Wearables zählen derzeit zu den angesagtesten Technologie-Produktkategorien. Wie ihr Name schon sagt, sind sie dazu bestimmt, permanent von ihren Nutzern am Körper getragen (und verwendet) zu werden, in erster Linie im Wachzustand (obwohl die Überwachung der Schlafqualität eine von manchen Herstellern angepriesene Funktion ist). Daher ist es auch kein Wunder, dass die Information, die sie von ihren Trägern erfassen und ihnen anzeigen, von höchst individueller Art ist. Folglich ist es ebenso wenig verwunderlich, dass derartige Daten neben ihren vermeintlich einzigartigen Nutzern potenziell für unbefugte Dritte von hohem Interesse sind.
Zu den Wearable-Produktkategorien zählen üblicherweise:
• Fitnesstracker (z. B. Fitness-Armbänder)
• Smartwatches und
• Smart Glasses
Diese Geräte sind zur zusätzlichen Verwendung mit den immer mehr verbreiteten Smartphones und Tablets bestimmt und funktionieren mitunter eigenständig, werden jedoch meist mit ihren mobilen Vorgänger-Geräten gekoppelt. Als solche sind sie fähig, die EDV-, Speicher- und Internet-Verbindungsfunktionen der verbundenen Handheld-Geräte zu nutzen, und bieten im Vergleich zur alleinigen Nutzung der Handheld-Geräte die Vorteile von geringerer Größe und Gewicht, mehr Prozessorleistung, weniger Stromverbrauch und vor allem Kosten. Diese direkte Kopplung stellt eine potenzielle Schwachstelle in puncto Sicherheit dar, obgleich, wie Sie bald sehen werden, nur eine von vielen.
Das Microsoft Band
Das Microsoft Band ist eine Kombination aus Fitnesstracker und Smartwatch. Was Ihnen beim Betrachten seiner Abbildung wahrscheinlich als Erstes ins Auge springt, ist das 1,4 Zoll große Full Color-Touchscreen-LCD-Display mit einer Auflösung von 320 x 106 Pixeln (245 Pixel pro Zoll). Dieses LCD-Display ist auf einer Seite mit einem Mikrofon und einem kombinierten Sensor für sichtbares Umgebungslicht und UV-Licht ausgestattet. Im Armband ist ein optischer Herzfrequenzsensor integriert, der mit dem Handgelenk in Kontakt bleiben soll und mit Photoplethysmographietechniken (Photoplethysmography, PPG) arbeitet. Gegenüberliegend, hinter dem LCD-Display befindet sich ein magnetischer Ladeanschluss. Beide sind von galvanischen Hautsensoren umgeben, die sowohl für einen festen Sitz des Armbands am Handgelenk als auch für die Messung der Schweißabsonderung seines Trägers sorgen.
Um sämtliche Funktionen des Armbands zu erkunden, müsste es schon in seine Einzelteile zerlegt werden. Die Konnektivität mit Android-, iOS- oder Windows Phone-Geräten wird über einen Bluetooth 4.0-Transceiver gewährleistet. Bewegung und Orientierung werden über eine Kombination aus Gyrometer und einem dreiachsigen Beschleunigungsmesser ermittelt. Standortdaten (und zusätzliche Bewegungsrichtungsdaten) werden von einem integrierten GPS-Empfänger bestimmt. Ein recht einmaliger Aspekt des Hardwaredesigns, da die meisten anderen Wearables die GPS-Daten von Smartphones und Tablets beziehen. Und nicht zuletzt ist es mit einem Hauttemperatursensor versehen. Ein DRAM- und Flash-Speicher ermöglichen zeitweise das lokale Speichern von erfassten Daten, bis diese über eine Geräteverbindung andernorts weiter verarbeitet und archiviert werden können.
Alternative Wearables
Andere Wearables bieten einen teilweisen bis vollständigen Satz der Microsoft Band Bausteine, manche übertreffen es hier und da. Z. B. bietet ein im Armband der zweiten Generation eingebauter Luftdrucksensor verschiedene Wetterfunktionen, er unterstützt aber auch sowohl die Bestimmung der absoluten Erhöhung zu einem beliebigen Zeitpunkt als auch die Steig- und Sinkgeschwindigkeit im Zeitverlauf. Einige Wearables wie die Google Glass Datenbrille enthalten Bildsensoren zur Foto- und Videoaufnahme sowie ein Augmented-Reality-Information-Display und andere Funktionen für Bildanalyse und -antwort. Manche Android Wear Smartwatches bieten integrierte WLAN-Empfänger als alternative Technik (neben Bluetooth) zur Kopplung mit mobilen Geräten. Und die LG Watch Urbane 2nd Edition überbietet mit ihrem integrierten LTE-Mobilfunkdatenmodem sämtliche Konkurrenten.
