IT-Sicherheit im Internet of Things

So sicher sind Wearables wirklich

19.01.2016 von Florian Maier
Wir gratulieren Ihnen zum über die Feiertage neu erstandenen Wearable. Damit sind Sie auf dem Weg zu einem neuen, trackbaren und von Datenglück erfülltem Leben. Oder Sie werden gehackt.

Egal, ob Sie Ihr neues Wearable nur in der Freizeit nutzen oder CIO in einem Unternehmen sind, wo Fitness Tracker und Smartwatches zum guten Ton gehören: Wearables könnten zum nächsten großen Ziel von Hackern und Cyberkriminellen werden.

Smartwatches und andere Wearables erfreuen sich weiterhin steigender Beliebtheit. So geraten die smarten Devices auch immer stärker ins Visier von Hackern und anderen Cyberkriminellen.
Foto: Slavoljub Pantelic - shutterstock.com

"Bislang hat noch jede digitale Technologie in ihrer Ausbreitungsphase die Aufmerksamkeit von Hackern und Cyberkriminellen erregt", reüssiert Stephen Cobb. "Wenn Kriminelle künftig einen Weg sehen, wie sie gezielt Wearables angreifen und ausnutzen können, werden sie das versuchen." In seiner Rolle als Senior Security Researcher beim Sicherheitsanbieter Esethat Cobb das zwar bislang noch nicht erlebt - das heißt aber nicht, dass es nicht dazu kommt.

