IT-Sicherheit im Internet of Things

So sicher sind Wearables wirklich

19. Januar 2016
Florian Maier beschäftigt sich mit dem Themenbereich IT-Security und schreibt über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C. Daneben ist er für den Facebook- und LinkedIn-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Wir gratulieren Ihnen zum über die Feiertage neu erstandenen Wearable. Damit sind Sie auf dem Weg zu einem neuen, trackbaren und von Datenglück erfülltem Leben. Oder Sie werden gehackt.

Egal, ob Sie Ihr neues Wearable nur in der Freizeit nutzen oder CIO in einem Unternehmen sind, wo Fitness Tracker und Smartwatches zum guten Ton gehören: Wearables könnten zum nächsten großen Ziel von Hackern und Cyberkriminellen werden.

Smartwatches und andere Wearables erfreuen sich weiterhin steigender Beliebtheit. So geraten die smarten Devices auch immer stärker ins Visier von Hackern und anderen Cyberkriminellen.
Smartwatches und andere Wearables erfreuen sich weiterhin steigender Beliebtheit. So geraten die smarten Devices auch immer stärker ins Visier von Hackern und anderen Cyberkriminellen.
Foto: Slavoljub Pantelic - shutterstock.com

"Bislang hat noch jede digitale Technologie in ihrer Ausbreitungsphase die Aufmerksamkeit von Hackern und Cyberkriminellen erregt", reüssiert Stephen Cobb. "Wenn Kriminelle künftig einen Weg sehen, wie sie gezielt Wearables angreifen und ausnutzen können, werden sie das versuchen." In seiner Rolle als Senior SecuritySecurity Researcher beim Sicherheitsanbieter Esethat Cobb das zwar bislang noch nicht erlebt - das heißt aber nicht, dass es nicht dazu kommt. Alles zu Security auf CIO.de

IT-Sicherheit im IoT: Skepsis bei Verbrauchern

Cobb weist auf einen Fall hin, der kürzlich bei der Firma VTech aufgetreten ist, die Wearables für Kinder herstellt. Die Kundendatenbank von VTech - die Daten von rund 12 Millionen Kunden enthält - wurde angegriffen. "Einige der Spielzeuge machten Fotos und verbreiteten diese über das Backend-System von VTech weiter", schildert Cobb. "Im Falle eines Wearables können die gespeicherten Informationen vielfältig sein - von Geodaten bis hin zu Gesundheitsinformationen."

Die gute Nachricht: Viele Verbraucher und Konsumenten stehen Wearables insbesondere beim Thema IT-Security skeptisch gegenüber. Einer aktuellen Studie des Security-Anbieters Auth0 zufolge halten 52 Prozent der US-Verbraucher Internet of Things-Devices für nicht sicher genug. Viele Consumer werden vor der Anschaffung eines Wearables also ganz genau hinsehen, ob das Device ihrer Wahl auch den Ansprüchen an die IT-Sicherheit genügt.

Erhöhter Datenschutz-Bedarf bei Unternehmen

Allerdings sind - wie das Beispiel VTech zeigt - nicht die Wearables selbst der Unsicherheitsfaktor, sondern die Datenbanken wo die gesammelten Daten gespeichert werden. "Wenn jemand die Daten ins Visier nimmt, die ein Unternehmen das Wearables vertreibt, bei seinen Kunden sammelt, handelt es sich dabei in der Regel um grundsätzliche, persönliche Informationen wie Name und Adresse", sagt Cobb. Mit diesen Infos könnten die Hacker eine ganze Menge Dinge anstellen. Wenn ein Krimineller beispielweise Zugriff auf Echtzeit-Geodaten bekommt, könnte er diese Informationen für einen Einbruch nutzen. Ähnliches hatte sich auch in der Anfangszeit von Facebook abgespielt - damals wurden User zu Opfern, die Urlaubsbilder posteten.

Die meisten Unternehmen würden nach Einschätzung von Cobb aber künftig dafür Sorge tragen, dass ihre Datenbanken zur Genüge abgesichert sind: "Ansonsten droht ihnen erheblicher Ärger mit der Federal Trade Commission." Den Verbrauchern rät der Sicherheitsforscher, sich auf jeden Fall über den Hersteller des betreffenden Wearables zu informieren. Dazu gehört auch, im Vorfeld zu überprüfen ob - und wenn ja welche - Drittanbieter-Apps auf die Daten des Geräts zugreifen können. Deren Datenschutz-Richtlinien sollten Sie außerdem aufmerksam durchlesen. Es gibt keine Datenschutz-Richtlinien? Dann sollten Sie vielleicht lieber auf diese App verzichten.

