08.05.2017 Personenbezogene Daten im Visier

So locken Wearables Hacker an

Von: Ina Schlücker

Wearables werden für Hacker immer interessanter, u.a. um personenbezogene Daten abzugreifen, berichtet Josef Meier von Fortinet.

Josef Meier, Fortinet

Josef Meier, Manager Sales Engineering Germany bei Fortinet

Herr Meier, wie häufig finden mittlerweile Cyber-Angriffe auf Wearables statt?
Josef Meier:
Derzeit geht man von einem Wearables-Wachstum von 35 Prozent pro Jahr aus, sodass bis 2020 ca. 20 Prozent aller Zahlungsvorgänge über Wearables abgewickelt werden. Damit verbunden werden derartige Geräte und Technologien immer interessanter für Hacker. Vor allem die Geräte, mit denen Zahlungsvorgänge durchgeführt werden können, rücken hier in den Fokus.

Welche Arten von Cyber-Attacken laufen über Wearables ab?
Meier:
Im Fokus sind hier Attacken, die personenbezogene Daten, Authentifizierungsdaten oder das Nutzerverhalten auslesen. Weiterhin sind aber auch Attacken bekannt, die das Wearable Device als Brücke nutzen um unter Umständen auf Unternehmensdaten z.B. auf einem Laptop zugreifen zu können.

Welchen Schaden können solche Angriffe anrichten? Welche kritischen Informationen können abgegriffen werden?
Meier:
Dies hängt natürlich stark davon ab, welche Art von Wearable angegriffen wird. Dies reicht von Gesundheitsdaten über Benutzerverhalten bis hin zu Authentifizierungsdaten wie Fingerprints oder Login-Daten für etwaige Unternehmens- oder E-Mail-Zugänge.

Mit welchen Geräten und über welche Verbindungswege sind Wearables in der Regel verbunden? Existiert bei manchen ein direkter Zugang ins Internet?
Meier:
Einige Wearables, wie Smartwatches, Brillen etc. haben direkten Internetzugriff. Fast alle können via USB oder Bluetooth mit einem Rechner, Laptop verbunden werden. Darüber hinaus wird beispielsweise für Zahlungsvorgänge die sogenannte Near Field Communication (NFC) genutzt.

Wie sicher sind diese Verbindungen? Inwieweit erweisen sie sich als Sicherheitslücke?
Meier:
Direkte Internet-Verbindungen sind durchaus problematisch, da Inhalte ohne Virenschutz oder Firewall aufgerufen und geladen werden können. Sofern ein Wearable Device mit einer Malware infiziert wurde, kann diese via USB oder Bluetooth-Verbindung natürlich auch verbreitet werden und beispielsweise den angeschlossenen Laptop, TV etc. ebenfalls infizieren. Aber auch die sogenannte Near Field Communication birgt durchaus ernstzunehmende Risiken. Hier können Zahlungsdaten abgefangen oder manipuliert werden.

Wie sicher gestaltet sich insbesondere die häufig genutzte Bluetooth-Verbindung?
Meier:
Bluetooth birgt sicherlich Risiken, sofern keine Authentifizierungsmethoden genutzt werden. Daher sollte jede Bluetooth-Verbindung zumindest mit einer PIN abgesichert werden.

Welche Authentifizierungsverfahren erweisen sich bei der Handhabung von Wearables am effektivsten und gleichzeitig am sichersten?
Meier:
Diese Frage lässt sich pauschal nur schwer beantworten, da es hier um die Abwägung zwischen potentiellem Risiko und Aufwand geht. Wearables, die an Unternehmen angebunden sind und somit ein potentiell höheres Risiko für Hacking-Attacken haben, sollten unbedingt mittels Multifaktor-Authentisierung abgesichert werden. Beispielsweise Fingerprint plus PIN oder Einmalpasswort ähnlich der TAN, wie man sie von seiner Online-Banking-Applikation kennt.

Die meisten per Wearable gesammelten Informationen wandern in angebundene Webportale. Wie lassen sich hier seriöse von unseriösen Betreibern unterscheiden?
Meier:
Hier sollte man vor Anmeldung oder gar Preisgabe von Daten die Website bei diversen Portalen auf ihre Seriosität hin prüfen. Weiterhin sollte man sich die Datenschutzrichtlinien durchlesen und auf verschlüsselte Verbindungen achten. Sofern hier Zweifel bestehen, besser einen anderen Anbieter auswählen.

Inwieweit ist bei der Nutzung von Wearables die Angst, dass private Daten abhanden kommen, generell begründet?
Meier:
Diese Bedenken sind absolut begründet, wenn man beispielweise an Fitness-Tracker denkt. Dort werden in der Regel Gesundheitsdaten gespeichert und laufend aktualisiert. Verschiedene Hacker haben bewiesen, dass Fitness-Tracker sehr schnell gehackt werden können. Danach können sie genutzt werden, um Malware via USB oder Bluetooth verbundene Geräte zu übertragen oder die Nutzerdaten auszulesen. Sofern die Nutzerdaten ausgelesen wurden, kann in den meisten Fällen auch der Account der genutzten Portale kompromittiert werden.

Mit welchen Lösungen und Schutzmaßnahmen können sich Wearable-Nutzer vor Angriffen und Datenklau schützen?
Meier:
Grundsätzlich gilt hier immer der Ansatz von „Common sense“. Also sorgfältiger Umgang mit Authentifizierungsdaten, Vorsicht ist aber auch bei kostenlosen, offenen WLANs und beim Surfen im Internet geboten. Hauptsächlich sind hier die Hersteller von Wearables gefragt, denn diese tragen die Hauptverantwortung, Sicherheitsmaßnahmen zu implementieren und entsprechend sichere Plattformen zur Verfügung zu stellen.

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH