Viele
Menschen haben jede Menge sorgen über Gefahren, die sie nicht kennen.
Auch bei Wearables (Smart Watches, Activitytrackern, Smart Linsen,
Smartphones, Smart ...) wird oft behauptet, dass sie nicht sicher seien.
Was heißt das genau?
Welche Risiken könnten von Wearables im Allgemeinen ausgehen?
Die folgende Liste hat keinen Anspruch auf eine vollständige Aufzählung von Risiken:
1) Gefahr für die eigene Gesundheit
Cardiac Hacking: Wearables könnten einen zu niedrigen Puls anzeigen und damit den Sportler überfordern.
Übereifer:
Immer schneller, höher, weiter und alles aufzeichnen und mit anderen
Sportlern vergleichen. Mit zu schneller Leistungssteigerung überordern
sich manche enthusiastischen Träger von Wearables
Einschneiden
der Geräte in die Haut. Manche Geräte sitzen zu eng auf der Haut.
Smarte Kontaktlinsen können sich abnutzen und das Auge mit der Zeit
schädigen.
Oft werden Kunststoffe verwendet, die Allergien verursachen.
Batterien können überhitzen und explodieren
2) Fehlmessungen und Schlüsse aus den Daten
Arztdiagnosen:
Ärzten, denen wir unsere Gesundheitsdaten zur Verfügung stellen,
könnten mit fehlerhaften Messungen zu falschen Diagnosen gelangen.
Selbstdiagnosen: Der Sportler führt Selbstdiagnosen durch und interpretiert manche Messwerte aus Mangel an Erfahrung falsch.
3) Gefahr für andere Menschen
Wearables könnten uns fehlleiten und Unfälle verursachen.
4) Gefahr durch Hijacking
Wearables könnten ferngesteuert werden und manipuliert werden.
Gefahr
durch (Wirtschafts-) Spionage: Wearables wie Smart Glasses könnten dazu
übergehen, Eure Umgebung auszuspionieren und alles aufzunehmen, was ihr
vorm Computer macht.
5) Viren und Trojaner
Wearables
haben einen Speicher und nehmen Kontakt mit einem Webserver auf. Es
könnte auf den Webserver ein Schadprogramm übertragen werden oder
umgekehrt.
6) Datenschutz
Die Benutzerdaten könnten bei unverschlüsselten Verbindungen von Dritten mitgelesen werden.
Zugangsdaten zum Webportal sind auf dem Gerät gespeichert und können von versierten Hackern ausgelesen werden.
Wenn Nachrichten, Mails auf das Wearable übertragen werden, könnten diese mitgelesen werden.
Die Webserverbetreiber könnten unsere Daten auswerten und verkaufen.
7) Technische Fehler, fehlende Umsetzungen, veraltetes Wearable
Veralteter
Softwarestand: Produktverbesserungen und Schließung von
Sicherheitslücken findet nicht statt, wenn kein aktuelles Update
eingespielt wird.
Veraltetes Gerät: Der
Hersteller stellt keine Updates der Software mehr bereit. Die Geräte
werden dennoch vom Benutzer noch lange nach dem Ende des Supports
genutzt.
Schwachstellen: Manche Fehler
werden nicht entdeckt und behoben und können zu einem Risiko oder einer
Schwachstelle für Angreifer erwachsen.
Einfachheit
und Usability: Es wird bewusst auf mehr Sicherheit verzichtet, um
erstens die Entwicklungskosten zu reduzieren und zweitens nicht die
Usability für den Endanwender zu verkomplizieren
8) Diebstahl
Wearables
sind klein und teuer. Daher sind sie ein begehrtes Ziel für Diebe. Oft
müssen Wearables aufgeladen werden und sie sind dann nicht in unserem
Blickfeld. Selbst eine Smart Watch am Arm ist nicht vor Dieben geschützt
und leicht zu entwenden.