Security-Trends 2016
Cyber-Kriminalität wird einfacher und lukrativer.
Die zunehmende Digitalisierung von Wirtschaft und Öffentlicher Hand macht Cyber Crime immer lukrativer und den Einsatz der neuesten APT-Methoden (Advanced Persistent Threats) für Kriminelle zunehmend attraktiver. Ob Konzerne oder Hidden Champions im Mittelstand, im Grunde müssen alle Unternehmen damit rechnen, Ziel von Cyber-Angriffen zu werden.
Die Vernetzung der Dinge bringt weitere Angriffsvektoren hervor.
Die Entwicklung neuer vernetzter Produkte und das Internet der Dinge erweisen sich in Bezug auf mögliche Schwachstellen als regelrechte Fundgrube für Angreifer, insbesondere mit Blick auf nicht abgesicherte Endgeräte, die eine „Brückenfunktion“ zwischen dem Internet der Dinge und Backend-Systemen übernehmen.
Die Cloud sorgt für neue Betriebsmodelle.
Unternehmen und Öffentliche Hand setzen ihre Migration in die Cloud fort, die Managed Private Cloud ist dabei weiterhin stark auf dem Vormarsch. Vorteile in Bezug auf Agilität und Kosten überwiegen zunehmend die angenommenen Risiken. Der Weg in die Cloud entbindet Organisationen nicht von ihrer Verantwortung, die Geschäfts- und Kundendaten entsprechend abzusichern. Gerade, weil sich Betriebsmodelle ändern, wird es darum gehen müssen, zu definieren, welche Aufgaben und Verantwortlichkeiten die Organisation und welche der Cloud Service Provider übernimmt und wie Risiken zu managen sind.
Informationssicherheit geht weit über klassische Compliance hinaus.
Um Geschäfts- und Kundendaten vor dem Zugriff durch professionelle Cyberkriminelle abzusichern, verlassen Organisationen verstärkt ihre auf Compliance fokussierte Perspektive und nehmen einen stärker risikobasierten Standpunkt ein. Ein risikobasierter Ansatz schärft die Sicht auf die Beziehung zwischen Werten, Bedrohungen, Schwachstellen und Maßnahmen. Darüber hinaus wird es bei der Risikobewertung immer wichtiger zu wissen, wo erzeugte Daten gelagert und wie sie aggregiert werden. Dies gilt auch und vor allem in den Bereichen Medizin und Gesundheitsvorsorge.
Datenschutz und Datensicherheit bestimmen noch stärker die öffentliche Diskussion.
In Deutschland werden die Anforderungen an Datenschutz und Datensicherheit für Betreiber Kritischer Infrastrukturen weiter konkretisiert. Für das Frühjahr 2016 sind detaillierte Rechtsverordnungen in den Bereichen Ernährung, Wasser, Energie und ICT angekündigt, Ende 2016 sind Branchenbeobachtern zufolge Verordnungen für die Sektoren Gesundheit, Transport und Verkehr, Medien und Kultur, Finanz- und Versicherungswesen sowie Staat und Verwaltung zu erwarten. Die konkreten Auflagen in Bezug auf Meldepflicht und den Nachweis zur Implementierung angemessener Standards der Informationssicherheit führen zu einem verstärkten Beratungsbedarf kleiner und mittelständischer Unternehmen.
Incident Response wird zum Daily Business.
In Zukunft wird es wichtiger sein, sich mit schnell wandelnden Formen von Angriffen auseinanderzusetzen. Das frühzeitige Aufspüren gezielter komplexer Angriffe erfordert das Erfassen und die Analyse großer Datenmengen, - z.B. in Form von Logs oder Pcap‘s (packet captures - API zum Mitschneiden von Netzwerkverkehr). Das bedarf Experten-Know-hows, professioneller neuer Tools und einer beständigen Anpassung an Technologie-Trends im Bereich Mobile, Cloud und Internet der Dinge, denn der Datenstrom wird so noch exponentiell wachsen. Unternehmen benötigen mehr denn je leistungsfähige Incident-Response-Strukturen.
Organisationen nehmen verstärkt Managed Security Services (MSS) in Anspruch.
Der komplexen Bedrohungslage steht die Mehrheit von IT-Security-Teams heute vielfach überfordert gegenüber. Was fehlt, sind qualifiziertes Personal und Technologien, um die risikobasierten Maßnahmen, die für den Schutz ihrer Organisation erforderlich wären, zu managen. Eine wirtschaftlich attraktive Alternative, um Engpässe in punkto Personal und Technologie zu umgehen, sind Managed Security Services (MSS), die es mittlerweile in allen relevanten Bereichen der Informationssicherheit gibt. MSS erlauben einen bedarfsorientierten und skalierbaren Abruf topaktuellen Know-hows, von Experten-Support für eine zeitnahe Problemlösung und den Einsatz innovativer Technologien, während die Kontrolle über die interne IT-Security im Unternehmen bleibt.
Industrial Control System (ICS) Security wird wichtiger denn je.
Im Rahmen von M2M-Kommunikation, wachsender Vernetzung und einer zunehmenden Aufweichung der Perimeter-Sicherheit von Organisationen wird es immer wichtiger, dass Unternehmen verstehen lernen, wie Office-IT und Produktions-IT sowie die IT im Kontext von Industrie 4.0 und der konventioneller Produktion bei der Abwehr von Angriffen zusammenarbeiten sollten. Hier geht es um ein tieferes Verständnis erforderlicher Prozesse und Technologien zu Prävention, Detektion und Abwehr von Angriffen und wie "Incident Response" auch und gerade im Bereich der Produktions-IT funktionieren sollte.
Der Bedarf an externer Cyber Threat Intelligence (CTI) steigt.
Angesichts der dynamischen Bedrohungslage wird es für Organisationen immer wichtiger, aufkommende methodische und technologische Trends so früh wie möglich zu identifizieren und auf ihre Kritikalität zu analysieren. Wesentlich ist auch, die eigenen Abwehrfähigkeiten regelmäßig auf neue Bedrohungen zu überprüfen. Weil Organisationen intern häufig nicht über das Know-how verfügen, werden zunehmend externe Spezialisten für Cyber Threat Intelligence (CTI) zu Rate gezogen. Diese verfügen über fundierte Kenntnisse in den Bereichen Open Source Intelligence, Social Media Intelligence, Human Intelligence, kennen sich mit gängigen Mitteln und Motiven aus und konzentrieren sich vor allem auf die Bereiche Cyber-Crime, Cyber-Aktivismus und Cyber-Spionage.

IT-Sicherheit im IoT: Skepsis bei Verbrauchern

Cobb weist auf einen Fall hin, der kürzlich bei der Firma VTech aufgetreten ist, die Wearables für Kinder herstellt. Die Kundendatenbank von VTech - die Daten von rund 12 Millionen Kunden enthält - wurde angegriffen. "Einige der Spielzeuge machten Fotos und verbreiteten diese über das Backend-System von VTech weiter", schildert Cobb. "Im Falle eines Wearables können die gespeicherten Informationen vielfältig sein - von Geodaten bis hin zu Gesundheitsinformationen."

