Bundesamt für Sicherheit in der Informationstechnik

Wearables – direkt am Körper getragene Mini-Computer

Schon immer hat der Mensch sich selbst mit Zahlen bewertet. Was mit analogen Körperwaagen, Kalendern und Zentimetermaß begann, wird durch die Digitalisierung um immer mehr Möglichkeiten der digitalen Selbstvermessung ergänzt. Bei dieser Vermessung unterstützen sogenannte "Wearables". Das sind kleine Computersysteme, die direkt am Körper getragen werden können. So ist es heute bereits möglich unter anderem die Herzfrequenz, den Blutdruck, den Blutzuckerspiegel, den Schlaf oder den Kalorienverbrauch zu messen und die Messergebnisse anschließend über Applikationen (Apps) bewerten zu lassen. Vor dem Kauf eines Wearables sollten Verbraucherinnen und Verbraucher jedoch auf eine ausreichende Umsetzung der Datensicherheit achten.

Smartwatch mit Companion Device einem Smartphone. Quelle: © Andrey Popov / Fotolia.com

Fitnesstracker, Smartwatch und intelligente Kleidungsstücke

Es existieren verschiedene Arten von Wearables. Am weitesten verbreitet sind Fitness- oder Activity-Tracker. Oft handelt es sich dabei um einfache Armbänder, die eine Hardwarekomponente enthalten, welche verschiedene Sensoren beherbergt und Rechenoperationen durchführen kann. Smartwatches sind ebenfalls weit verbreitet. Diese vereinen meist die Anwendungen eines Fitnesstrackers mit zusätzlichen Funktionen, wie der Steuerung eines Smartphones oder eines digitalen Assistenten. Es gibt viele weitere Arten von Wearables, die im deutschen Markt zum Teil noch nicht stark verbreitet sind: smarte Kleidung, die beispielsweise Körperwerte überwachen kann, smarte Kopfhörer mit zusätzlichen Funktionen wie einem digitalen Assistenten oder der direkten Übersetzung gehörter Sprache und Datenbrillen, die das Sichtfeld des Trägers mit digitalen Informationen anreichern. Die Erweiterung der in einer Datenbrille gesehenen Realität mit zusätzlichen virtuellen Inhalten wird als "Augmented Reality" bezeichnet.

Wearables als nützliche Helfer für den Alltag

Der Nutzen von Wearables kann für deren Träger oder Trägerin hoch sein. Durch die Auswertung der gesammelten Daten kann ein Activity-Tracker beispielsweise Verhaltenstipps zur Verbesserung des Fitness-Levels geben. Das Feedback soll - teils mit spielerischen Elementen unterstützt - helfen, individuelle Ziele umzusetzen, wie zum Beispiel das Erreichen einer bestimmten Schrittzahl am Tag. Wearables können aber nicht nur bei der Verhaltensoptimierung helfen, sondern auch den Alltag erleichtern. Gerade eine Smartwatch vereint viele praktische Anwendungen, um immer alle Informationen "an dem Mann" oder "an der Frau" zu haben. Zum Beispiel kann eine Smartwatch neben der üblichen Zeitanzeige an bevorstehende Termine erinnern und E-Mails oder andere Nachrichten abrufen.

Risiken bei der Nutzung von Wearables

Damit Wearables ihre Funktionen anbieten können, werden über diese und entsprechende Apps personenbezogene Daten gesammelt. Erhalten unberechtigte Dritte diese Daten, wissen diese, je nach Umfang des Datensatzes, vieles oder fast alles über den Nutzer oder die Nutzerin. Unter Umständen kann herausgefunden werden, wie die Person heißt, wann und wo sie geboren wurde, wo sie wohnt und arbeitet. Zudem könnten diese Daten-Schnüffler genaue Angaben zu persönlichen Eigenschaften wie den Schlafrhythmus oder die körperliche Kondition und andere Daten sammeln, um das Profil der Person so genau wie möglich zu rekonstruieren, ohne dieser jemals begegnet zu sein.