9) Erweiterbarkeit
Wenn
auf einem Wearable alle möglichen Apps mit unbekannter Software und
Herkunft geladen werden können, dann kann der Hersteller des Wearables
das Systemverhalten nicht vorab testen. Viele haben schon erlebt, wie
ihr Smartphone langsam vermüllt und nicht mehr die ursprünglichen
Eigenschaften und Sicherheitseinstellungen hatte wie früher einmal.
Viele Apps fordern Berechtigungen ein, die sich nicht durch deren angebotene Funktionalität rechtfertigen lassen.
Manche
dieser Gefahren gehen nur von bestimmten Wearables mit bestimmter
Sensorik aus. Die gute Nachricht ist, Hersteller können viel dafür tun,
damit die angebotenen Wearables ein vermindertes Risiko darstellen.
Bei
vielen Risiken sind jedoch allein wir Nutzer aufgefordert, kritisch und
bewusst mit dieser Technik umzugehen. Viele denken, was kümmert mich
die Sicherheit, die Hauptsache ist, es funktioniert und macht Spass. Wer
interessiert sich schon für meine Daten?
Daten von Anwendern ist ein Riesengeschäft und können dazu verwendet werden, um uns einen Nachteil oder Schaden zu bescheren.
Ist der Schaden einmal da, dann können wir ihn ausbaden. Also Augen auf, was das Thema "Security" bei Wearables anbelangt.
Wir
müssen kein Hacker sein, um zu verstehen, welche Maßnahmen wirkungsvoll
sind. Zu geeigneten Maßnahmen werde ich einen eigenen Beitrag
verfassen.
Warum sind viele Wearables unsicher?
Jeder
kauft Wearables wie Smart Watches, Smart Ringe und Activitytracker und
nutzt sie leidenschaftlich in der Freizeit und insbesondere für den
Sport. Ist daher anzunehmen, dass sie sicher sind? Oder anders gefragt,
warum sollten wir annehmen, dass Wearables unsicher sein könnten?
Wearables werden unter Zeitdruck entwickelt. Time-to-market heißt die Devise der Auftraggeber. Dabei greift ein Hersteller zu Standardkomponenten und macht sich wenig Gedanken über Security. Zumal die Umsetzung von Security Geld kostet und sich auf die Usability des Produkts auswirken kann.
Wearables werden unter Zeitdruck entwickelt. Time-to-market heißt die Devise der Auftraggeber. Dabei greift ein Hersteller zu Standardkomponenten und macht sich wenig Gedanken über Security. Zumal die Umsetzung von Security Geld kostet und sich auf die Usability des Produkts auswirken kann.
Und
selbst wenn ein Hersteller Security Anforderungen berücksichtigt: Viele
Wearables werden einmal entwickelt, verkauft, aber nicht über die lange
Lebenszeit des Produkts auf dem erforderlichen Sicherheitsstandard
gehalten. Ein Wearable, welches anfangs vielleicht noch sicher war, kann
schnell veralten. Der Kunde setzt das Produkt trotzdem ein.
Wearables
sind in der Regel klein. Das heißt auch, dass die technischen
Möglichkeiten, schnelle und effektive Verschlüsselung beschränkt sind.
Ein
Wearable hat einen gespeicherten Account mit Zugangsdaten. Das Passwort
wird nicht bei jedem Zugriff auf das netzwerk abgefragt. Jeder, der das
Gerät hat, hat Zugriff auf den Account.
Die gespeicherten Daten auf einem Wearable sind persönlich. Persönliche Daten sind für Hacker interessant.
Wir haben trotzdem Vertrauen, dass nichts passieren wird. Vertrauen ist ein Invest in Unsicherheit!
Mein
Tipp: Fragt, was der Hersteller unternimmt, um Euer Gerät zu schützen.
Ich wette, die meisten Verkäufer werden darauf keine zufriedenstellende
Antwort liefern.
