Sicherheitsrisiko: Internet der Dinge und Wearables

Ohne eine neue und sichere Kommunikationstechnologie bergen das Internet der Dinge und Wearables erhebliche, nie dagewesene Sicherheitsrisiken.

Ende letzten Jahres schrieb ich über das Internet der Dinge (Internet of Things, IoT) und kam dabei auf die Jetsons zu sprechen. Diese alte Zeichentrickserie handelt von einer Familie des späten 21. Jahrhunderts, die in fliegenden Autos herumreist und alle möglichen Geräte nutzt, um ihren Alltag zu bewältigen. Dabei kann die gesamte Technik miteinander kommunizieren. Mit einem bestimmten Aspekt dieses Konzepts sehen uns jetzt konfrontiert, in einem sehr einfachen Sinn schon seit längerer Zeit: tragbare intelligente Hilfsmitteln und Accessoires, sogenannte Wearables.

Solcherlei Technik ist nicht notwendigerweise bequem und in den allermeisten Fällen auch nicht zu externer Kommunikation fähig, aber wir benutzen sie schon eine ganze Weile. Das einfachste und vielleicht älteste Beispiel ist eine simple tragbare Uhr, entweder als Armband- oder Taschenuhr. Aber auch die Medizin versorgt uns seit einiger Zeit mit den verschiedensten Gerätschaften, die man zu dieser Kategorie zählen könnte. Das Hörgerät gehört wohl zu den am weitesten verbreiteten Exemplaren. Allerdings zählen auch medizinische Implantate, wie etwa Herzschrittmacher oder CI-Systeme, im weitesten Sinne dazu.

Lawrence Garvin, Head Geek bei Solarwinds.

Heute befinden wir uns gerade einmal noch 50 Jahre vor der Ära der Jetsons und der direkte Datenaustausch zwischen solchen Wearables steht unmittelbar bevor. In kleinem Maßstab ist dies bereits heute möglich, allerdings nur in Form einer 1:1-Kommunikation. Bestimmte Geräte aus dem Fitness- und Medizinbereich können Datensammlungen per Bluetooth-Verbindung auf PCs, Tablets oder Smartphones übertragen, wo dann zusätzliche Softwareprozesse für die Aufbereitung und Präsentation der Informationen sorgen.

Im „Internet of Things“ ist der Austausch jedoch deutlich komplexer und vor allem umfangreicher: Der biometrische Sensor an Ihrem Handgelenk stellt fest, dass Sie beispielsweise aufgrund von Sport oder körperlicher Arbeit leicht überhitzt sind und schwitzen. In Folge dessen wird eine Nachricht an das Thermostat Ihrer Hausheizung gesendet, um die Temperatur anzupassen. Das Thermostat gleicht diese Anweisung mit den Daten der biometrischen Sensoren der anderen Hausbewohner (und eventuell sogar Gästen) ab und bestimmt den optimalen Kompromiss zwischen den Bedürfnissen aller involvierten Personen. Dabei werden außerdem das Wetter und der jeweils steigende oder sinkende Energieverbrauch der Heizung sowie eventuell vorher festgelegte Grenzwerte berücksichtigt.

Sicherheitsrisiko durch Missbrauch

All das zum Internet der Dinge und zu Wearables klingt sehr spannend. Allerdings gibt es wie bei jeder Technologie leider auch hier Missbrauchsfälle. So berichteten die Medien im Januar 2014 von einem Botnetz, das bereits heute auf Wearables und anderen Geräten mit Internetanschluss ausgeführt wird. In diesem Fall war der Zweck des Botnets zwar hauptsächlich die Generierung von E-Mail-Spam durch missbräuchliche Nutzung privater Geräte (einige Heim-PCs wurden schon vor Jahren ohne jede Kenntnis Ihrer Besitzer auf diese Weise umfunktioniert). Nichtsdestotrotz sollte schon die einfache Tatsache, dass eine solche böswillige Fernsteuerung möglich ist, Anlass zu großer Sorge sein.

Wie weit kann man dem nicht mit Bewusstsein ausgestattetem Gerät „A“ vertrauen, dass es verantwortungsvolle Anfragen (oder vertrauliche Daten) an das ebenso seelenlose Gerät „B“ überträgt? Und wie weit verschärft sich das Problem, wenn es sich bei einem dieser Geräte um ein Wearable handelt?

Klassifizierung von Wearables

Dabei können wir diese Art von „tragbaren“ Geräten in zwei funktionale Gruppen einteilen.