Die gute Nachricht: Viele Verbraucher und Konsumenten stehen Wearables insbesondere beim Thema IT-Security skeptisch gegenüber. Einer aktuellen Studie des Security-Anbieters Auth0 zufolge halten 52 Prozent der US-Verbraucher Internet of Things-Devices für nicht sicher genug. Viele Consumer werden vor der Anschaffung eines Wearables also ganz genau hinsehen, ob das Device ihrer Wahl auch den Ansprüchen an die IT-Sicherheit genügt.

Erhöhter Datenschutz-Bedarf bei Unternehmen

Allerdings sind - wie das Beispiel VTech zeigt - nicht die Wearables selbst der Unsicherheitsfaktor, sondern die Datenbanken wo die gesammelten Daten gespeichert werden. "Wenn jemand die Daten ins Visier nimmt, die ein Unternehmen das Wearables vertreibt, bei seinen Kunden sammelt, handelt es sich dabei in der Regel um grundsätzliche, persönliche Informationen wie Name und Adresse", sagt Cobb. Mit diesen Infos könnten die Hacker eine ganze Menge Dinge anstellen. Wenn ein Krimineller beispielweise Zugriff auf Echtzeit-Geodaten bekommt, könnte er diese Informationen für einen Einbruch nutzen. Ähnliches hatte sich auch in der Anfangszeit von Facebook abgespielt - damals wurden User zu Opfern, die Urlaubsbilder posteten.

Die meisten Unternehmen würden nach Einschätzung von Cobb aber künftig dafür Sorge tragen, dass ihre Datenbanken zur Genüge abgesichert sind: "Ansonsten droht ihnen erheblicher Ärger mit der Federal Trade Commission." Den Verbrauchern rät der Sicherheitsforscher, sich auf jeden Fall über den Hersteller des betreffenden Wearables zu informieren. Dazu gehört auch, im Vorfeld zu überprüfen ob - und wenn ja welche - Drittanbieter-Apps auf die Daten des Geräts zugreifen können. Deren Datenschutz-Richtlinien sollten Sie außerdem aufmerksam durchlesen. Es gibt keine Datenschutz-Richtlinien? Dann sollten Sie vielleicht lieber auf diese App verzichten.

Zum Video: So sicher sind Wearables wirklich

Wearables: Datenschutz-Gefahr am Arbeitsplatz

Wenn Sie CIO bei einem Unternehmen sind, das mit sensiblen Daten (zum Beispiel Informationen die unter die ärztliche Schweigepflicht oder das Anwaltsgeheimnis fallen) umgeht, könnte der Einsatz von Wearables am Arbeitsplatz eventuell rechtliche Konsequenzen nach sich ziehen. "Ich werde mir künftig über Dinge wie Google Glass, Smartwatches und jede Art von Device Gedanken machen müssen, das in der Lage ist, Audio- oder Videomaterial aufzuzeichnen. Das ist unsere größte Sorge, wenn es darum geht unsere eigenen Daten zu schützen", erklärt Mark McCreary, Datenschutzbeauftragter und Partner bei der US-Kanzlei Fox Rothschild.

Es gibt viele denkbare Szenarios, die für Unternehmen erhebliche Konsequenzen zur Folge haben könnten. Etwa wenn Mitarbeiter ein privates Handyvideo während der Arbeitszeit in den Büroräumen drehen. Während des Aufnahmeprozesses könnte es durchaus passieren, dass sensible Informationen zu sehen oder auch zu hören sind - ohne dass das zunächst groß auffällt. Werden solche Aufnahmen anschließend über soziale Netzwerken oder Video-Plattformen verbreitet, könnte das erheblichen Schaden anrichten.

