· Rexoma Team · IT-Sicherheit  · 5 min read

IoT-Sicherheit für KMU: Smarte Geräte im Firmennetz absichern

IP-Kameras, Drucker, smarte Thermostate und PV-Wechselrichter hängen in vielen Firmennetzen – oft ungepatcht und mit Standardpasswort. So sichern KMU ihre IoT-Geräte ab.

IP-Kameras, Drucker, smarte Thermostate und PV-Wechselrichter hängen in vielen Firmennetzen – oft ungepatcht und mit Standardpasswort. So sichern KMU ihre IoT-Geräte ab.

Gehackte Überwachungskameras, über die fremde Nachrichtendienste Transportwege ausspähen. Photovoltaik-Wechselrichter, die sich aus der Ferne abschalten lassen und ganze Anlagen lahmlegen. Beide Meldungen stammen aus derselben Woche – und beide haben denselben Kern: Vernetzte Geräte, die niemand als „richtige” IT wahrnimmt, werden zum Einfallstor. In den meisten Firmennetzen hängen heute deutlich mehr solcher Geräte, als der Geschäftsführung bewusst ist: IP-Kameras, Multifunktionsdrucker, smarte Thermostate, Konferenzraum-Displays, Zutrittssysteme, Wechselrichter der eigenen PV-Anlage. Für KMU in Dresden und Sachsen lohnt sich deshalb ein nüchterner Blick auf die eigene IoT-Landschaft – bevor es jemand anderes tut.

Warum IoT-Geräte ein unterschätztes Risiko sind

Ein Laptop bekommt Updates, hat einen Virenschutz und wird irgendwann ausgetauscht. Ein vernetzter Drucker oder eine IP-Kamera läuft dagegen oft fünf bis zehn Jahre – häufig mit der Firmware, die bei der Installation aufgespielt wurde, und nicht selten mit dem Standardpasswort ab Werk. Genau das macht diese Geräte für Angreifer attraktiv:

  • Kein Patch-Management: IoT-Geräte tauchen in keiner Update-Routine auf. Bekannte Sicherheitslücken bleiben jahrelang offen, selbst wenn der Hersteller längst Patches bereitstellt.
  • Standardzugänge: Viele Geräte werden mit werksseitigen Zugangsdaten betrieben, die in öffentlichen Datenbanken stehen und automatisiert durchprobiert werden.
  • Volle Netzwerkintegration: Kamera und Buchhaltungsserver hängen im selben Netz. Wer die Kamera übernimmt, kann sich von dort weiter durchs Netzwerk bewegen.
  • Cloud-Zwang: Viele Geräte bauen dauerhaft Verbindungen zu Hersteller-Clouds auf – teils in Länder, in die keine Firmendaten fließen sollten. Fällt die Cloud aus oder wird sie kompromittiert, ist das eigene Gerät mitbetroffen.
  • Unsichtbarkeit: Was nicht inventarisiert ist, wird nicht geschützt. IoT-Geräte werden oft von der Haustechnik oder einzelnen Abteilungen beschafft, ohne dass die IT davon erfährt.

Welche Geräte in KMU typischerweise betroffen sind

In einem durchschnittlichen Unternehmen mit 20 bis 100 Mitarbeitenden finden sich fast immer mehrere dieser Kategorien im Netzwerk:

  • Multifunktionsdrucker und Scanner – speichern Dokumente zwischen, kennen E-Mail-Zugangsdaten für Scan-to-Mail und sind von jedem Arbeitsplatz erreichbar
  • IP-Kameras und Videoüberwachung – liefern im Kompromittierungsfall Livebilder aus Produktion, Lager oder Empfang
  • Zutrittskontrollen und smarte Türschlösser – steuern physischen Zugang zum Gebäude
  • Gebäudetechnik – Heizungssteuerung, Klimaanlagen, Beleuchtung, oft vom Installateur mit Fernwartungszugang eingerichtet
  • Konferenzraumtechnik – smarte Displays, Raumbuchungssysteme, Videokonferenz-Hardware
  • PV-Wechselrichter und Energiemanagement – zunehmend verbreitet, meist mit dauerhafter Cloud-Anbindung an den Hersteller
  • Kassensysteme und Zeiterfassungsterminals – verarbeiten teils personenbezogene und zahlungsrelevante Daten

Schritt-für-Schritt: IoT-Geräte im Firmennetz absichern

Schritt 1: Bestandsaufnahme machen

Der erste Schritt ist ein vollständiges Inventar: Welche vernetzten Geräte gibt es, wer hat sie beschafft, wie sind sie erreichbar, wann kam das letzte Firmware-Update? Ein Netzwerkscan bringt dabei regelmäßig Geräte ans Licht, von denen niemand mehr wusste. Wer bereits ein IT-Asset-Management betreibt, nimmt IoT-Geräte dort einfach mit auf.

Schritt 2: Standardpasswörter ersetzen und Zugänge härten

Jedes Gerät bekommt ein individuelles, starkes Passwort. Web-Oberflächen, die niemand braucht, werden deaktiviert; Fernzugriffe aus dem Internet grundsätzlich abgeschaltet oder durch ein VPN ersetzt. UPnP am Router gehört deaktiviert – es erlaubt Geräten, sich selbstständig Portfreigaben ins Internet zu öffnen.

