Was sind Embedded Devices – und warum sind sie ein Sicherheitsrisiko?
Als Embedded Devices bezeichnet man netzwerkfähige Geräte mit eingebetteter Firmware, die einen spezifischen Zweck erfüllen – im Gegensatz zu allgemeinen Computern. Sie finden sich in jedem Unternehmen, oft ohne dass die IT-Abteilung sie alle im Blick hat.
All diese Geräte haben eines gemeinsam: Sie implementieren netzwerkbasierte Dienste – HTTP(S), FTP, Telnet, SNMP, SSH – und schützen den Zugriff darauf in der Regel mit einem Passwort. Und genau dieses Passwort ist das Problem.
BSI-Definition (BSI-CS 069): Embedded Devices sind netzwerkfähige Komponenten mit eingebetteter Firmware, die ähnliche Dienste wie Serversysteme implementieren – jedoch ohne die typischen Sicherheitsmechanismen moderner IT-Infrastruktur.
Standardpasswörter & Backdoors: Die unterschätzte Gefahr
Embedded Devices werden fast ausnahmslos mit voreingestellten Standardpasswörtern ausgeliefert. Das BSI stellt in seiner Veröffentlichung BSI-CS 069 fest: Diese Passwörter lassen sich „anhand der oftmals online verfügbaren Produktdokumentation oder über Onlineforen einfach in Erfahrung bringen." Benutzernamen sind häufig sogar direkt aus der Weboberfläche ablesbar – etwa als Dropdown-Liste vorhandener Konten.
Da eine Änderung dieser vordefinierten Zugangsdaten bei der Integration und Inbetriebnahme häufig unterbleibt, kann ein Angreifer Vollzugriff auf das Gerät erlangen, ohne Schadsoftware oder spezielle Tools einzusetzen. Ein einfacher Browser reicht aus.
Das Gerät wird mit einem dokumentierten Default-Passwort ausgeliefert (z. B. "admin/admin", "admin/password", "user/1234"). Das Passwort lässt sich ändern – wird aber im Betrieb oft nicht geändert. Diese Passwörter sind auf Webseiten wie RouterPasswords.com oder in Produkthandbüchern frei zugänglich.
Kritischer: Passwörter, die fest in der Firmware implementiert sind und vom Nutzer nicht geändert werden können. Teils aus der Entwicklungsphase übrig geblieben, teils absichtlich als Wartungszugang eingebaut. Für Industriesteuerungen (SPS) bedeutet das: Ein Angreifer kann die Konfiguration verändern, Schadsoftware installieren oder das Steuerprogramm gegen ein manipuliertes austauschen.
Besonders gefährlich: In vielen Unternehmen werden Embedded Devices wie Router, Drucker oder Kameras einmalig eingerichtet und dann jahrelang nicht mehr angerührt. Security-Updates bleiben aus, Passwörter werden nie geändert – und niemand prüft, ob diese Geräte von außen erreichbar sind.
Keine Theorie: Reale Angriffe und ihre Zahlen
Die Bedrohung durch schlecht gesicherte Embedded Devices ist keine akademische Übung. Das BSI dokumentiert in seinen Veröffentlichungen mehrere aufsehenerregende Vorfälle:
Eine Hackergruppe kompromittierte Überwachungskameras in Banken, um Bildschirminhalte und Tastatureingaben auszuspähen, Mitarbeiter als Spear-Phishing-Ziele zu identifizieren und Abläufe zu analysieren. Schaden: über eine Milliarde US-Dollar bei mehr als 100 Finanzinstituten weltweit.
Die Webseite Insecam stellte Live-Videostreams von 73.000 unzureichend geschützten Webcams öffentlich zur Verfügung – ausschließlich durch Ausnutzung von Standardpasswörtern. Betroffen waren vor allem private Nutzer, aber auch Unternehmen und öffentliche Einrichtungen.
