WLAN, Bluetooth und IoT: Sicherheitsrisiken im Büro

Ein Drucker, der ungefragt Daten ins Internet sendet. Eine Smartwatch, die im Besprechungsraum Gespräche über Bluetooth weiterleitet. Ein WLAN-Router, dessen Passwort seit der Einrichtung vor vier Jahren nicht geändert wurde. Was nach Gedankenexperimenten klingt, ist in deutschen Büros alltäglich. Für Gründerinnen und Unternehmerinnen, die ihre Ressourcen auf Produkt und Wachstum konzentrieren, gerät die technische Infrastruktur schnell aus dem Blick. Genau das nutzen Angreifer aus.

Warum drahtlose Technologien ein strukturelles Problem sind

WLAN, Bluetooth und das sogenannte Internet of Things (IoT) teilen eine gemeinsame Eigenschaft: Sie kommunizieren unsichtbar und oft ohne aktives Zutun der Nutzenden. Anders als ein physischer Angriff auf einen Server hinterlässt das Abgreifen von Funksignalen keine sichtbaren Spuren. Das Bundesamt für Sicherheit in der Informationstechnik dokumentiert in seinem jährlichen Lagebericht, dass die Zahl der Angriffe auf Unternehmensnetzwerke kontinuierlich steigt, wobei kompromittierte Endgeräte und schlecht gesicherte Netzwerke regelmäßig als Einfallstor genannt werden.

WLAN-Netzwerke senden ihr Signal in der Regel durch Wände, Decken und Fassaden. In einem Bürogebäude mit mehreren Mietern bedeutet das: Ihr Netzwerk ist für jeden mit einem Laptop im Flur potenziell sichtbar. Wer dann noch auf veraltete Verschlüsselung wie WPA oder gar WEP setzt statt auf WPA3, bietet Angreifern eine vergleichsweise geringe Hürde.

Bluetooth: unterschätzte Angriffsfläche

Bluetooth gilt vielen als harmlose Kurzstreckentechnologie. Der Angriff namens Bluesnarfing zeigt, dass das ein Irrtum ist. Dabei greifen Angreifer auf Kontakte, Kalendereinträge und gespeicherte Dateien eines Geräts zu, ohne dass die Besitzerin etwas bemerkt. Voraussetzung: Das Gerät ist im „sichtbaren“ Modus und die Bluetooth-Implementierung weist Sicherheitslücken auf.

Besonders heikel wird es in Umgebungen, in denen vertrauliche Gespräche stattfinden. Headsets, Lautsprecher und smarte Displays verbinden sich automatisch mit bekannten Geräten. Wer im Homeoffice ein Bluetooth-Gerät nutzt und anschließend ins Büro wechselt, trägt die gespeicherten Verbindungsprofile mit. Ein kompromittiertes Gerät kann so zum Brückenglied zwischen verschiedenen Netzwerken werden.

IoT-Geräte: produktiv nach außen, schutzlos nach innen

Smart-TVs in Konferenzräumen, vernetzte Kaffeemaschinen, IP-Kameras, Klimasteuerungen über das Netzwerk: IoT-Geräte haben Einzug in nahezu jedes Büro gehalten. Das Problem ist strukturell. Viele dieser Geräte erhalten nach der Markteinführung kaum noch Sicherheitsupdates. Herstellende priorisieren Funktionalität, nicht Langzeitsicherheit. Eine Kamera, die 2019 installiert wurde, läuft möglicherweise noch heute mit der Firmware von damals, einschließlich aller bekannten Schwachstellen.

Hinzu kommt: IoT-Geräte sind oft im selben Netzwerksegment wie Arbeitsrechner und Server eingebunden. Wer eine schlecht gesicherte Kaffeemaschine kompromittiert, bewegt sich damit potenziell im gleichen Netzwerk wie die Buchhaltungssoftware. Eine Segmentierung, also die Trennung des IoT-Netzwerks vom produktiven Unternehmensnetz, ist technisch einfach umzusetzen, wird aber in der Praxis häufig versäumt.

