehmen auf Wachstumskurs. Der Markt verändert sich schnell, und wer heute vergleichsweise klein und unbedeutend ist, kann morgen zu den Gewinnern gehören – oder auch nicht. Einen Ausweg kann ein ETF bieten, der einerseits auf das Thema fokussiert, andererseits innerhalb seines Fokus‘ so breit aufgestellt ist, dass er die Chance eröffnet, heute schon in die Gewinner von morgen zu investieren.”

Cybersecurity-ETFs

• Der L&G Cyber Security UCITS ETF (IE00BYPLS672) umfasst derzeit knapp über 40 Unternehmen, die Dienstleistungen und Produkte rund um Cybersicherheit wie Viren- & Malwareschutz, Email-und Datenverschlüsselung, Biometrik & ID sowie cloudbasierte Sicherheitslösungen anbieten. Der ETF wurde 2015 aufgelegt und repliziert den ISE Cyber Security UCITS Index, der vom Research & Development-Team der Nasdaq entwickelt wurde.
• Der L&G Emerging Cyber Security ESG Exclusions UCITS ETF (IE000ST40PX8) ist 2022 aufgelegt worden und ergänzt den L&G Cyber Security. Er setzt auf Wachstumsunternehmen, die sich auf Hardwaresicherheit, Threat Intelligence und Blockchain-gestützte Sicherheitslösungen konzentrieren – zusätzlich zu Wachstumssegmenten wie Cloud- und netzwerkbezogene Sicherheitslösungen, die auch im älteren Fonds enthalten sind. Er bildet den Solactive Emerging Cyber Security Index mit knapp 40 Titeln ab.