Schon immer hat sich der Mensch selbst mit Zahlen bewertet. Was mit analogen Körperwaagen, Kalendern und Zentimetermaß begann, wird durch die Digitalisierung um immer mehr Möglichkeiten der digitalen Selbstvermessung ergänzt. Heute gibt es dafür die Möglichkeit, sogenannte "Wearables" einzusetzen.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.

Wearables sind kleine Computersysteme, die direkt am Körper getragen werden. So ist es heute bereits möglich, unter anderem die Herzfrequenz, den Blutdruck, den Blutzuckerspiegel, den Schlaf oder den Kalorienverbrauch zu messen und die Messergebnisse anschließend über Applikationen (Apps) bewerten zu lassen. Vor dem Kauf eines Wearables sollten Verbraucherinnen und Verbraucher jedoch auf eine ausreichende Umsetzung der Datensicherheit achten.

Es existieren verschiedene Arten von Wearables. Am weitesten verbreitet sind Fitness- oder Activity-Tracker. Oft handelt es sich dabei um einfache Armbänder, die eine Hardwarekomponente enthalten, welche verschiedene Sensoren zur Aktivitätsmessung beherbergt. Viele bieten allerdings auch die Möglichkeit, eingehende Anrufe entgegenzunehmen oder Nachrichten abzurufen. Smartwatches sind ebenfalls weit verbreitet. Diese vereinen meist die Anwendungen eines Fitnesstrackers mit zusätzlichen Funktionen, wie der Steuerung eines Smartphones oder eines digitalen Assistenten.

Darüber hinaus gibt es noch viele weitere Arten von Wearables: smarte Kleidung, die beispielsweise Körperwerte überwachen kann, smarte Kopfhörer mit zusätzlichen Funktionen wie einem digitalen Assistenten oder der direkten Übersetzung gehörter Sprache, und Datenbrillen, die das Sichtfeld der Trägerin oder des Trägers mit digitalen Informationen anreichern. Oft sind diese allerdings noch nicht so weit entwickelt, weswegen sie auf dem Markt noch nicht oder selten zu finden sind. Die Erweiterung der in einer Datenbrille gesehenen Realität mit zusätzlichen virtuellen Inhalten wird als "Augmented Reality" bezeichnet.

Der Nutzen von Wearables kann für deren Trägerin oder Träger hoch sein. Durch die Auswertung der gesammelten Daten kann ein Activity-Tracker beispielsweise Verhaltenstipps zur Verbesserung des Fitness-Levels geben. Das Feedback soll - teils mit spielerischen Elementen - helfen, individuelle Ziele umzusetzen, wie zum Beispiel das Erreichen einer bestimmten Schrittzahl am Tag. Wearables können aber nicht nur bei der Verhaltensoptimierung helfen, sondern auch den Alltag erleichtern. Gerade eine Smartwatch vereint viele praktische Anwendungen, um immer alle Informationen "am Mann" oder "an der Frau" zu haben. Zum Beispiel kann eine Smartwatch neben der üblichen Zeitanzeige an bevorstehende Termine erinnern und E-Mails oder andere Nachrichten abrufen.

Risiken bei der Nutzung von Wearables

Damit Wearables ihre Funktionen anbieten können, werden über diese und entsprechende Apps personenbezogene Daten gesammelt. Erhalten unberechtigte Dritte diese Daten, können diese einiges über die Nutzerin oder den Nutzer herausfinden. Die Art der verarbeiteten Daten ist abhängig von der Funktion des Wearables. Häufig handelt es sich um Daten zur Person, Gesundheitsdaten, Standortdaten oder auch Daten zum Schlafrhythmus. Mithilfe dieser Daten lässt sich unter Umständen ein gutes Profil der jeweiligen Nutzerin oder des jeweiligen Nutzers erstellen – ohne dass man dieser Person jemals begegnet sein muss.

Wer Zugriff auf diese Daten hat, kann diese unter Umständen auch für kriminelle Machenschaften nutzen, zum Beispiel in Verbindung mit einem Identitätsdiebstahl. Zudem können die Daten auch für das sogenannte Doxing genutzt werden. Dieser Begriff wird verwendet, wenn Daten einer Person gezielt beschafft werden, um diese dann im Internet zu veröffentlichen. Oft wird damit das Ziel verfolgt, der Person zu schaden. Zum Beispiel kann durch das Offenlegen "brisanter" Daten ein Imageverlust von Personen erreicht werden. Ebenso könnten betroffene Personen eines Datendiebstahls durch Androhung der Offenlegung von Daten erpresst werden.