Alle diese Details könnten unter anderem für einen Identitätsdiebstahl ausgenutzt werden. Zudem könnten Personen Opfer von "Doxing" werden. Der Begriff wird verwendet, wenn Daten einer Person gezielt beschafft werden, um diese dann im Internet zu veröffentlichen. Oft wird damit das Ziel verfolgt der Person zu schaden. Zum Beispiel kann durch das Offenlegen "brisanter" Daten ein Imageverlust von Personen erreicht werden. Ebenso könnten betroffene Personen eines Datendiebstahls durch Androhung der Offenlegung von Daten erpresst werden.

Mögliche Einfallstore in das System eines Wearables und damit auf die dort gespeicherten Daten stellen Sicherheitslücken in der Anwendungssoftware oder dem Betriebssystem der smarten Mini-Computer dar. Diese könnte ein Angreifer ausnutzen, um zum Beispiel die Kontrolle über das Wearable zu übernehmen. Wenn ein gekapertes Wearable weitreichende Rechte für die Steuerung eines mit ihm vernetzten weiteren Gerätes, beispielsweise ein Smartphone, hat, kann der Angreifer diese Rechte nutzen, um auch dieses vernetzte Gerät zu übernehmen.

Wenn eine Transport- und Speicherverschlüsselung fehlt, besteht zudem bei der Übertragung der Daten die Gefahr von Manipulation und Ausspähung. So übertragen Wearables die Daten unter anderem über Bluetooth oder NFC-Schnittstellen an ein Smartphone, auf dem eine zugehörige App die Daten auswertet, grafisch aufbereitet und anzeigt. Als Zwischenspeicher werden zum Beispiel Cloud-Dienste oder zum System zugehörige Companion Devices genutzt, also Geräte wie zum Beispiel Smartphones, Tablets oder PCs, mit denen sich Wearables verbinden.

Die Nutzung von Wearables kann dementsprechend oft einen Mehrwert bieten, aber ist gleichzeitig auch risikoreich, wenn nicht für eine entsprechende Sicherheit gesorgt ist.

Wearables sicher nutzen

Vor dem Einsatz oder Kauf eines Wearable sollten die Nutzerinnen und Nutzer folgende Punkte überprüfen und, wo es möglich ist, selbst Einstellungen für mehr Sicherheit aktivieren. Auch wenn es keine hundertprozentige Sicherheit gibt, kann so das Risiko eines erfolgreichen Angriffs auf die Mini-Computer minimiert werden.

Sicherheitseinstellungen und Updates:

  • Hersteller sollten langfristig Sicherheitsupdates anbieten und versprechen entdeckte Schwachstellen schnell zu schließen.
  • Falls möglich, sollte die Verschlüsselung von Daten aktiviert werden.
  • Wenn Updates für das Wearable zur Verfügung gestellt werden, sollten diese umgehend installiert werden. Gibt es eine Funktion für automatisierte Updates, sollte diese aktiviert werden.

Zugriffsrechte:

  • Ein Wearable wird häufig mit einem anderen Companion Device, beispielsweise einem Smartphone, verbunden. Dabei kann das Wearable Zugriff auf die Smartphone-Daten und Funktionen erhalten, wie Standort, Kontakte oder den Telefonstatus. Berechtigungen für Zugriffe des Wearables auf die Daten des Companion Devices sollten daher immer geprüft und gegebenenfalls deaktiviert werden. Umgekehrt sollten auch Zugriffe auf die Daten den Wearables über Apps des Companion Decives nur, wenn notwendig, zugelassen werden.
  • Vorsicht: Mit jedem Update könnten Änderungen in der Berechtigungsstruktur entstehen. Prüfen Sie daher nach jedem Update die Berechtigungen und justieren Sie diese gegebenenfalls neu.