  1. Die erste Gruppe besteht aus Geräten, die der reinen Überwachung dienen und erfasste Informationen mit anderen Geräten teilen können. Das trifft beispielsweise auf das Erfassen von Körperfunktionen, Standort, Richtung, Bewegung und so weiter zu.
  2. In die zweite Gruppe fallen Geräte, die unsere Körperfunktionen direkt unterstützen oder sogar steuern.

Beide Gruppen sind durch Eindring- und Übernahmeversuche gefährdet. Die erste Gruppe kann zwar nicht direkt physische Schäden anrichten, indirekt jedoch schon. Das Gerät könnte etwa fehlerhafte Daten liefern, die zu einer unangemessenen Reaktion des Trägers oder eines anderen Geräts führen.

Lebensgefährliches Sicherheitsrisiko

Weitaus kritischer ist hingegen die zweite Gruppe. Wir haben bereits Hörgeräte und Herzschrittmacher erwähnt. Dabei ist es schon seit einiger Zeit möglich, Geräte für die Herzstimulation oder auch Insulinpumpen per Fernverbindung zu überwachen. Welche katastrophalen Folgen es haben könnte, wenn ein solches physiologisches Steuerungsgerät mit Malware infiziert oder widerrechtlich übernommen wird, und sei es auch nur zu dem scheinbar harmlosen Zweck der Versendung von Spam-E-Mail, kann sich jeder selbst vorstellen. So wurde bereits 2012 vom berühmten (und mittlerweile verstorbenen) Hacker Barnaby Jack gezeigt, wie vergleichsweise leicht es ist, eine Insulinpumpe dazu zu bringen, ihre gesamten Insulineinheiten auf einmal abzugeben und so den Träger umzubringen. Und ein Forscher der Universität Massachusetts in Amherst konnte per Funkverbindung einen implantierten Defibrillator deaktivieren.

Sicherheitsrisiko für das Unternehmen

Ein weiteres Risiko, zwar nicht für Leib und Leben aber dafür für die Geschäftsintegrität, stellt der BYOD-Trend dar (Bring your own Device). Welche Verbindungsmöglichkeiten könnte es zwischen den mitgebrachten Geräten, Wearables und dem Firmennetzwerk geben? Glücklicherweise lässt sich ein Großteil dieses Szenarios zumindest derzeit noch nicht verwirklichen. Denn die Kommunikationsmethoden von tragbaren intelligenten Hilfsmitteln und Accessoires sind aktuell noch überwiegend auf Bluetooth beschränkt. Allerdings ist auch Bluetooth nicht gerade für seine Verbindungssicherheit bekannt. Anspruchsvollere Geräte wie etwa Google Glass sind WLAN-fähig, was funktional so viel wie eine direkte Internetverbindung bedeutet. Es könnte durchaus sein, dass die Branche einen neuen Kommunikationskanal entwickeln muss, der den Datenaustausch im „Internet der Dinge“ robuster und sicherer macht. Er muss hinausgehen über die bisherige Technik von drahtlosen Netzen für den Internetzugang und Bluetooth-Verbindungen für harmlosere Geräte wie Tastaturen, Trackballs oder Headsets.

Fazit

Tragbare intelligente Hilfsmittel und das „Internet der Dinge“ stellen womöglich eine der größten Zwickmühlen unserer Zeit dar. Auf der einen Seite ist tragbare Technologie nur ein weiteres neues Konzept von vielen (auch wenn sie im Grunde bereits seit Jahrzehnten vorhanden ist). Auf der anderen Seite ist der gesamte Bereich der Kommunikation zwischen Geräten völlig ungetestet und sollte daher als nicht vertrauenswürdig gelten. Das gilt solange,  wie keine angemessenen sicheren Kommunikationstechnologien entwickelt werden, mit denen die Integrität der entsprechenden Datenaustauschvorgänge gewährleistet ist.

Über den Autor: Lawrence Garvin ist ein „Head Geek“ und technischer Product Marketing Manager bei Solarwinds und ein Microsoft Certified IT Professional (MCITP). Er hat neun Mal in Folge die MVP-Auszeichnung von Microsoft in Anerkennung für seine Beiträge zum Microsoft TechNet WSUS-Forum erhalten. Vor seinem Wechsel zu EminentWare (jetzt Teil von Solarwinds) im Jahr 2009, bot Lawrence Garvin Fachwissen für Unternehmen zu Windows Server Update Services (WSUS), einschließlich Bereitstellung, Implementierung und Troubleshooting Beratung.

Artikel wurde zuletzt im Mai 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Malware, Viren, Trojaner und Spyware

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close