Mögliche Einfallstore in das System eines Wearables und damit auf die dort gespeicherten Daten stellen Sicherheitslücken in der Anwendungssoftware oder den Hardwareschnittstellen der smarten Mini-Computer dar. Diese könnte ein Angreifer ausnutzen, um zum Beispiel die Kontrolle über das Wearable zu übernehmen. Wenn ein gekapertes Wearable weitreichende Rechte für die Steuerung eines mit ihm vernetzten weiteren Gerätes, beispielsweise ein Smartphone, hat, kann der Angreifer diese Rechte nutzen, um auch dieses vernetzte Gerät zu übernehmen.

Wenn eine Transport- und Speicherverschlüsselung fehlt, besteht zudem bei der Übertragung der Daten die Gefahr von Manipulation und Ausspähung. So übertragen Wearables die Daten unter anderem über Bluetooth oder NFC-Schnittstellen an ein Smartphone, auf dem eine zugehörige App die Daten auswertet, grafisch aufbereitet und anzeigt. Als Zwischenspeicher werden zum Beispiel Cloud-Dienste oder zum System zugehörige Companion Devices genutzt, also Geräte wie zum Beispiel Smartphones, Tablets oder PCs, mit denen sich Wearables verbinden.

Die Nutzung von Wearables kann dementsprechend oft einen Mehrwert bieten, aber ist gleichzeitig auch risikoreich, wenn nicht für eine entsprechende Sicherheit gesorgt wird.

Wearables sicher nutzen

Vor dem Einsatz oder Kauf eines Wearables sollten Nutzerinnen und Nutzer folgende Punkte überprüfen und wenn möglich selbst Einstellungen für mehr Sicherheit aktivieren. Auch wenn es keine hundertprozentige Sicherheit gibt, kann so das Risiko eines erfolgreichen Angriffs auf die Mini-Computer oder die zugehörigen Konten minimiert werden.

Bewusster Einsatz von Wearables

Machen Sie sich bewusst, wie Ihr Gerät arbeitet, welche Daten Sie mit der Nutzung Ihres Geräts generieren und wo diese gespeichert werden. Dies ist eine wichtige Grundlage für den bewussten Einsatz von IoT-Geräten wie Wearables.

Folgende Fragen sind dabei hilfreich, um das Gerät und die potentiellen Risiken seines Einsatzes besser einzuschätzen:

1. Welche Sensoren, wie z.B. eine Kamera oder ein Mikrofon, hat das Gerät?
2. Welche Daten werden aufgezeichnet und gespeichert?
3. Kann nachvollzogen werden, wo die Daten gespeichert werden?
4. Werden diese Daten versendet oder mit anderen Anwendungen geteilt?
5. Welche potenziellen Risiken könnten mit der Nutzung des Geräts einhergehen und bin ich bereit, diese zu tragen?
   

Die Antworten auf diese Fragen helfen Ihnen auch, eine Abwägung zwischen Komfort, Funktionalität und Aspekten der Sicherheit zu treffen. Entscheiden Sie bewusst, ob Sie auf Sicherheit verzichten wollen, um bestimmte Funktionalitäten zu nutzen.

Sicherheitseinstellungen und Updates

• Hersteller sollten langfristig Sicherheitsupdates anbieten und versprechen, entdeckte Schwachstellen schnell zu schließen.
• Die Verschlüsselung von Daten sollte aktiviert sein.
• Wenn Updates für das Wearable zur Verfügung gestellt werden, sollten diese umgehend installiert werden. Gibt es eine Funktion für automatisierte Updates, sollte diese aktiviert werden.

Zugriffsrechte

• Ein Wearable wird häufig mit einem anderen "Companion Device", beispielsweise einem Smartphone, verbunden. Dabei kann das Wearable Zugriff auf Smartphone-Daten und -Funktionen erhalten wie Standort, Kontakte oder den Telefonstatus. Berechtigungen für Zugriffe des Wearables auf die Daten des Companion Devices sollten daher immer geprüft und gegebenenfalls deaktiviert werden. Umgekehrt sollten auch Zugriffe auf die Daten des Wearables über Apps des Companion Devices nur wenn notwendig zugelassen werden.
• Vorsicht: Mit jedem Update könnten Änderungen in der Berechtigungsstruktur entstehen. Prüfen Sie daher nach jedem Update die Berechtigungen und justieren Sie diese gegebenenfalls neu.
  