Passwörter und PINs:

  • Besteht die Möglichkeit das Wearable durch einen PIN-Code oder ein Passwort vor unerlaubten Zugriffen zu schützen, sollte diese genutzt werden.
  • Der Sperrcode oder das Passwort sollte möglichst sicher gewählt sein.
  • Das eventuell verbundene Companion Device sollte ebenfalls mit einem entsprechend sicheren Passwort abgesichert sein und wie andere mobile Geräte geschützt werden. Dies gilt auch für die Absicherung des genutzten WLAN-Netzwerks.
  • Voreingestellte Codes und Passwörter sollten immer durch eigene Passwörter oder PINs ersetzt werden.
  • Sollte das Wearable nicht über eine Schutzmöglichkeit mit einem Passwort oder einer PIN verfügen, sollte es besonders geschützt gelagert und aufbewahrt werden, wenn es nicht am Körper getragen wird.

Vernetzung und Kommunikation:

Schnittstellen des Wearables mit anderen Geräten sollten nur aktiviert werden, wenn diese für die Funktionalität notwendig sind und verwendet werden. Nach der Verwendung sollten diese nach Möglichkeit wieder deaktiviert werden. Denn je mehr Schnittstellen aktiviert sind, desto mehr Angriffsfläche bietet sich für Cyber-Attacken.

Das Koppeln und die Kommunikation des Wearables mit anderen Geräten sollte nur möglich sein, wenn sich das Companion Device eindeutig identifizieren und authentifizieren lässt. Dies kann beispielsweise über die Eingabe einer PIN im Companion Device erfolgen, welcher auf dem Wearable angezeigt wird. So wird sichergestellt, dass sich nur verifizierte Companion Devices mit dem Wearable verbinden. Es gibt Wearables, die schlichtweg keine Anzeigemöglichkeit haben. Hier müsste man sich darüber informieren, wie der Hersteller eine sichere Kopplung gewährleistet und dafür sorgt, dass sich kein Angreifer mit einem solchen Wearable verbinden kann.

Alle Daten sollten zudem immer durch eine Transport- und Speicherverschlüsselung geschützt sein. Die Hersteller sollten hierzu Informationen in deren AGB oder Datenschutzbestimmungen bereit stellen.

Die Erstkopplung von Wearables mit Companion Devices sollte in einer vertrauenswürdigen Umgebung erfolgen, z.B. zuhause. So kann vermieden werden, dass bei der Erstkopplung auszutauschende sensible Informationen abgehört werden, etwa bei einem möglichen Austausch von Schlüsseln.

Wearables – eine weitere Herausforderung für die IT-Sicherheit

Wearables bieten viele neue Möglichkeiten. Sie haben das Potenzial alltägliche, technische Mini-Begleiter zu werden und eventuell in der Zukunft sogar die Brieftasche zu ersetzen. Dadurch können persönliche Daten wie Kontodaten mobiler Bezahldienste und Daten der Selbstvermessung auf einem Wearable gespeichert werden. Es ist davon auszugehen, dass Wearables mit der fortschreitenden Entwicklung immer eigenständiger werden und bald auch ohne Companion Device betrieben werden können. Eine ständige und direkte Verbindung mit dem Internet, zum Beispiel mittels eines integrierten Mobilfunkmoduls führt dazu, dass diese direkt aus dem Internet gefunden und angesprochen werden können. Dies stellt ein hohes Risiko dar, wenn bei der Herstellung des Wearables die IT-Sicherheit nicht berücksichtigt wird und die Implementierung entsprechender Funktionen versäumt wurde. Verbraucher sollten dies schon heute einfordern und sich beim Hersteller oder Anbieter erkundigen, wie ihre Daten auf dem Wearable sowie bei der Übertragung geschützt werden. Letztendlich sind sensible und persönliche Daten ein begehrtes Gut speziell für Online-Kriminelle, die diese für ihre kriminellen Zwecke sammeln. Entsprechend vorsichtig und verantwortungsbewusst sollten Wearables eingesetzt werden.