Physische Abhörangriffe: realer als gedacht

Neben rein digitalen Angriffen existiert eine weitere Bedrohungsebene, die im Startup-Kontext selten thematisiert wird: das physische Abschöpfen von Informationen über Funksignale. Wer in Pforzheim oder einer anderen Mittelstadt ein Büro betreibt und regelmäßig vertrauliche Verhandlungen führt, sollte wissen, dass spezialisierte Dienstleister wie jene im Bereich Abhörschutz Pforzheim technische Überprüfungen von Räumlichkeiten und Geräten anbieten, um versteckte Sender oder manipulierte Hardware aufzudecken.

Solche Überprüfungen sind kein Luxus für Konzerne. Investorengespräche, Produktentwicklungen oder Personalentscheidungen sind wertvolle Informationen, die Wettbewerber, aber auch organisierte Wirtschaftsspionage interessieren. Laut einer Studie des Bundesamts für Verfassungsschutz entsteht der deutschen Wirtschaft durch Wirtschaftsspionage und Konkurrenzausspähung jährlich ein Schaden in zweistelliger Milliardenhöhe, wobei kleine und mittlere Unternehmen zunehmend ins Visier geraten.

Konkrete Maßnahmen, die sofort wirken

Das Gute: Viele Risiken lassen sich mit vertretbarem Aufwand reduzieren. Eine strukturierte Herangehensweise hilft, Prioritäten zu setzen.

  • Netzwerksegmentierung einrichten: IoT-Geräte gehören in ein eigenes VLAN, getrennt vom produktiven Netzwerk. Jeder Managed Switch und jede Business-Router-Klasse unterstützt das.
  • Standardpasswörter ändern: Jedes neu angeschlossene Gerät bekommt sofort ein einzigartiges, langes Passwort. Hersteller-Standardzugänge sind in Datenbanken öffentlich verfügbar.
  • WPA3 aktivieren: Wer noch WPA2 nutzt, sollte prüfen, ob der Router WPA3 unterstützt. Viele neueren Geräte bieten es, haben es aber nicht aktiviert.
  • Bluetooth deaktivieren, wenn nicht benötigt: Geräte im sichtbaren Modus in öffentlichen oder halböffentlichen Bereichen sind vermeidbare Risiken.
  • Firmware-Updates konsequent einspielen: Ein monatlicher Rhythmus ist für die meisten Unternehmensgrößen praktikabel. Router, Kameras und smarte Displays werden dabei oft vergessen.
  • Gastnetze für externe Geräte: Kundinnen, Lieferanten und Gäste erhalten WLAN-Zugang über ein vom Unternehmensnetz isoliertes Gastnetz.

Regulatorischer Rahmen: was Unternehmerinnen kennen sollten

Die Datenschutz-Grundverordnung verpflichtet Unternehmen zu technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Was viele nicht wissen: Unsichere IoT-Geräte, die Nutzungsdaten von Mitarbeitenden oder Kundschaft verarbeiten, fallen unter diese Pflicht. Die Aufsichtsbehörden haben in mehreren Fällen Bußgelder verhängt, weil Netzwerke unzureichend gesichert waren und Dritte Zugriff auf personenbezogene Daten erhalten konnten.

Der vollständige Text der DSGVO ist über gesetze-im-internet.de zugänglich. Artikel 32 beschreibt explizit die Anforderungen an die Sicherheit der Verarbeitung und nennt unter anderem die Verschlüsselung und die Fähigkeit, Vertraulichkeit dauerhaft sicherzustellen, als Maßstab.

Für Gründerinnen bedeutet das: Sicherheit ist keine optionale Zusatzleistung, sondern Teil des rechtlichen Rahmens, in dem Unternehmen operieren. Wer das früh versteht und entsprechende Strukturen aufbaut, vermeidet nicht nur Bußgelder, sondern schützt das, was ein Unternehmen wirklich trägt: Vertrauen, Wissen und Beziehungen.