Passwörter und PINs

• Besteht die Möglichkeit, das Wearable durch einen PIN-Code oder ein Passwort vor unerlaubten Zugriffen zu schützen, sollte diese genutzt werden.
• Der PIN-Code oder das Passwort sollte möglichst sicher gewählt sein.
• Das eventuell verbundene Companion Device sollte ebenfalls mit einem entsprechend sicheren Passwort abgesichert sein und wie andere mobile Geräte geschützt werden. Dies gilt auch für die Absicherung des genutzten WLANs.
• Voreingestellte Codes und Passwörter sollten immer durch eigene Passwörter oder PIN-Codes ersetzt werden.
• Sollte das Wearable nicht über eine Schutzmöglichkeit mit einem Passwort oder einem PIN-Code verfügen, sollte es besonders geschützt gelagert und aufbewahrt werden, wenn es nicht am Körper getragen wird.
• Zugehörige Benutzerkonten sollten mit einem Authentifizierungsmechanismus (i.d.R. Nutzername und Passwort), wenn möglich zudem durch Zwei-Faktor-Authentisierung, geschützt werden können.
• Ein Passwortmanager kann die Handhabung unterschiedlicher Passwörter erleichtern.

Hier erfahren Sie, wie Sie sichere Passwörter bilden und wie Passwortmanager funktionieren.

Vernetzung und Kommunikation

• Schnittstellen des Wearables mit anderen Geräten sollten nur aktiviert werden, wenn diese für die Funktionalität notwendig sind und tatsächlich verwendet werden. Nach der Verwendung sollten diese nach Möglichkeit wieder deaktiviert werden. Je mehr Schnittstellen aktiviert sind, desto mehr Angriffsfläche bietet sich für Cyber-Attacken.
• Das Koppeln und die Kommunikation des Wearables mit anderen Geräten sollte nur möglich sein, wenn sich das Companion Device eindeutig identifizieren und authentifizieren lässt. Dies kann beispielsweise über die Eingabe einer PIN im Companion Device erfolgen, die auf dem Wearable angezeigt wird. So wird sichergestellt, dass sich nur verifizierte Companion Devices mit dem Wearable verbinden. Es gibt Wearables, die schlichtweg keine Anzeigemöglichkeit haben. Hier müsste man sich darüber informieren, wie der Hersteller eine sichere Kopplung gewährleistet und dafür sorgt, dass sich kein Angreifer mit einem solchen Wearable verbinden kann.
• Alle Daten sollten zudem immer durch eine Transport- und Speicherverschlüsselung geschützt sein. Die Hersteller sollten hierzu Informationen in deren AGB oder Datenschutzbestimmungen bereitstellen.
• Die Erstkopplung von Wearables mit Companion Devices sollte in einer vertrauenswürdigen Umgebung erfolgen, z.B. zuhause. So kann vermieden werden, dass bei der Erstkopplung ausgetauschte sensible Informationen abgehört werden, etwa beim Austausch von Schlüsseln.

IT-Sicherheit einfordern - auch bei Wearables

Wearables bieten viele neue Möglichkeiten. Sie haben das Potenzial, alltägliche technische Mini-Begleiter zu werden und eventuell sogar die Brieftasche zu ersetzen. Dadurch können persönliche Daten wie Kontodaten mobiler Bezahldienste und Daten der Selbstvermessung auf einem Wearable gespeichert werden.

Es ist davon auszugehen, dass Wearables mit der fortschreitenden Entwicklung immer eigenständiger werden und zukünftig auch ohne Companion Device betrieben werden können. Eine ständige und direkte Verbindung mit dem Internet, zum Beispiel mittels eines integrierten Mobilfunkmoduls, führt dazu, dass diese direkt aus dem Internet gefunden und angesprochen werden können. Dies stellt ein Risiko dar, wenn bei der Herstellung des Wearables die IT-Sicherheit nicht berücksichtigt wird und die Implementierung entsprechender Funktionen versäumt wurde.

Verbraucherinnen und Verbraucher sollten dies schon heute einfordern und sich beim Hersteller oder Anbieter erkundigen, wie ihre Daten auf dem Wearable sowie bei der Übertragung geschützt werden. Letztendlich sind sensible und persönliche Daten ein begehrtes Gut für Kriminelle im Internet, die diese für ihre Zwecke sammeln. Entsprechend sollte mit Wearables sehr verantwortungsbewusst umgegangen werden.