Das nächste BYOD-Sicherheitsrisiko: Wearables

Brid-Aine Parnell

21/07/2017

Ob Unternehmensprodukte wie Head-Mounted Displays oder Verbraucherprodukte wie Fitnessüberwachungsgeräte – Wearables breiten sich am Arbeitsplatz aus und haben meistens wenige oder überhaupt keine Sicherheitsfunktionen.

Als hätten IT-Mitarbeiter nicht schon genug mit BYOD-Geräten (Bring Your Own Device) zu tun. Jetzt sind sie mit der nächsten Herausforderung konfrontiert: Wearables.

Ob Unternehmensprodukte wie Head-Mounted Displays, mit denen Lagerarbeiter Barcodes lesen und Pakete für den Versand identifizieren können, oder Verbraucherprodukte wie Fitnessüberwachungsgeräte – Wearables breiten sich am Arbeitsplatz aus.

Viele dieser Geräte haben ein unauffälliges Design und werden ganz selbstverständlich Teil unseres Alltags. Leider stellen sie auch automatisch eine Verbindung zu verfügbaren Netzwerken her und sind oft mit wenigen oder keinen Sicherheitsfunktionen ausgestattet.

IoT-Malware

Als im letzten Jahr die Malware Mirai Schlagzeilen machte, wurde deutlich, wie Geräte mit eingeschränkten Sicherheitsfunktionen bei Cyberangriffen genutzt werden können. Die Malware sucht kontinuierlich nach IoT-Geräten (Internet of Things) wie Routern, Kaffeemaschinen, Smart-Brillen, Fitnessüberwachungsgeräten usw., die über das Internet zugänglich sind und deren Benutzername und Kennwort noch der Werkseinstellung entsprechen. Sobald sie ein Gerät findet, infiziert sie es und wandelt es in einen sogenannten Bot um, der von einem zentralen Server kontrolliert wird und bei einem Distributed Denial of Service-Angriff (DDoS) verwendet werden kann.

Eine Analyse des Sicherheitsunternehmens Symantec zeigt, dass Benutzer oft die Werkseinstellungen beibehalten, was Benutzernamen und Kennwörter von IoT-Geräten betrifft. Dadurch ist jedes Netzwerk, mit dem diese Geräte eine Verbindung herstellen, angreifbar. Darüber hinaus werden Daten auf vielen Wearables ohne jegliche Verschlüsselung gespeichert, sodass persönliche Daten leicht in die falschen Hände geraten und für einen umfangreichen Angriff auf sensiblere Bereiche des Unternehmensnetzwerks verwendet werden können.

IT-Mitarbeiter müssen Wearables im Auge behalten

IT-Mitarbeiter müssen Wearables am Arbeitsplatz ebenso behandeln wie alle anderen BYOD-Geräte wie Smartphones oder Laptops. Derzeit ist noch ungewiss, ob diese Geräte in Zukunft unabhängigen oder staatlichen Vorschriften unterliegen werden, was die Sicherheitsrisiken betrifft. Daher sollten sie im Unternehmenssystem grundsätzlich als nicht vertrauenswürdige Geräte eingestuft werden.

Wenn in einem Unternehmen Wearables zur Verwendung bei der Arbeit oder Fitnessüberwachungsgeräte im Rahmen eines Motivationsprojekts für die Gesundheit und das Wohlbefinden der Mitarbeiter bereitgestellt werden, sollten IT-Mitarbeiter an der Auswahl der Geräte und den entsprechenden Sicherheitsmaßnahmen beteiligt sein.

Da diese Geräte mit eigenen Anwendungen und Betriebssystemen ausgestattet sind, ist es wichtig, ebenso wie bei Smartphones und Tablets Patches durchzuführen und die Software und Firmware aktuell zu halten, um Sicherheitslücken zu vermeiden. Außerdem können Unternehmen darauf achten, den Benutzern nur bekannte und vertrauenswürdige Anwendungen zugänglich zu machen.

Das Netzwerk schützen

Im Fall von BYOD-Wearables ist es allerdings wichtiger, das Netzwerk zu schützen, nicht so sehr die Geräte selbst. Es gibt einfach zu viele Wearables und Betriebssysteme, als dass Unternehmen die Sicherheit jedes Geräts im Auge behalten könnten, das versucht, eine Verbindung zum Unternehmensnetzwerk herzustellen.

Stattdessen muss das Netzwerk auf ungewöhnliche Aktivitäten überwacht werden. Wenn über eine IP-Adresse üblicherweise eine sehr geringe Datenmenge hochgeladen wird (zum Beispiel die Anzahl von Schritten bei einem Fitnessüberwachungsgerät) und diese Menge plötzlich stark ansteigt, sollten die Alarmglocken angehen.

In der Zukunft wird es sicher Regulierungen und Sicherheitsprotokolle für Wearables und das Internet der Dinge geben – ebenso wie die Smartphone-Sicherheit mit der zunehmenden Anzahl der Benutzer gestiegen ist. Für den Moment aber sollten Unternehmen die Bedrohungen ebenso anerkennen wie die Vorteile.

DAS KÖNNTE IHNEN AUCH GEFALLEN...

Büro 2020

Was Unternehmen im 21. Jahrhundert wissen müssen