Von BYOD zu WOYD: Wearables als Sicherheitsrisiko für Unternehmen

Nach BYOD kommt WYOD: Wearables verändern Unternehmensnetze genauso wie Smartphones und Tablets. Unternehmen sollten vorbereitet sein.

So genannte Wearables (direkt am Körper getragene oder in Kleidung integrierte Endgeräte) stehen kurz davor, zum Massenprodukt zu werden, daher sollten sich IT-Abteilungen allmählich auf das Management von Wearables und auf entsprechende Sicherheitsrisiken vorbereiten. Die IT-Mitarbeiter können sich also auf neue Herausforderungen gefasst machen, wenn sie Smartwatches, Smart Eyewear, Fitness-Tracker und andere Produkte dieser Technologiegattung in ihrem Unternehmen unterstützen wollen.

Der Verkauf von Wearables wird gerade 2015 so richtig ins Rollen kommen, so zumindest der halbjährliche Branchenreport der US-amerikanischen CEA (Consumer Electronics Association), der im Januar veröffentlicht wurde. 

Die CEA geht davon aus, dass in diesem Jahr 30,9 Millionen Wearables verkauft werden, hauptsächlich natürlich noch von privaten Endverbrauchern. Das wäre gegenüber 2014 eine Steigerung von 61 Prozent. Der Bericht sagt auch vorher, dass es bei Smartwatches gar eine Steigerung von 359 Prozent geben soll, nicht zuletzt natürlich aufgrund der kürzlich veröffentlichten Samsung Gear S und Apple Watch.

Apples iPhone hat damals die BYOD-Ära (Bring Your Own Device) eingeleitet. Wearables wie Smartwatches und Co. werden in Kürze wohl für Wear Your Own Device (WYOD) verantwortlich sein. Ein neuer Trend, den Unternehmen nicht leichtfertig ignorieren sollten.

Wearables im Unternehmen

Bei Smart Eyewear kann man vor allem aufgrund des prominenten Flops von Google Glass durchaus von einem holprigen Start sprechen. Dennoch haben Wearables für Unternehmen ein großes Potenzial. Gerade am Kopf und im Sichtfeld getragene Wearables erleichtern es Mitarbeitern, mit dem Netzwerk verbunden zu bleiben, während trotzdem beide Hände frei bleiben, um mit weiterem Equipment, Daten oder sogar Kunden zu interagieren. Man denke hierbei nur an Support-, Lager- oder Außendienstmitarbeiter.

Unternehmen könnten aber auch inhaltsspezifische Informationen oder Anschauungsmaterial an die Wearables ihrer Angestellten schicken, die haptische Technologie benutzen. Sämtliche Mitarbeiter könnten auch Smartwatches nutzen, um drahtlos Türen und Schränke zu entsperren oder Equipment und Fahrzeuge zu starten. Auch Benachrichtigungen, Status-Updates und einfache Formen der Kommunikation wären denkbar.

Heutige Wearables und die Unmenge an möglichen branchenspezifischen Lösungen sind dabei gerade erst der Anfang. Sehr mobile Branchen wie Gesundheitswesen, Einzelhandel und Außendienst gelten bereits als Vorreiter beim Einsatz tragbarer Technologie, zukunftsorientierte Unternehmen in allen Branchen sollten sich aber ebenfalls spätestens jetzt Gedanken über potenzielle Kunden und Anwendungsfälle machen. Aber auch Unternehmen, die beim Einsatz von Wearables erst einmal noch abwarten werden, sollten sich mit den Grundzügen einer WYOD-Strategie beschäftigen.

Herausforderungen bei WYOD

Wie BYOD bei Smartphones und Tablets bringt auch WYOD einige Herausforderungen bei Management und Sicherheit mit sich. Aktuell ist es noch relativ einfach, diese zu adressieren, da die Anzahl verfügbarer und tatsächlich vorhandener Geräte meist sehr überschaubar ist und zudem die Sicherheitsrisiken noch eher als gering anzusehen sind.

Ein Beispiel für Security-Risiken in Unternehmen bei Wearables wären, wie auch bereits bei Smartphones und Tablets, die Verbindungen über WLAN und Bluetooth ins Unternehmensnetzwerk und zu autorisierten Smartphones. Hinsichtlich dieser Verbindungen gibt es mehrere mögliche Problemfelder:

  • Hat das WLAN in der Firma ausreichend Kapazitäten, um diese neuen Geräte unterstützen zu können? Sie werden ohne große Vorankündigung einfach da sein und neuen Traffic generieren.
  • Werden die vermutlich erhöhte Bluetooth-Benutzung (zum Pairing zwischen Wearables und Smartphone) und vermehrt aufkommender Video-Traffic Netzwerkstaus und Interferenzen verursachen? Steigt dafür vielleicht auch das Risiko für Angriffe via Bluetooth?
  • Wie kann Ihr Unternehmen unautorisierte WYOD-Aktivitäten entdecken und verhindern, die eine Gefahr für Unternehmensnetzwerke, -geräte oder -daten darstellen?
  • Welchen Wearables sollte Zugriff auf von der IT verwaltete Betriebsmittel erlaubt sein und unter welchen Umständen?

