29. Juni 2017 | pArtikel drucken | k1 Kommentar

Unliebsamer Datenspion? Das sollten Sie bei Wearables beachten

Fitnessarmbänder, Smartphone-Ersatz und persönliche Assistenten – das Spektrum an Wearables wird immer größer. Immer mehr Unternehmen setzen auf die kleinen Alltagsbegleiter und stellen sie Ihren Mitarbeitern zur Verfügung. So praktisch sie auch sein mögen, in punkto Sicherheit müssen die Gadgets noch einiges lernen. CANCOM.info zeigt die gängigsten Sicherheitslücken bei Wearables.

Wearables sind im Kommen – bis 2018 soll der weltweite Absatz laut Statista bei 158 Millionen Devices liegen. Die smarten Geräte tracken den Puls, zählen die gelaufenen Schritte und zeigen dem Nutzer die neuesten Mails – bei Bedarf werden sie sogar vorgelesen.

Diverse Smartwatch-Hersteller versuchen, Sport und Business in einem Device zu vereinen – etwa auch Huawei mit der Watch 2. (Bild: Evernine)

Manager und Führungskräfte haben den Mehrwert von Smartwatches erkannt – tragen etwa Sprachnotizen per OneNote ein oder werfen einen kurzen Blick in ihren Terminkalender. Übrigens: Mit Wearables können auch Mitarbeiter motiviert werden. Über Fitnessfunktionen und Incentive-Programme sorgen die smarten Armbänder im Idealfall für einen gesünderen Arbeitsalltag.

Die großen Player der Hightech-Branche haben diesen Markt für sich erkannt und liefern entsprechende Devices für so ziemlich jedes Anwendungsgebiet – futuristisch bei Apple, sportlich bei Samsung und Business-tauglich bei Huawei.

Gefahr von Sicherheitslücken bei Wearables

Hinter den praktischen Helferlein stecken jedoch einige Gefahren. Durch den ständigen Austausch von persönlichen Daten zwischen den Wearables und anderen Geräten entstehen Sicherheitslücken, die ein attraktives Tor für Cyber-Kriminelle darstellen.


Hintergrund: Die Daten werden meist via Bluetooth, mit WLAN-Verbindungen oder einem USB-Anschluss übertragen. Gerade in Hinblick auf die ersten zwei Übertragungsmethoden kommt es immer wieder zu Sicherheitslücken.


Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab. (Bild: Kaspersky Lab)

„In der Tat gab es bei Wearables Sicherheitslücken sowohl in der Implementierung von Bluetooth als auch der Cloud-Kommunikation durch die verwaltende App. In beiden Fällen ist es möglich, persönliche Daten der Nutzer abzugreifen“, berichtet Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab.

Vor allem in großen Netzwerken, die viele verschiedene Geräte verbinden, steigt die Gefahr von Cyber-Attacken. Haben Kriminelle einmal Zugang zu einem Gerät, ist der Sprung auf alle anderen Geräte nicht mehr schwer. Das ist in großen Unternehmen natürlich ein heikles Problem.

Alleine der Austausch von Information über ein Wearable birgt Gefahr. Und die Funktionen und Applikationen auf den digitalen Armbändern wachsen stetig. Laut dem Sicherheitsexperten Bogdan Botezatu von Bitdefender wird es immer schwieriger, Datenströme zu und von Wearables zu kontrollieren. „Die meisten Wearables sind nicht einmal auf nur einen Dienst geeicht und wissen im Prinzip nicht, wohin sie senden dürfen und wohin nicht“, sagt Bogdan.

Wie die Praxis zeigt, setzen immer mehr Business- und Privatanwender gerade auf günstigere Wearables, die über oftmals niedrigere Sicherheitsstandards verfügen – etwa bei der Implementierung von Bluetooth oder bei der Cloud-Kommunikation des Geräts. Auf diese Weise schaden sich die Anwender allerdings häufig selbst: Folgt man Christian Funk, geben die User bereitwillig ihre Daten ab und denken nicht an mögliche Folgen.

Wearables sind praktisch, aber nicht immer sicher.

Wearables können komfortable Wegbegleiter sein, jedoch sind nicht immer alle Daten auf den Endgeräten sicher. (Bild: © yacobchuk / iStock)

Dabei stellen vor allem Brute-Force Attacken eine erhebliche Gefahr für Wearables dar: Hier versuchen Hacker Passwörter zu knacken, indem sie viele verschiedene Möglichkeiten austesten. Das Verfahren probiert systematisch alle möglichen Kombinationen durch, um den Krypto-Algorithmus zu knacken, schreibt ITWissen.info. Deshalb gilt: Je länger der vom Verschlüsselungssystem verwendete Schlüssel, desto schwieriger fällt es Kriminellen, den Code zu knacken.

Im Unternehmensumfeld gibt es noch ein weiteres Problem: Werden E-Mails, Dokumente und Co. am Notebook oder vielleicht noch am Smartphone über die unternehmenseigene IT-Infrastruktur abgesichert, wandern bei Wearables die Daten wahrscheinlich ohne Sicherheitsmaßnahmen vom und aufs Handgelenk – und das ruft wiederum Hacker auf den Radar.

Das wird besonders dann heikel, wenn die Daten intime Inhalte beinhalten, seien es private oder firmeninterne.


Ein aktueller Hacker-Trend: Eine mögliche Folge von Datenmissbrauch bei Wearables ist das sogenannte „Doxing“. Dabei wird der Nutzer mit der Veröffentlichung seiner persönlichen Daten erpresst. Auch die steigende Relevanz von mobilen Zahlungssystemen wird zu einer neuen Angriffsfläche für Cyber-Kriminelle.


Das können Nutzer und Hersteller tun

Zusätzliche Verschlüsselung und PIN-Codes erhöhen natürlich nochmals die Datensicherheit: Wird ein Gerät geklaut und die Authentifizierung über Passwörter ist nicht aktiviert, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Laut entwickler.de ist es deshalb besonders wichtig, eine Gerätesperrung bereitzustellen und einzurichten, die nach mehrmaliger Passwort-Falscheingabe eintritt und das Gerät so vor Datendiebstählen schützt. Auch die Möglichkeit zur Fern-Löschung bei Verlust des Geräts wäre wünschenswert – wird bisher aber nur für die wenigsten Devices angeboten.

Aufklärung im Unternehmen hilft: Sollten Ihre Kollegen bereits Wearables im Arbeitsalltag nutzen, sorgen Sie für die entsprechenden Sicherheitsmaßnahmen. In vielen Fällen kann es ratsam sein, wenn ein IT-Experte einen Überblick zu den Risiken liefert und eine passende Lösung identifiziert. Die Nutzer sollten wissen, wo ihre Daten hingehen und wie sie möglicherweise von Dritten genutzt werden können.

CIO.com gibt zudem den Tipp, die Wearables über eigene Netzwerke wie etwa Gast-Wifi-Netze laufen zu lassen. Dadurch wird der Zugriff auf unternehmensinterne Daten unterbunden, und ein Hacker-Angriff deutlich erschwert. Außerdem sollte zuerst geprüft werden, ob – und wenn ja welche – Drittanbieter-Apps auf die Daten des Geräts zugreifen können.

Quelle Titelbild: © PonyWang / iStock

Hier schreibt Lenz Noelkel für Sie

Mehr Artikel vom Autor

Lesen Sie weiter auf CANCOM.info