Die Schadsoftware Mirai infizierte hunderttausende Embedded Devices (Kameras, Router) ausschließlich über Standard- und Schwachstellen-Passwörter. Das daraus entstandene Botnet führte einen der massivsten DDoS-Angriffe der Geschichte durch und legte zeitweise große Teile des US-Internets lahm.
IT-Sicherheitsexperten entdeckten in rund 300 medizinischen Geräten von 40 verschiedenen Herstellern gravierende Schwachstellen im Bereich der Passwortsicherheit. Angriffe auf medizinische Geräte können direkte Auswirkungen auf die Patientensicherheit haben.
Ein Sicherheitsforscher schloss über 420.000 Embedded Devices zu einem Botnet zusammen – ausschließlich durch die Nutzung öffentlich bekannter Standardpasswörter. Weder Schadsoftware noch Exploits waren notwendig. Die Geräte hatten nach der Lieferung nie ein neues Passwort erhalten.
BSI-Empfehlungen: Was Hersteller, Integratoren und Betreiber tun sollen
Das BSI adressiert in BSI-CS 069 drei Rollen mit jeweils spezifischen Anforderungen. Für Unternehmen im Mittelstand ist vor allem die Betreiber-Perspektive relevant – aber auch die Integratorenrolle, wenn Sie Geräte selbst einrichten oder einrichten lassen.
- Hinweis auf Standardpasswort an prominenter Stelle in der Doku
- Änderung des Passworts bei Ersteinrichtung erzwingen
- Auslieferung mit individuellem Passwort (z. B. aus Seriennummer)
- Keine Backdoors und festcodierten Zugangsdaten
- Sichere Speicherung: PBKDF2, bcrypt – kein MD5/SHA-1 ohne Salt
- Brute-Force-Schutz: Sperrung nach 5 Fehlversuchen für 1 Minute
- Individuelle, komplexe Passwörter für alle Benutzerkonten setzen
- Dokumentation mit Passwortanforderungen an Kunden übergeben
- Nicht benötigte Dienste und Konten deaktivieren
- Netzwerksegmentierung: Kritische Systeme nicht direkt im Internet
- Fernzugriff nur über VPN absichern
- Asset Management etablieren: Alle Geräte erfassen
- Hersteller-Empfehlungen zu Passwörtern zwingend beachten
- MAC/IP-Filtermechanismen als flankierende Maßnahme
- Brute-Force-Erkennung implementieren
- Security Patches zeitnah einspielen
- CERT-Meldungen zu betroffenen Geräten beobachten
Technischer Hinweis des BSI zu kryptografischer Speicherung: Passwörter müssen unter Verwendung hinreichend sicherer kryptografischer Mechanismen gespeichert werden.
6 konkrete Maßnahmen für Ihr Unternehmen – jetzt umsetzbar
Basierend auf den BSI-Empfehlungen (BSI-CS 069 und BSI-CS 128) haben wir die wichtigsten Maßnahmen für den Mittelstand zusammengefasst:
Asset Management: Alle Embedded Devices erfassen
Sie können nicht schützen, was Sie nicht kennen. Erstellen Sie ein vollständiges Inventar aller netzwerkfähigen Geräte – Router, Switche, Drucker, Kameras, SPS, Heizungssteuerungen, Zugangssysteme. Viele Unternehmen sind überrascht, wie viele dieser Geräte in ihrem Netz aktiv sind.
Standardpasswörter sofort ändern
Jedes Gerät, das mit einem Standardpasswort ausgeliefert wird, muss bei der Inbetriebnahme ein individuelles, sicheres Passwort erhalten. Das gilt für die Admin-Oberfläche, aber auch für alle anderen Zugangswege: SSH, FTP, SNMP, Telnet. Das BSI empfiehlt dabei die Verwendung hinreichend komplexer Passwörter mit Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen.
