Router gehören zu 50 % der anfälligsten Geräte
Forescout hat seinen fünften jährlichen Forschungsbericht Riskiest Connected Devices veröffentlicht, der einen Überblick über die anfälligsten Geräte – etwa Router – in Unternehmensnetzwerken gibt.
Für den Bericht werden Millionen Geräte in der Forescout Device Cloud anhand der Risikoscoring-Methode von Forescout analysiert, die auf mehreren Faktoren basiert: Konfiguration jedes Geräts (Schwachstellen und offene Ports), Kritikalität des Geräts für das Unternehmen und Zugänglichkeit des Geräts über das Internet. Der Bericht analysiert die fünf risikoreichsten Gerätetypen weltweit nach Bereichen – IT, Internet der Dinge (IoT), Betriebstechnologie (Operational Technology, OT) und Internet der medizinischen Dinge (IoMT) – sowie nach Branchen. Zu den wichtigsten Ergebnissen des Berichts 2025 zählt, dass das Geräterisiko gegenüber dem Vorjahr im Durchschnitt um 15 Prozent gestiegen ist und dass Router mittlerweile über 50 Prozent der Geräte mit den gefährlichsten Schwachstellen ausmachen. Zudem kommt der diesjährige Bericht zu dem Schluss, dass der Einzelhandel der Sektor mit dem höchsten durchschnittlichen Geräterisiko ist, gefolgt von den Finanzdienstleistungen, Behörden, dem Gesundheitswesen und der Fertigung.
Endgeräte werden von der Netzwerkinfrastruktur – insbesondere Router –abgelöst
Seit 2020 überwacht Forescout Research – Vedere Labs die risikoreichsten Geräte in Unternehmensnetzwerken anhand von Daten, die von den Geräten selbst stammen. Die jüngsten Ergebnisse zeugen von einer Verschiebung in der Bedrohungslandschaft, die nach 2023 begann und sich weiter fortsetzt: Die Endgeräte werden zunehmend von der Netzwerkinfrastruktur – insbesondere Router – als risikoreichste IT-Geräte abgelöst. Angreifer nutzen neu entdeckte Schwachstellen in diesen Geräten schnell mit groß angelegten Angriffskampagnen aus. Zwölf neue Arten solcher Geräte, darunter vier neue IoMT-Geräte, stehen in diesem Jahr auf der Liste – der stärkste Zuwachs im Jahresvergleich, den Forescout bislang beobachtet hat. Da die Angriffsfläche über IT-, IoT-, OT- und IoMT-Umgebungen hinweg wächst, reichen isolierte Sicherheitsmaßnahmen nicht mehr aus.
„Wir geben den Angreifern die Schlüssel zu kritischen betrieblichen Abläufen in die Hand. Cyberkriminelle lassen mittlerweile herkömmliche Endpunkte links liegen und nehmen die Geräte ins Visier, die unsere Krankenhäuser, Fabriken, Behörden und Unternehmen am Laufen halten“, sagt Barry Mainz, CEO von Forescout. „Allein in diesem Jahr stehen vier neue Arten von medizinischen Geräten an der Spitze der Risiko-Charts. Wenn wir nicht jedes einzelne IT-, IoT-, OT- und IoMT-Gerät in unseren Netzwerken absichern, werden die Folgen verheerend sein.“
Die wichtigsten Ergebnisse des Berichts
IT-Geräte – Router sind die anfälligsten Geräte
- Vier IT-Gerätetypen wurden 2025 neu in die Liste aufgenommen: Application Delivery Controller (ADC), Intelligent Platform Management Interfaces (IPMI), Firewalls und Domain Controller. IPMI-Geräte sind mit kritischen Schwachstellen behaftet, und Domain-Controller gehören zu den kritischsten Punkten in internen Netzwerken.
- Im Jahr 2023 wiesen die Endgeräte noch mehr Risiken als die Netzwerkinfrastruktur auf, doch 2024 wendete sich das Blatt. 2025 setzt sich dieser Trend fort: Die Geräte der Netzwerkinfrastruktur bleiben stärker risikobehaftet als die Endgeräte, da sie häufig am Netzwerkrand exponiert sind und gefährliche offene Ports für administrative Schnittstellen aufweisen.
- Trotz der neu hinzugekommenen risikoreichen IT-Geräte sind immer noch über 50 % der Geräte mit den kritischsten Schwachstellen Router, was sie zu einem bevorzugten Ziel für Angreifer macht. Auch Computer und drahtlose Zugangspunkte zählen zu den Gerätetypen, die am häufigsten anfällig sind.