"Es geht darum, dass diese Informationen vervielfältigt werden und so der völlige Kontrollverlust über deren Verbreitung eintritt", so McGreary weiter. Seinen Angestellten vermittelt er dieses Problem anhand des Beispiels Dropbox: Lädt man dort eine Datei hoch, existiert eine Kopie der darin befindlichen Daten nicht mehr nur auf dem Unternehmensnetzwerk und wird so angreifbar. Dazu kommt noch, dass Wearables - etwa im Vergleich zu Smartphones - deutlich unauffälliger dazu benutzt werden können, sensible Informationen unbemerkt aufzunehmen, festzuhalten oder zu vervielfältigen. Mark McGreary empfiehlt Unternehmen, die mit sensiblen Informationen umgehen, Wearables mit Aufnahme-Feature generell vom Arbeitsplatz zu verbannen - oder diese zumindest an besonders schützenswerten Orten zu verbieten.

Wearables im Business-Einsatz
Vuzix M100
Reparatur und Wartung sind neben der Lagerarbeit ein starker Fall für Smart Glasses wie die Vuzix M100. Die Brille nimmt dabei nicht nur wichtige Informationen auf, sondern vermittelt dem Fachmann auch solche.
Vuzix M100 II
Die Datenbrillen zeigen den Mitarbeitern die Position der gesuchten Ware im Lager.
Vuzix M100 III
Die entsprechende Software für die Datenbrillen hat beispielsweise SAP entwickelt.
Marktaussichten
Noch sind Sport-und Fitness-Tracker ganz weit vorn im Wearable-Markt. ABI Research zufolge werden sich bis 2017 aber Smartwatches an die Spitze drängen. Der Gesamtmarkt soll sich bis 2018 ungefähr verzehnfachen
Hands free
Ob im Warenlager, bei der Kommissionierung oder Wartung von Maschinen, erlauben Smart Glasses das freihändige Arbeiten....
Hands free II
SAP hat mit Brillen von Google und Vuzix schon entsprechende AR-Lösungen vorgestellt.
Google
Im Ausland kann sich beim Lesen von Straßenschildern die Übersetzungshilfe von Google Glass bezahlt machen. Gleiches gilt natürlich auch im Lager. Denn Postsprache ist immer noch Französisch.
Google II
Google Glass ist noch gar nicht auf dem Markt, dennoch wurden wie hier von Onoffre Consulting am brasilianischen Instituto Lubeck schon mehrere OPs damit geführt, oft über Hunderte von Kilometern.
Google III
Ein Szenario, das Google für die eigenen Smart Glasses mit integriertem GPS aufzeigt, ist die Navigation einschließlich Anzeige von Mautstellen.
Metaio
AR-Spezialist Metaio hat im September 2013 die erste interaktive Bedienungsanleitung auf Google-Glass-Basis mit neuer 3D-Tracking-Technologie vorgestellt.
Metaio II
Vorläufer der Metaio-Lösung ist die eKurzinformation für Audi.
Navigationsjacke
Ein australisches Unternehmen namens We:Ex (Wearable Electronics) hat unter anderem diese Navigate Jacket entwickelt, welche die Trägerin über optische und haptische Signale sicher zum Ziel führen soll.
BioHarness
Zephyrs Bioharness 3 wird zusammen mit dem PSM Responder ECHO im amerikanischen Profisport zu Trainingszwecken eingesetzt.
Smartwatches
Smartwatches wie die Samsung Galaxy Gear, Sony Smartwatch 2, Pebble und Co. werden meist als reine Consumer-Gimmicks gesehen. Gepaart mit Health oder Fitness Tracking wird daraus aber auch schnell ein B2B-Fall.
Adidas MiCoach
Dieses MiCoach genannte System von Adidas wird unter anderem zum Training der deutschen Fußballmannschaft im Vorfeld der WM 2014 in Brasilien eingesetzt.
Zeiss Cinemizer Oled
Zeiss Bajohr Lupenbrille
Die 3D-Brillen von Zeiss werden unter anderem als Ablenkung bei Angstpatienten eingesetzt.

Unternehmen, Fitness-Tracker & Mitarbeiter-Daten

Es gibt Unternehmen, die unter ihren Angestellten Fitness Tracker verteilen - als Teil eines unternehmensgestützten Wellness-Programms zum Beispiel. Die Intention hinter solchen Aktionen mag zwar durchaus positiv sein - dennoch könnten möglicherweise rechtliche Probleme auftreten, wenn es darum geht wer die über diese Wearables gesammelten Informationen zu sehen bekommt, gibt Beth Zoller vom HR-Dienstleister XpertHR zu bedenken: "Es kommt einer Invasion in die Privatsphäre gleich, wenn ein Arbeitgeber Zugriff auf die Gesundheitsinformationen seiner Mitarbeiter bekommt."

