Ein "Wearable" ist ein am Körper getragener Mini-Computer. Der Begriff "Wearable" ist eine Kurzform der englischen Beschreibung "Wearable Computing Device". Wearables gehören zu der Kategorie der smarten Geräte, da sie über das Internet oder durch andere Datenübertragungstechnologien mit anderen Geräten vernetzt werden können. In diesem vernetzten System, dem "Internet der Dinge" können Wearables z. B. Gesundheitsdaten, die durch Messungen am Körper entstehen, an andere Geräte zur weiteren Verwendung senden. Wearables können auch genutzt werden, um andere mit ihnen vernetzte Geräte zu steuern.
Chameleon sitzt auf Smartphone
30.04.2021

Damit Wearables ihre Funktionen anbieten können, werden über diese und entsprechende Apps personenbezogene Daten gesammelt. Erhalten unberechtigte Dritte diese Daten können diese einiges über den NutzerIn herausfinden. Die Art der verarbeiteten Daten ist abhängig von der Funktion des Wearable. Häufig handelt es sich um Daten zur Person, Gesundheitsdaten, Standortdaten u. Ä. Mithilfe dieser Daten lässt sich u. U. ein gutes Profil des jeweiligen NutzerIn erstellen – ohne dass man dieser Person jemals begegnet sein muss.
 

Wer Zugriff auf diese Daten hat, kann diese unter Umständen auch für kriminelle Machenschaften nutzen, z. B. in Verbindung mit einem Identitätsdiebstahl. Zudem können die Daten auch gut für das sogenannte "Doxing" genutzt werden. Der Begriff wird verwendet, wenn Daten einer Person gezielt beschafft werden, um diese dann im Internet zu veröffentlichen. Oft wird damit das Ziel verfolgt der Person zu schaden. Z. B. kann durch das Offenlegen "brisanter" Daten ein Imageverlust von Personen erreicht werden. Ebenso könnten betroffene Personen eines Datendiebstahls durch Androhung der Offenlegung von Daten erpresst werden.
 

Mögliche Einfallstore in das System eines Wearables und damit auf die dort gespeicherten Daten stellen Sicherheitslücken in der Anwendungssoftware oder den Hardwareschnittstellen der smarten Mini-Computer dar. Diese könnte ein Angreifer ausnutzen, um z. B. die Kontrolle über das Wearable zu übernehmen. Wenn ein gekapertes Wearable weitreichende Rechte für die Steuerung eines mit ihm vernetzten weiteren Gerätes, bspw. ein Smartphone hat, kann der Angreifer diese Rechte nutzen, um auch dieses vernetzte Gerät zu übernehmen.
 

Wenn eine Transport- und Speicherverschlüsselung fehlt, besteht zudem bei der Übertragung der Daten die Gefahr von Manipulation und Ausspähung. So übertragen Wearables die Daten u. a. über Bluetooth oder NFC-Schnittstellen an ein Smartphone, auf dem eine zugehörige App die Daten auswertet, grafisch aufbereitet und anzeigt. Als Zwischenspeicher werden z. B. Cloud-Dienste oder zum System zugehörige Companion Devices genutzt, also Geräte wie z. B. Smartphones, Tablets oder PCs, mit denen sich Wearables verbinden.
 

Die Nutzung von Wearables kann dementsprechend oft einen Mehrwert bieten, aber ist gleichzeitig auch risikoreich, wenn nicht für eine entsprechende Sicherheit gesorgt ist.
 

Bewusster Einsatz von Wearables

Macht euch bewusst, wie euer Gerät arbeitet, welche Daten ihr mit der Nutzung eures Geräts generiert und wo diese gespeichert werden. Dies ist eine wichtige Grundlage für den bewussten Einsatz von IoT-Geräten wie Wearables.

Folgende Fragen sind dabei hilfreich, das Gerät und die potentiellen Risiken seines Einsatzes besser einzuschätzen:

  • Welche Sensoren, wie z. B. eine Kamera oder ein Mikrofon, hat das Gerät?
  • Welche Daten werden aufgezeichnet und gespeichert?
  • Kann nachvollzogen werden, wo die Daten gespeichert werden?
  • Werden diese Daten versendet oder mit anderen Anwendungen geteilt?
  • Welche potenziellen Risiken könnten mit der Nutzung des Geräts einhergehen und bin ich bereit diese zu tragen?

Die Antworten auf diese Fragen helfen euch auch, eine Abwägung zwischen Komfort oder Funktionalität und Aspekten der Sicherheit zu treffen. Entscheidet bewusst, ob Sie auf Sicherheit verzichten wollt, um bestimmte Funktionalitäten zu nutzen.


Sicherheitseinstellungen und Updates

  • Hersteller sollten langfristig Sicherheitsupdates anbieten und versprechen entdeckte Schwachstellen schnell zu schließen.
  • Die Verschlüsselung von Daten sollte aktiviert sein.
  • Wenn Updates für das Wearable zur Verfügung gestellt werden, sollten diese umgehend installiert werden. Gibt es eine Funktion für automatisierte Updates, sollte diese aktiviert werden.
     