Stellen Fitnesstracker ein Sicherheitsrisiko dar?
Es gibt zahlreiche Tests, die im Ergebnis darauf hinweisen, wie leicht es ist, Daten von Fitnesstrackern und Smart Watches auszulesen.Nehmen wir ja einmal den adidas Activitytracker Fitsmart als Beispiel. Wenn die Uhr nicht mit dem Smartphone verbunden ist, dann sendet sie keine Signale. Also, kann auch nichts abgehorcht werden. Eine Bluetooth Verbindung wird nur benötigt, wenn sie sich mit dem Smartphone verbinden soll. Die Kopplung ist notwendig, wenn wir das GPS des Smartphones nutzen wollen für die Aufzeichnung eines Workouts oder wenn wir im Anschluss eines Workouts die Daten in die APP übertragen wollen.
Ich glaube, es gibt andere Gefahren für uns im Leben, als ein am Straßenrand lauernder Hacker, der versucht, die Übertragungsdaten mitzuschneiden. Ich halte es für einen Hacker lohnender, sich die gewünschten Informationen über ein Sportportal zu beschaffen.
Wenn die Daten von der APP nach miCoach übertragen werden, dann können wir die Daten vor fremden Blicken schützen. Die miCoach Standardeinstellung ist, dass niemand außer wir selbst Zugang zu den hochgeladenen Trainingsdaten hat. Wenn wir die Trainingsdaten veröffentlichen wollen, dann müssen wir das aktiv durch Änderung der Einstellung veranlassen.
miCoach kann sich mit anderen Sportportalen wie z.B. Strava verbinden. Lassen wir das zu, sollten wir uns in der Zielumgebung Gedanken über die favorisierten Sicherheitseinstellungen machen.
Uns sollte klar sein, wer im Internet Flagge zeigt und Informationen von sich offenlegt, der ist nicht gefeit vor potenziellen Angriffen. Wer sich hingegen versteckt, hat sicherlich Schwierigkeiten die positiven Seiten der Öffentlichkeit zu nutzen. Wie will man bespielsweise von Sportkameraden gefunden werden, wie will man von gegenseitigen Erfahrungen profitieren und wie will man sich vernetzen, wenn wir quasi unischtbar sind.
Es stellt sich die Frage, was ein Datendieb mit Herz- und Positionsdaten des Sportlers anfangen kann? Kann er wirklich davon ausgehen, dass niemand zu Hause ist, wenn er weiß, dass der Sportler in der Regel mittags läuft? Was ist mit Alarmanlagen, Kamerasysteme, aufmerksame Nachbarn, Hunden und Mitbewohnern? Die Informationen müssten Einbrecher ebenfalls haben.
Die Befürchtung, dass eine Gefahr durch mangelhafte Sicherheitsvorkehrungen bei Activitytracker ausgeht, halte ich für vernachlässigbar. Wir ziehen eine viel größere Datenspur, wenn wir uns mit anderen Geräten im Internet bewegen. Fragt Google, während wir noch schützen, ist der Konzern längst in der Lage zu wissen, wo wir arbeiten, wo wir stehen und was wir denken.
Wie sieht es bei Smart Watches mit WLAN aus? Ich lobe mir die miCoach Smart Run, denn sie dient nur einem Zweck, die Aufzeichnung unserer Lauf- und Gymnastikworkouts. Doch es gibt auch andere Smart Watches, die wir durch eigene Apps erweitern können. Fragen wir beispielsweise mit einer App zur Kontoführung unsere Bank mit der Uhr ab, kann dies auch ein Dritter, der Kontrolle über die Uhr hat.
Wir sollten uns genauso wie beim Smartphone überlegen, welche sensiblen Daten wir speichern und welchen Apps wird vertrauen. Und ob es gewährleistet ist, dass sich das Wearable immer im eigenen Besitz befindet.
Keine Kommentare:
Kommentar veröffentlichen