Viele Fitness-Tracker sind heute allerdings nicht nur in der Lage, Aktivitäten zu messen, sondern auch den Schlaf zu überwachen. Die wenigsten Arbeitnehmer dürften damit einverstanden sein, dass ihr Arbeitgeber Zugriff auf solche Informationen bekommt. Dazu kommt noch ein anderes Problem: Firmeneigene Wearableskönnten begünstigen, dass die Grenze zwischen Arbeit und Freizeit verschwimmt. Speziell in den USA müssen Arbeitgeber sich absichern, um nicht gegen Gesetze zu verstoßen, so Zoller weiter.

Wenn ein Wearable Audio- oder Video-Inhalte aufzeichnen kann, müsse der Arbeitgeber sicherstellen, dass er nicht auf Informationen zugreift, für die er kein entsprechendes Privileg besitzt - beispielsweise Daten über Gewerkschaftsaktivitäten eines Mitarbeiters. Ihrer Meinung nach sei es für Unternehmen sinnvoll, klare Richtlinien zu erstellen, wie, wo und in welchem Umfang Mitarbeiter Wearables am Arbeitsplatz benutzen dürfen.

Lifestyle-Romantik vs. Cybercrime-Realität

Die Wearables-Industrie ist zwar noch eine sehr junge Branche, dennoch ist sie bereits enorm groß und setzt in der Außenwirkung vor allem auf den schönen Schein - in Form sozialromantischer Lifestyle-Szenarien. Diese dürften sich allerdings spätestens dann in Luft auflösen, wenn Hacker und Cyberkriminelle die neuen Ausbeutungs-Möglichkeiten der Wearables austarieren. Ein ganz normaler Vorgang, wie Sicherheitsforscher Cobb nochmals betont: "Jede neue Technologie wird eingehend auf Schwachstellen überprüft. Werden diese gefunden, werden sie auch ausgenutzt. Wir müssen das Feld der Wearables also verstärkt im Auge behalten, wenn es um neue Bedrohungen geht."