Zugriffsrechte

  • Ein Wearable wird häufig mit einem anderen Companion Device, bspw. einem Smartphone, verbunden. Dabei kann das Wearable Zugriff auf die Smartphone-Daten und Funktionen erhalten, wie Standort, Kontakte oder den Telefonstatus. Berechtigungen für Zugriffe des Wearables auf die Daten des Companion Devices sollten daher immer geprüft und gegebenenfalls deaktiviert werden. Umgekehrt sollten auch Zugriffe auf die Daten den Wearables über Apps des Companion Decives nur, wenn notwendig, zugelassen werden.
  • Vorsicht: Mit jedem Update könnten Änderungen in der Berechtigungsstruktur entstehen. Prüft daher nach jedem Update die Berechtigungen und justiert diese gegebenenfalls neu.
     

Passwörter und PINs

  • Besteht die Möglichkeit das Wearable durch einen PIN-Code oder ein Passwort vor unerlaubten Zugriffen zu schützen, sollte diese genutzt werden.
  • Der PIN-Code oder das Passwort sollte möglichst sicher gewählt sein.
  • Das eventuell verbundene Companion Device sollte ebenfalls mit einem entsprechend sicheren Passwort abgesichert sein und wie andere mobile Geräte geschützt werden. Dies gilt auch für die Absicherung des genutzten WLAN-Netzwerks.
  • Voreingestellte Codes und Passwörter sollten immer durch eigene Passwörter oder PIN-Codes ersetzt werden.
  • Sollte das Wearable nicht über eine Schutzmöglichkeit mit einem Passwort oder einer PIN-Code verfügen, sollte es besonders geschützt gelagert und aufbewahrt werden, wenn es nicht am Körper getragen wird.
  • Zugehörige Benutzerkonten sollten mit einem Authentifizierungsmechanismus (i. d. R. Nutzername und Passwort), wenn möglich zudem durch Zwei-Faktor-Authentisierung geschützt werden können.
     

Vernetzung und Kommunikation

  • Schnittstellen des Wearables mit anderen Geräten sollten nur aktiviert werden, wenn diese für die Funktionalität notwendig sind und verwendet werden. Nach der Verwendung sollten diese nach Möglichkeit wieder deaktiviert werden. Denn je mehr Schnittstellen aktiviert sind, desto mehr Angriffsfläche bietet sich für Cyber-Attacken.
  • Das Koppeln und die Kommunikation des Wearables mit anderen Geräten sollte nur möglich sein, wenn sich das Companion Device eindeutig identifizieren und authentifizieren lässt. Dies kann bspw. über die Eingabe einer PIN im Companion Device erfolgen, welcher auf dem Wearable angezeigt wird. So wird sichergestellt, dass sich nur verifizierte Companion Devices mit dem Wearable verbinden. Es gibt Wearables, die schlichtweg keine Anzeigemöglichkeit haben. Hier müsste man sich darüber informieren, wie der Hersteller eine sichere Kopplung gewährleistet und dafür sorgt, dass sich kein Angreifer mit einem solchen Wearable verbinden kann.
  • Alle Daten sollten zudem immer durch eine Transport- und Speicherverschlüsselung geschützt sein. Die Hersteller sollten hierzu Informationen in deren AGB oder Datenschutzbestimmungen bereitstellen.
  • Die Erstkopplung von Wearables mit Companion Devices sollte in einer vertrauenswürdigen Umgebung erfolgen, z. B. zuhause. So kann vermieden werden, dass bei der Erstkopplung auszutauschende sensible Informationen abgehört werden, etwa bei einem möglichen Austausch von Schlüsseln.
     

IT-Sicherheit einfordern – auch bei Wearables

Wearables bieten viele neue Möglichkeiten. Sie haben das Potenzial alltägliche, technische Mini-Begleiter zu werden und eventuell sogar die Brieftasche zu ersetzen. Dadurch können persönliche Daten wie Kontodaten mobiler Bezahldienste und Daten der Selbstvermessung auf einem Wearable gespeichert werden. Es ist davon auszugehen, dass Wearables mit der fortschreitenden Entwicklung immer eigenständiger werden und auch ohne Companion Device betrieben werden können. Eine ständige und direkte Verbindung mit dem Internet, z. B. mittels eines integrierten Mobilfunkmoduls führt dazu, dass diese direkt aus dem Internet gefunden und angesprochen werden können. Dies stellt ein Risiko dar, wenn bei der Herstellung des Wearables die IT-Sicherheit nicht berücksichtigt wird und die Implementierung entsprechender Funktionen versäumt wurde. Verbraucher sollten dies schon heute einfordern und sich beim Hersteller oder Anbieter erkundigen, wie ihre Daten auf dem Wearable sowie bei der Übertragung geschützt werden. Letztendlich sind sensible und persönliche Daten ein begehrtes Gut speziell für Kriminelle im Internet die diese für ihre Zwecke sammeln. Entsprechend sollte mit Wearables sehr verantwortungsbewusst umgegangen werden.