Schwachstellen und Lösungen
Das Potenzial für Datensicherheitslücken liegt möglicherweise an den Wearables selbst. Glücklicherweise sind die physischen Verbindungen vieler Wearables ausschließlich auf Ladefunktionen beschränkt verglichen mit einer breiteren Datentransferunterstützung (manche verzichten sogar auf Hochleistungsschnittstellen zugunsten des sogenannten kabellosen Aufladens). Die Eigenschaft dieser Produkte, am Körper getragen und ganz einfach vom Handgelenk oder Kopf abgenommen werden (und daher auch in falsche Hände gelangen) zu können, sorgt schon an sich für eine höhere Wahrscheinlichkeit für Hackerangriffe.
Es mag vielleicht schwer vorstellbar sein, dass jemand ein Gerät entwenden und es in Einzelteile zerlegen könnte, um seinen nichtflüchtigen Speicher auszuspionieren und gespeicherte Daten zu klauen, ein solches Szenario ist jedoch auch nicht völlig aus der Luft gegriffen. Daher sollten Sie für eine bestmögliche Datensicherung das Verschlüsseln von Daten als Hauptstrategie zur lokalen Datenspeicherung und -erfassung betrachten. Für Geräte, die Daten über Bluetooth übertragen, ist eine standardmäßige permanente Sichtbarkeit nicht empfehlenswert. Aktivieren Sie die Gerätesichtbarkeit stattdessen nur während Verbindungsvorgängen.
Zudem sollten Sie bei der Kopplung von Wearables mit neuen Handheld-Geräten die lokal gespeicherten Daten der Wearables systematisch löschen, damit Hacker keinen Zugriff auf zuvor gültige Nutzerinformationen erlangen. Verhindern Sie darüber hinaus mit allen Mitteln das sogenannte „Jailbreaking“, eine von Nutzern häufig und absichtlich angewandte Technik zur Erweiterung der normalerweise vom Hersteller unterstützten Gerätefunktionen. Leider geht eine solche „Jailbreak“-Einstellungserweiterung mit zusätzlichen diversen Sicherheitslücken einher.
Gleichermaßen sollten verbesserte Verschlüsselungen und andere Sicherheitsmaßnahmen für alle temporären oder permanenten Inhalte von Clients (Smartphones, Tablets, Computer usw.) sowie für aus den Wearables bezogenen Kopien persönlicher Nutzerdaten und für den cloudbasierten Server als ultimative Datenverknüpfung angewandt werden. Ferner sollten Sie nicht vergessen, jede verkabelte oder kabellose Topologie für Datenübertragungen zwischen Geräten zu sichern, damit Snooping-Versuche verhindert werden, was andernfalls im Zugang zu einer ungewollten Kopie des Datensatzes resultieren kann.
Fazit: Das Konzept von vom Hersteller veranlassten Upgrades (im Gegensatz dazu, dass Nutzer darüber stolpern und diese implementieren müssen) für alle Glieder der Datenkette, vom Wearable bis hin zum Cloudserver, muss eine grundlegende Eigenschaft der Hardware- und Softwaresystemdefinition und -implementierung darstellen.
Wie zahlreiche Horrorgeschichten über Technologie in der Vergangenheit gezeigt haben: Egal wie bombensicher Sie Ihr Design gestalten, Sicherheitslücken werden ausfindig gemacht und, wenn eine schnelle Fehlerbehebung durch den Hersteller ausbleibt, werden sie auch ausgenutzt. Selbst wenn Sie der Meinung sind, dass bestimmte Wearables nur wenige Jahre lang genutzt werden, bevor sie vom Kunden durch neuere und bessere Technik ersetzt werden, können Sie es sich nicht leisten, eine ebenso kurzfristige Auffassung von Systemsupport an den Tag zu legen. Eine Datenpanne, selbst bei Produkten, die auf dem Markt bereits als überholt gelten, könnte eine irreparable und langfristige Schädigung der Marke Ihres Unternehmens nach sich ziehen. Investieren Sie dementsprechend.