Schritt 3: IoT-Geräte in ein eigenes Netzsegment verlegen

Die wirksamste Einzelmaßnahme: IoT-Geräte gehören in ein eigenes VLAN, getrennt von Arbeitsplätzen und Servern. Die Firewall erlaubt dann nur die Verbindungen, die das Gerät tatsächlich braucht – der Drucker darf vom Büronetz erreicht werden, die Kamera funkt nur zum Aufzeichnungsserver, und keines der Geräte darf von sich aus ins interne Netz. Wie das praktisch funktioniert, zeigt unser Beitrag zur Netzwerksegmentierung mit VLANs.

Schritt 4: Firmware-Updates einplanen

IoT-Geräte gehören in denselben Update-Rhythmus wie Server und Arbeitsplätze – etwa quartalsweise ein fester Termin, an dem Firmware-Stände geprüft und aktualisiert werden. Geräte, für die der Hersteller keine Updates mehr liefert, gehören auf eine Austauschliste oder in ein besonders restriktives Netzsegment.

Schritt 5: Beschaffung regeln

Künftige Probleme lassen sich beim Einkauf vermeiden: Neue vernetzte Geräte sollten Update-Zusagen des Herstellers, änderbare Zugangsdaten und einen Betrieb ohne Cloud-Zwang bieten. Seit Ende 2027 greift zudem der EU Cyber Resilience Act, der Hersteller vernetzter Produkte zu Sicherheitsupdates über den Produktlebenszyklus verpflichtet – ein nützliches Kriterium, das man schon heute abfragen kann. Und: Jede Beschaffung vernetzter Technik läuft über die IT – auch wenn die Klimaanlage vom Haustechniker kommt.

Praxisblick: Dresdner KMU und ihre unsichtbaren Geräte

Ein typisches Produktionsunternehmen im Raum Dresden mit 50 Mitarbeitenden hat schnell 30 bis 60 vernetzte Geräte im Einsatz, die keine klassischen Computer sind – von der Kamera an der Laderampe über Drucker in drei Etagen bis zum Wechselrichter auf dem Dach. Werden diese Geräte im selben Netz wie ERP-Server und Buchhaltung betrieben, genügt eine einzige ungepatchte Kamera als Sprungbrett ins Firmennetz. Mit sauberer Segmentierung, gehärteten Zugängen und einem gepflegten Inventar sinkt dieses Risiko drastisch – ohne dass ein einziges Gerät ersetzt werden muss.

Rexoma unterstützt KMU in Dresden

Sie wissen nicht genau, welche vernetzten Geräte in Ihrem Firmennetz hängen – oder möchten Kameras, Drucker und Gebäudetechnik sauber vom Rest Ihrer IT trennen? Rexoma unterstützt KMU in Dresden und Sachsen bei Netzwerkanalyse, VLAN-Segmentierung mit professionellen Firewalls und dem Aufbau eines Update-Prozesses, der auch IoT-Geräte einschließt. Sprechen Sie uns an – wir verschaffen Ihnen zuerst einen Überblick.

FAQ

Sind IoT-Geräte wirklich ein realistisches Angriffsziel für kleine Unternehmen? Ja. Angriffe auf IoT-Geräte laufen überwiegend automatisiert: Scanner durchsuchen das Internet permanent nach erreichbaren Kameras, Routern und Druckern mit bekannten Lücken oder Standardpasswörtern. Die Unternehmensgröße spielt dabei keine Rolle.

Reicht es, IoT-Geräte einfach vom Internet fernzuhalten? Das senkt das Risiko deutlich, reicht aber allein nicht. Auch ein Gerät ohne Internetzugang kann als Sprungbrett dienen, wenn ein Angreifer bereits im Netzwerk ist – etwa über einen kompromittierten Arbeitsplatz. Die Trennung in ein eigenes VLAN bleibt deshalb wichtig.

Was tun mit alten Geräten, für die es keine Updates mehr gibt? Wenn ein Austausch kurzfristig nicht möglich ist: in ein streng isoliertes Netzsegment verlegen, jeden nicht zwingend nötigen Netzwerkzugriff per Firewall unterbinden und den Austausch fest einplanen. Dauerhaft ist der Betrieb ungepatchter Geräte keine Option.

Wie finde ich heraus, welche IoT-Geräte in meinem Netzwerk aktiv sind? Ein Netzwerkscan in Kombination mit einem Blick in die DHCP-Vergabeliste des Routers oder der Firewall zeigt alle aktiven Geräte. Bei größeren Netzen helfen Inventarisierungswerkzeuge, die Geräte automatisch erkennen und klassifizieren.

Gilt der EU Cyber Resilience Act auch für Geräte, die ich schon besitze? Nein, der Cyber Resilience Act verpflichtet Hersteller für neu in Verkehr gebrachte Produkte. Für den Bestand bleibt das Unternehmen selbst verantwortlich – umso wichtiger sind Segmentierung und regelmäßige Firmware-Prüfungen bei vorhandenen Geräten.

Back to Blog

Related Posts

View All Posts »