IT-Sicherheit im Internet of Things

So sicher sind Wearables wirklich

Wir gratulieren Ihnen zum über die Feiertage neu erstandenen Wearable. Damit sind Sie auf dem Weg zu einem neuen, trackbaren und von Datenglück erfülltem Leben. Oder Sie werden gehackt.

Egal, ob Sie Ihr neues Wearable nur in der Freizeit nutzen oder CIO in einem Unternehmen sind, wo Fitness Tracker und Smartwatches zum guten Ton gehören: Wearables könnten zum nächsten großen Ziel von Hackern und Cyberkriminellen werden.

"Bislang hat noch jede digitale Technologie in ihrer Ausbreitungsphase die Aufmerksamkeit von Hackern und Cyberkriminellen erregt", reüssiert Stephen Cobb. "Wenn Kriminelle künftig einen Weg sehen, wie sie gezielt Wearables angreifen und ausnutzen können, werden sie das versuchen." In seiner Rolle als Senior Security Researcher beim Sicherheitsanbieter Eset hat Cobb das zwar bislang noch nicht erlebt - das heißt aber nicht, dass es nicht dazu kommt.

IT-Sicherheit im IoT: Skepsis bei Verbrauchern

Cobb weist auf einen Fall hin, der kürzlich bei der Firma VTech aufgetreten ist, die Wearables für Kinder herstellt. Die Kundendatenbank von VTech - die Daten von rund 12 Millionen Kunden enthält - wurde angegriffen. "Einige der Spielzeuge machten Fotos und verbreiteten diese über das Backend-System von VTech weiter", schildert Cobb. "Im Falle eines Wearables können die gespeicherten Informationen vielfältig sein - von Geodaten bis hin zu Gesundheitsinformationen."

Die gute Nachricht: Viele Verbraucher und Konsumenten stehen Wearables insbesondere beim Thema IT-Security skeptisch gegenüber. Einer aktuellen Studie des Security-Anbieters Auth0 zufolge halten 52 Prozent der US-Verbraucher Internet of Things-Devices für nicht sicher genug. Viele Consumer werden vor der Anschaffung eines Wearables also ganz genau hinsehen, ob das Device ihrer Wahl auch den Ansprüchen an die IT-Sicherheit genügt.

Erhöhter Datenschutz-Bedarf bei Unternehmen

Allerdings sind - wie das Beispiel VTech zeigt - nicht die Wearables selbst der Unsicherheitsfaktor, sondern die Datenbanken wo die gesammelten Daten gespeichert werden. "Wenn jemand die Daten ins Visier nimmt, die ein Unternehmen das Wearables vertreibt, bei seinen Kunden sammelt, handelt es sich dabei in der Regel um grundsätzliche, persönliche Informationen wie Name und Adresse", sagt Cobb. Mit diesen Infos könnten die Hacker eine ganze Menge Dinge anstellen. Wenn ein Krimineller beispielweise Zugriff auf Echtzeit-Geodaten bekommt, könnte er diese Informationen für einen Einbruch nutzen. Ähnliches hatte sich auch in der Anfangszeit von Facebook abgespielt - damals wurden User zu Opfern, die Urlaubsbilder posteten.

Die meisten Unternehmen würden nach Einschätzung von Cobb aber künftig dafür Sorge tragen, dass ihre Datenbanken zur Genüge abgesichert sind: "Ansonsten droht ihnen erheblicher Ärger mit der Federal Trade Commission." Den Verbrauchern rät der Sicherheitsforscher, sich auf jeden Fall über den Hersteller des betreffenden Wearables zu informieren. Dazu gehört auch, im Vorfeld zu überprüfen ob - und wenn ja welche - Drittanbieter-Apps auf die Daten des Geräts zugreifen können. Deren Datenschutz-Richtlinien sollten Sie außerdem aufmerksam durchlesen. Es gibt keine Datenschutz-Richtlinien? Dann sollten Sie vielleicht lieber auf diese App verzichten.

Wearables: Datenschutz-Gefahr am Arbeitsplatz

Wenn Sie CIO bei einem Unternehmen sind, das mit sensiblen Daten (zum Beispiel Informationen die unter die ärztliche Schweigepflicht oder das Anwaltsgeheimnis fallen) umgeht, könnte der Einsatz von Wearables am Arbeitsplatz eventuell rechtliche Konsequenzen nach sich ziehen. "Ich werde mir künftig über Dinge wie Google Glass, Smartwatches und jede Art von Device Gedanken machen müssen, das in der Lage ist, Audio- oder Videomaterial aufzuzeichnen. Das ist unsere größte Sorge, wenn es darum geht unsere eigenen Daten zu schützen", erklärt Mark McCreary, Datenschutzbeauftragter und Partner bei der US-Kanzlei Fox Rothschild.

Es gibt viele denkbare Szenarios, die für Unternehmen erhebliche Konsequenzen zur Folge haben könnten. Etwa wenn Mitarbeiter ein privates Handyvideo während der Arbeitszeit in den Büroräumen drehen. Während des Aufnahmeprozesses könnte es durchaus passieren, dass sensible Informationen zu sehen oder auch zu hören sind - ohne dass das zunächst groß auffällt. Werden solche Aufnahmen anschließend über soziale Netzwerken oder Video-Plattformen verbreitet, könnte das erheblichen Schaden anrichten.

"Es geht darum, dass diese Informationen vervielfältigt werden und so der völlige Kontrollverlust über deren Verbreitung eintritt", so McGreary weiter. Seinen Angestellten vermittelt er dieses Problem anhand des Beispiels Dropbox: Lädt man dort eine Datei hoch, existiert eine Kopie der darin befindlichen Daten nicht mehr nur auf dem Unternehmensnetzwerk und wird so angreifbar. Dazu kommt noch, dass Wearables - etwa im Vergleich zu Smartphones - deutlich unauffälliger dazu benutzt werden können, sensible Informationen unbemerkt aufzunehmen, festzuhalten oder zu vervielfältigen. Mark McGreary empfiehlt Unternehmen, die mit sensiblen Informationen umgehen, Wearables mit Aufnahme-Feature generell vom Arbeitsplatz zu verbannen - oder diese zumindest an besonders schützenswerten Orten zu verbieten.