Es ist verlockend, WYOD als eine neue Art von BYOD zu betrachten. Allerdings ist Wearable Computing grundlegend anders. Wearables sind meist keine allein voll funktionsfähigen Geräte, zumindest in der derzeitigen Anfangsphase nicht. Viele Wearables sind eher als Peripheriegeräte zu betrachten, die nur im Zusammenspiel mit Smartphones oder Tablets Internetverbindungen nutzen, Daten speichern oder Analysefunktionen wahrnehmen können.

Zahlreiche Unternehmen haben derzeit keine ausreichenden Ressourcen, um die Nutzererfahrung mit Wearables in Unternehmen zu optimieren. Wearables sind auf Eingaben via Sprache und Antippen angewiesen und können mit Tastatur und Maus meist wenig anfangen. Sie liefern hör- und sehbare sowie haptische Ausgaben, durch die heutige Benutzeroberflächen gründlich überdacht werden müssen.

Wearables speichern zwar meist nicht viele Daten, aber die gespeicherten Informationen unterscheiden sich je nach verwendetem Gerät teils enorm. Daher sollten Unternehmen beim Einsatz von Wearables eine vollkommen neue Bewertung von Privatsphäre, Datensicherheit Unternehmensrisiko durchführen.

Wearables können zudem nur dann den versprochenen Mehrwert liefern, wenn der quasi ununterbrochene Einsatz bequem möglich ist. Dafür gilt es, vor allem an Themen wie Nutzer-Authentifikation und Zugriffskontrolle innovativ heranzugehen.

Wearables unter die Kontrolle der IT-Abteilung bringen

Wer sich diesen Herausforderungen stellen will, der muss sich zunächst einen umfassenden Überblick verschaffen. Unternehmen sollten drahtlose und drahtgebundene IPS-Lösungen (Intrusion Prevention System), EMM-Software (Enterprise Mobility Management) und WLAN-Management-Tools nutzen, um in die Arbeit mitgebrachte Wearables zu entdecken und zu katalogisieren.

Hat man sich schließlich über die von den Mitarbeitern mitgebrachten Wearables – und wie sie sich mit den entsprechenden Unternehmensressourcen verbinden wollen – einen Überblick verschafft, ist das bereits der erste Schritt hin zu einer angemessenen Risikobewertung. Außerdem findet man so heraus, ob überhaupt alle Geräte einen tatsächlichen Mehrwert für Mitarbeiter oder Unternehmen bieten.

Im Anschluss sollte an existierenden Security-Policies für mobile Endgeräte und an der akzeptablen Einbindung von Wearables im Unternehmen gearbeitet werden. Unternehmen in streng regulierten Branchen werden wohl jegliche Art von Wearables verbieten. Zum Beispiel könnten Smartwatches im Gesundheitswesen unter Umständen Informationen von Patienten offenlegen, die dem gesetzlichen Datenschutz unterliegen.

Wo es keine offensichtlichen Risiken gibt, könnte aber eine offenere Herangehensweise zu produktiveren Ergebnissen führen. Man könnte zum Beispiel die persönliche Benutzung uneingeschränkt erlauben, solange sich Wearables nicht mit Unternehmensressourcen verbinden oder auf geschäftliche Daten zugreifen. 

Wächst der WYOD-Trend aber wie zu erwarten immer weiter, dann werden die Mitarbeiter irgendwann auch WLAN- und Datenzugriffe für ihre Geräte haben wollen. IT-Abteilungen können diesen Input verwenden, um daraus Anwendungsfälle zu erstellen, Geräte- und Kontrollkriterien zu definieren sowie EMM-Möglichkeiten zu bewerten.

Die Zeit wird zeigen, ob sich Wearables auch tatsächlich im Privat- und Geschäftsleben durchsetzen. Schon jetzt bietet es sich aber an, Wearables für den Unternehmenseinsatz zu erkunden und zu bewerten. Früher oder später wird die IT-Abteilung Sicherheitsrichtlinien formulieren müssen, um WYOD-Geräte auch im großen Stil zu verwalten und abzusichern.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Mai 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close