Nicht benötigte Dienste deaktivieren
Embedded Devices implementieren oft dieselben Dienste wie Server: HTTP, FTP, Telnet, SNMP, SSH. Was nicht gebraucht wird, sollte abgeschaltet werden. Besonders Telnet und SNMPv1/v2 gelten als chronisch unsicher und sollten in Unternehmensnetzen grundsätzlich deaktiviert sein.
Netzwerksegmentierung: Embedded Devices isolieren
Kritische Systeme, auf die per Passwort zugegriffen wird, sollten nicht direkt über das Internet erreichbar sein. Das BSI empfiehlt, Embedded Devices in separaten physischen Netzbereichen oder VLANs zu betreiben. So wird verhindert, dass ein kompromittiertes Gerät als Sprungbrett ins gesamte Unternehmensnetz dient.
Firmware & Patches zeitnah einspielen
Hersteller veröffentlichen regelmäßig Security-Updates für Embedded Devices. Diese schließen oft kritische Schwachstellen – auch in der Passwortverwaltung oder Authentifizierung. Wer nicht patcht, bleibt angreifbar, selbst wenn er starke Passwörter verwendet.
Fernzugriff nur über VPN
Ist ein Fernzugriff auf Embedded Devices erforderlich, sollte dieser ausschließlich über eine VPN-Verbindung erfolgen. Direkte Port-Weiterleitungen auf Router oder Kameras über das Internet sind in Unternehmensumgebungen grundsätzlich abzulehnen. Außerdem sollten keine Standard-Ports (22, 23, 80) nach außen freigegeben sein.
Warum eine einmalige Maßnahme nicht ausreicht
Embedded Device Security ist kein einmaliges Projekt – es ist ein kontinuierlicher Prozess. Geräte werden ausgetauscht, neue kommen hinzu, Firmware-Updates ändern Konfigurationen, und neue Schwachstellen werden laufend entdeckt. Das BSI empfiehlt daher explizit, CERT-Meldungen zu abonnieren und einen strukturierten Patch-Prozess für alle Geräteklassen zu etablieren.
In den meisten Unternehmensnetzen existieren Geräte, die der IT-Abteilung nicht bekannt sind – vom Mitarbeiter angestöpselte Switches, vergessene Kameras, ältere SPS in der Produktion. Diese Geräte tauchen in keinem Patch-Prozess auf.
Besonders in Produktionsumgebungen werden Embedded Devices oft von Fachabteilungen oder externen Dienstleistern eingerichtet – ohne Einbindung der IT-Sicherheit. Standardpasswörter bleiben, Segmentierung fehlt.
Wer prüft, ob ein Router oder eine Kamera gerade ungewöhnliche Verbindungen aufbaut? Ohne Monitoring und Netzwerkanalyse bleibt eine Kompromittierung oft monatelang unentdeckt.
Für Unternehmen, die unter die NIS2-Richtlinie fallen, sind Schwachstellen in Embedded Devices ein direktes Compliance-Risiko. Fehlende Asset-Inventare und ungepatchte Geräte gelten als Verstoß gegen die geforderten Mindestsicherheitsmaßnahmen.
Wie viele Embedded Devices mit Standardpasswörtern hat Ihr Unternehmen?
Wir führen für Sie einen vollständigen Netzwerk-Scan durch, identifizieren alle Embedded Devices, prüfen Passwörter und Konfiguration und erstellen einen priorisierten Maßnahmenplan – basierend auf den offiziellen BSI-Empfehlungen.
Jetzt Sicherheitsanalyse anfragenDieser Beitrag basiert auf den offiziellen BSI-Veröffentlichungen BSI-CS 069 „Sichere Passwörter in Embedded Devices" (Version 2.0, 2018) und BSI-CS 128 „Sicherheit von Geräten im Internet der Dinge" (Version 2.0, 2017) der Allianz für Cyber-Sicherheit / Bundesamt für Sicherheit in der Informationstechnik.