IoT-Geräte – POS-Systeme werden zu einem vorrangigen Ziel
- Zu den risikoreichsten IoT-Geräten gehören vor allem solche, die schon seit langem als problematisch bekannt sind, wie etwa Netzwerk-Videorekorder (NVR), VoIP-Geräte, IP-Kameras und Netzwerkspeicher (NAS).
- In diesem Jahr landeten jedoch auch POS (Point of Sale)-Systeme, wie sie etwa in Ladengeschäften verwendet werden, auf der Liste. Cyberkriminelle greifen POS-Systeme mit generischer Malware wie Keyloggern und Infostealern an, um sensible Informationen abzufangen, sowie mit speziellen RAM-Scrapern, die den Arbeitsspeicher der Geräte nach Kreditkartennummern und anderen Daten durchsuchen, bevor diese verschlüsselt werden.
OT-Geräte – Universal Gateways und Historian-Systeme geben ihr Debüt
- In diesem Jahr sind erstmals Universal Gateways und Historians – Server zur Aufzeichnung betrieblicher Prozessdaten – in der Liste vertreten, die auch Gebäudemanagementsysteme (BMS), physische Zugangskontrollsysteme und unterbrechungsfreie Stromversorgungen (USV) umfasst.
- Universal Gateways stellen ein Risiko dar, weil sie verschiedene Systeme miteinander verbinden, manchmal sowohl solche mit Ethernet- als auch mit seriellen Schnittstellen. Dies könnte Seitwärtsbewegungen in OT-Netzen ermöglichen oder dazu führen, dass Bedrohungen im Ethernet-Netzwerk auf seriell verbundene Geräte übergreifen. Historians werden neben Prozessleitsystemen eingesetzt, die auf speicherprogrammierbaren Steuerungen (SPS) oder verteilten Steuerungssystemen (DCS) basieren, häufig auf Purdue-Ebene 3. Diese Systeme tauschen in der Regel Daten mit Unternehmensgeräten höherer Ebenen aus und befinden sich damit an der gefährlichen Schnittstelle zwischen IT- und OT-Netzwerken.
IoMT-Geräte – größte Veränderung mit vier neuen Gerätetypen
Auch vier neue IoMT-Gerätetypen hielten dieses Jahr Einzug in der Liste der risikoreichsten Geräte: Bildgebungsgeräte, Laborgeräte, medizinische Workstations und Infusionspumpensteuerungen. Bildgebungsgeräte arbeiten häufig mit älteren, anfälligen IT-Betriebssystemen, verfügen über umfangreiche Netzwerkverbindungen, um den Austausch von Bilddateien zu ermöglichen, und nutzen für diesen Austausch den DICOM-Standard. Laborgeräte sind in der Regel mit Laborinformationssystemen verbunden, und die zwischen ihnen übertragenen Daten sind häufig unverschlüsselt, was Angriffe wie Datenexfiltration und Datenmanipulation ermöglicht. Medizinische Workstations können auf hochsensible Informationen zugreifen, die im Dark Web wertvoll sind und heute oft von Ransomware-Banden offengelegt werden. Infusionspumpensteuerungen sind außerordentlich kritische Geräte, da die Kompromittierung einer Steuerung einen Angreifer in die Lage versetzen könnte, wichtige Einstellungen für die Dosierung von Medikamenten zu manipulieren.
„Die heutige Bedrohungslandschaft umspannt IT, IoT, OT und IoMT – und trotzdem arbeiten immer noch zu viele Sicherheitslösungen isoliert, wodurch gefährliche Blind Spots bestehen bleiben“, erklärt Daniel dos Santos, Head of Research bei Forescout Research – Vedere Labs. „Neben regelmäßigen Risikobewertungen brauchen Unternehmen auch automatisierte Kontrollen, die sämtliche Assets abdecken. Lösungen, die nur auf bestimmte Geräte fokussieren, bieten nicht die vollständige Transparenz und die ganzheitlichen Sicherheitskontrollen, die diese hochkomplexen Umgebungen erfordern.“
Die Studie zeigt einmal mehr, dass jedes Unternehmen, das nicht sowohl die Risiken für herkömmliche Geräte als auch für spezialisierte Netzwerkgeräte kontinuierlich überwacht, das nächste sein könnte, das wegen einer Sicherheitspanne in die Schlagzeilen gerät. Um Unternehmen dabei zu unterstützen, diese Blind Spots wirksam zu beheben, hat Forescout vor kurzem eyeScope® eingeführt, eine leicht einsetzbare, cloudbasierte Visibility- und Monitoring-Lösung. Mit den Echtzeit-Erkenntnissen zu Geräten, die eyeScope liefert, und den Risikoprioritäten, die diese Studie aufzeigt, gibt Forescout Unternehmen die Daten und Instrumente an die Hand, die sie zum Schutz ihrer anfälligsten Assets brauchen.