Top Ten: Wearable Trends 2016
Wearable Trends 2016
Der Markt für Wearables wird im Laufe der nächsten Jahre weiter wachsen - wenn man den Analysten Glauben schenken mag. Wir haben die Top Ten der Wearable Trends für 2016 für Sie zusammengefasst.
1. Der Wearables-Markt wächst weiter
Zahlreiche Analysten sehen den Wearables-Markt weiterhin im Aufwind. Der Branchenverband Bitkom prognostizierte für das Jahr 2015 einen Umsatz von rund 71 Millionen Euro auf dem deutschen Markt. In den USA nutzen inzwischen bereits knapp 40 Millionen Menschen Smartwatches, Fitness Tracker und andere Wearables. Im Vergleich zum Vorjahr schnellte die Zahl der Wearable-User um satte 57,7 Prozent nach oben. Bis zum Jahr 2019 sollen laut IDC weltweit rund 156 Millionen Wearables verkauft werden.
2. Smartwatches können Fitness-Tracker nicht verdrängen
Viele Analysten rechneten damit, dass Fitness- und Activity-Tracker (die tatsächlich nichts anderes tun, als Schritte, Kalorien und Herzschläge zu zählen) mit Erscheinen der Apple Watch vom Markt verschwinden. Taten sie aber nicht. Um das Ganze mit einem Vergleich zu untermauern: Apple verkaufte laut IDC im zweiten und dritten Quartal 2015 ungefähr 7,5 Millionen Exemplare der Watch. Fitbit - Marktführer bei Fitness- und Activity-Trackern - konnte im selben Zeitraum 9,2 Millionen Tracker absetzen.
3. Neue Konkurrenten für Fitbit
Während die Fitbit-Aktie zu Beginn des Jahres 2016 massive Kurseinbrüche erlebt hat, macht sich die Konkurrenz bereit für den Markteintritt. Allen voran die Chinesen von Xiaomi. Die bieten mit dem Mi Band einen Fitness-Tracker für umgerechnet ca. 14 Euro an. Momentan macht Xiaomi laut IDC 97 Prozent seines Umsatzes in der eigenen Heimat. Wenn die Expansion gelingt, könnte es für Fitbit eng werden. Dazu kommt, dass weitere, vielversprechende Player ins Geschäft einsteigen wollen - zum Beispiel Garmin, Withings oder Under Armour.
4. Wearable Apps werden besser und teurer
Das US-Marktforschungsinstitut NPD Group geht davon aus, dass Apps für Fitness-Tracker und andere Wearables sich deutlich weiterentwickeln werden - insbesondere was Funktionalitäten und User Experience angeht. Um weiterhin wettbewerbsfähig zu bleiben, werden die Hersteller allerdings neue Einnahmequellen finden müssen. Die NPD Group geht davon aus, dass viele Wettbewerber dem Beispiel von Fitbit folgen werden. Der US-Marktführer bietet inzwischen ein kostenpflichtiges Premium-Abonnement an. User, die Wert auf einen personalisierten Trainingsplan oder tiefgehendere Schlaf-Analysen legen, zahlen dafür rund 50 Euro pro Jahr.
5. Hacker nehmen Wearables ins Visier
Mit steigender Beliebtheit der Wearables werden diese auch immer interessanter für Hacker und Cyberkriminelle. Bruce Snell - Direktor für Datenschutz und -sicherheit bei der Intel Security Group - sieht vor allem in der Bluetooth LE-Technologie ein Problem: "Im Zusammenhang mit dieser Technologie wurden bereits mehrere, gut dokumentierte Sicherheitslücken gefunden. Es ist gut möglich, dass sich mit jeder neuen Software-Version neue Lücken auftun. Ein schlecht programmiertes Wearable kann Angfreifern eine Hintertür zu Ihrem Smartphone öffnen." Snell rechnet damit, dass in den nächsten Monaten zahlreiche, weit verbreitete Wearables kompromittiert werden.
6. Smart Clothing wird zum Trend
Der Bereich Smart Clothing wird laut dem Netzwerkausrüster Juniper wesentlich zum Wachstum des Wearable-Marktes beitragen. Die sensorbestückten Kleidungsstücke sollen allerdings nicht bei den Verbrauchern reißenden Absatz finden, sondern im Bereich des professionellen Sports. Bereits jetzt nutzen einige Spieler in NFL, NBA oder auch der UEFA Champions League solche smarten Kleidungsstücke, um ihre Performance besser kontrollieren zu können. Künftig sollen ganze Sportteams mit den Klamotten ausgerüstet werden.
7. Der Trend zum Schlaf
2016 könnte das Jahr des Schlafes werden. Die meisten Fitness- und Activity-Tracker sowie Smartwatches überwachen den Schlaf ihrer Nutzer bereits. Mit steigender Zahl der Sensoren werden diese Analysen deutlich ausgefeilter und tiefgehender ausfallen. Das ultimative Ziel scheint beim Unternehmen Nuyu bereits in Reichweite: Ein System zur Schlafverbesserung regelt die Körpertemperatur seines Nutzers, um die Schlafqualität zu erhöhen.
8. Wearables in der Nische
Die Differenzierung unter den Wearables dürfte im Jahr 2016 weiter zunehmen. Egal, ob es ein Wearable für die Dame von Welt sein soll, das vor allem stylish ist, oder eines, das vor zu hoher UV-Einstrahlung warnt.
9. Die Uhren-Revolution
Im vergangenen Jahr konnte man auf dem Uhrenmarkt ein Phänomen beobachten: Immer mehr Traditions-Hersteller begannen damit, ihren mechanischen Zeitanzeigern smartes, konnektives Leben einzuhauchen. Auch dieser Trend dürfte sich weiter verstärken.
10. Übergangslösung Wearables
Liz Dickinson, CEO des Wearable-Herstellers Mio Global, glaubt nicht daran, dass sich Wearables auf lange Sicht behaupten können: "Die heutigen Wearables sind lediglich eine Übergangs-Technologie. Das ultimative Ziel ist die vollständige Integration und Implantation in den menschlichen Körper. In Zukunft werden wir noch vernetzter sein und unsere Umwelt wird sich mit Hilfe eines neuen Systems, das in unseren Körpern eingebettet ist, unseren physiologischen und emotionalen Bedürfnissen anpassen."