Wearables: Datenschutz-Gefahr am Arbeitsplatz

Wenn Sie CIO bei einem Unternehmen sind, das mit sensiblen Daten (zum Beispiel Informationen die unter die ärztliche Schweigepflicht oder das Anwaltsgeheimnis fallen) umgeht, könnte der Einsatz von Wearables am Arbeitsplatz eventuell rechtliche Konsequenzen nach sich ziehen. "Ich werde mir künftig über Dinge wie Google Glass, Smartwatches und jede Art von Device Gedanken machen müssen, das in der Lage ist, Audio- oder Videomaterial aufzuzeichnen. Das ist unsere größte Sorge, wenn es darum geht unsere eigenen Daten zu schützen", erklärt Mark McCreary, Datenschutzbeauftragter und Partner bei der US-Kanzlei Fox Rothschild.

Es gibt viele denkbare Szenarios, die für Unternehmen erhebliche Konsequenzen zur Folge haben könnten. Etwa wenn Mitarbeiter ein privates Handyvideo während der Arbeitszeit in den Büroräumen drehen. Während des Aufnahmeprozesses könnte es durchaus passieren, dass sensible Informationen zu sehen oder auch zu hören sind - ohne dass das zunächst groß auffällt. Werden solche Aufnahmen anschließend über soziale Netzwerken oder Video-Plattformen verbreitet, könnte das erheblichen Schaden anrichten.

"Es geht darum, dass diese Informationen vervielfältigt werden und so der völlige Kontrollverlust über deren Verbreitung eintritt", so McGreary weiter. Seinen Angestellten vermittelt er dieses Problem anhand des Beispiels Dropbox: Lädt man dort eine Datei hoch, existiert eine Kopie der darin befindlichen Daten nicht mehr nur auf dem Unternehmensnetzwerk und wird so angreifbar. Dazu kommt noch, dass Wearables - etwa im Vergleich zu Smartphones - deutlich unauffälliger dazu benutzt werden können, sensible Informationen unbemerkt aufzunehmen, festzuhalten oder zu vervielfältigen. Mark McGreary empfiehlt Unternehmen, die mit sensiblen Informationen umgehen, Wearables mit Aufnahme-Feature generell vom Arbeitsplatz zu verbannen - oder diese zumindest an besonders schützenswerten Orten zu verbieten.

Unternehmen, Fitness-Tracker & Mitarbeiter-Daten

Es gibt Unternehmen, die unter ihren Angestellten Fitness Tracker verteilen - als Teil eines unternehmensgestützten Wellness-Programms zum Beispiel. Die Intention hinter solchen Aktionen mag zwar durchaus positiv sein - dennoch könnten möglicherweise rechtliche Probleme auftreten, wenn es darum geht wer die über diese Wearables gesammelten Informationen zu sehen bekommt, gibt Beth Zoller vom HR-Dienstleister XpertHR zu bedenken: "Es kommt einer Invasion in die Privatsphäre gleich, wenn ein Arbeitgeber Zugriff auf die Gesundheitsinformationen seiner Mitarbeiter bekommt."

Viele Fitness-Tracker sind heute allerdings nicht nur in der Lage, Aktivitäten zu messen, sondern auch den Schlaf zu überwachen. Die wenigsten Arbeitnehmer dürften damit einverstanden sein, dass ihr Arbeitgeber Zugriff auf solche Informationen bekommt. Dazu kommt noch ein anderes Problem: Firmeneigene Wearableskönnten begünstigen, dass die Grenze zwischen Arbeit und Freizeit verschwimmt. Speziell in den USA müssen Arbeitgeber sich absichern, um nicht gegen Gesetze zu verstoßen, so Zoller weiter.

Wenn ein WearableWearable Audio- oder Video-Inhalte aufzeichnen kann, müsse der Arbeitgeber sicherstellen, dass er nicht auf Informationen zugreift, für die er kein entsprechendes Privileg besitzt - beispielsweise Daten über Gewerkschaftsaktivitäten eines Mitarbeiters. Ihrer Meinung nach sei es für Unternehmen sinnvoll, klare Richtlinien zu erstellen, wie, wo und in welchem Umfang Mitarbeiter Wearables am Arbeitsplatz benutzen dürfen. Alles zu Wearables auf CIO.de

Lifestyle-Romantik vs. Cybercrime-Realität

Die Wearables-Industrie ist zwar noch eine sehr junge Branche, dennoch ist sie bereits enorm groß und setzt in der Außenwirkung vor allem auf den schönen Schein - in Form sozialromantischer Lifestyle-Szenarien. Diese dürften sich allerdings spätestens dann in Luft auflösen, wenn Hacker und Cyberkriminelle die neuen Ausbeutungs-Möglichkeiten der Wearables austarieren. Ein ganz normaler Vorgang, wie Sicherheitsforscher Cobb nochmals betont: "Jede neue Technologie wird eingehend auf Schwachstellen überprüft. Werden diese gefunden, werden sie auch ausgenutzt. Wir müssen das Feld der Wearables also verstärkt im Auge behalten, wenn es um neue Bedrohungen geht."