IDC Kommentar: Wearables - Fluch oder Segen für die IT-Sicherheit?

Frankfurt am Main, 09.09.2015.

Die Verbreitung von Wearable Devices nimmt in Deutschland Fahrt auf. Dies verdeutlichen nicht zuletzt die momentan auf der IFA vorgestellten Produktneuheiten. Wir erwarten, dass die Anzahl an verkauften Smart Watches, Fitness-Armbändern oder intelligenter Kleidung Ende dieses Jahres die drei Millionen-Marke in Deutschland übersteigt. Somit hat sich der Markt im Vergleich zu 2014 mehr als vervierfacht. Und diese Dynamik wird anhalten: Bis 2018 werden in der Bundesrepublik nach unseren Prognosen mehr als 8 Millionen Wearable Devices über den Ladentisch gehen.

Mark Alexander Schulte, Consultant bei IDC in Frankfurt. Bild: IDC Central Europe GmbH

Die meisten der abgesetzten tragbaren Geräte finden heute noch im Konsumenten-Umfeld Anwendung. Eine wachsende Zahl an Pilotprojekten verdeutlicht jedoch, welchen Mehrwert die intelligenten Begleiter auch für Unternehmen bieten können. Beispielhaft zu nennen sind hier etwa Datenmasken, die Schweißpunkte anzeigen und Smart Watches, die Fließbandarbeiter über eine besondere Bearbeitung informieren oder aber Datenbrillen, die Service-Techniker mit Anweisungen unterstützen. Der treibende Faktor für die Verbreitung von Wearables im Unternehmensumfeld ist jedoch zur Zeit noch der Mitarbeiter, der sein privates Device mit zur Arbeit bringt und beispielsweise seine Smart Watch mit seinem geschäftlichen oder seinem privaten (BYOD) Smartphone koppelt.

Unternehmen vernachlässigen Wearables bei der Absicherung ihrer mobilen IT

IDC ist überzeugt davon, dass Wearable Devices in den kommenden Monaten und Jahren verstärkt Einzug in Unternehmen halten werden. In diesem Zuge liegt die Frage auf der Hand, inwiefern Organisationen sich mit den Auswirkungen der intelligenten Begleiter auf die IT-Sicherheit auseinandersetzen. Bei diesen verhältnismäßig neuen Geräten handelt es sich um zusätzliche Endpoints, die aus Unternehmens-Sicht gemanagt und gesichert werden müssen. Die kürzlich vorgestellte IDC-Studie „Mobile Security in Deutschland 2015“ brachte ans Licht, dass sich heute lediglich ein gutes Drittel der befragten Unternehmen mit den Auswirkungen von Wearables auf die IT-Sicherheit auseinandersetzt. Die überwiegende Mehrheit tut dies bislang nicht.

Sicherlich werden nun einige IT-Verantwortliche argumentieren, dass viele der momentan auf dem Markt verfügbaren Wearables als sogenannte Companion Devices fungieren, d.h. sie sollen ein Smartphone „nur“ ergänzen und nicht ersetzen. Dazu greifen die Geräte auf die Daten und Konnektivität des Mobiltelefons zu und es erfolgt kein separater Zugriff auf ein Netzwerk. Sichere ich also das Smartphone ab, sichere ich auch das Companion Device ab, so die verbreitete Idee. Doch sind auf Smart Watches auch sensible Daten wie Kalender, Kontakte oder Bilder gespeichert, die bei Verlust oder Diebstahl der Devices kompromittiert werden können. Und mit einem verpflichtenden Passwort-Schutz oder Remote Wipe und Lock-Funktionen nehmen es die Anbieter momentan noch nicht so genau. Zudem verfolgen Device Hersteller wie Samsung oder LG zunehmend die Strategie, ihre Smart Watches mit einer eigenen SIM-Karte auszustatten, was einen separaten Zugriff auf das Firmennetzwerk ermöglichen und die Wearables zu vollwertigen Endpoints machen würde. Es ist also letztlich nur eine Frage der Zeit, wann dies die etablierten Sicherheitskonzepte vor größere Herausforderungen stellen wird.

Aus der Business-Brille betrachtet gilt es eine Situation, wie wir sie im Hinblick auf die Smartphones vor etwa vier oder fünf Jahren beobachten konnten, zu vermeiden. Damals nutzten Mitarbeiter ihre privaten Devices für geschäftliche Zwecke, da sie kein oder kein adäquates Firmengerät zur Verfügung gestellt bekamen und wurden so zu einem nicht zu unterschätzenden Leck in der IT-Security vieler Organisationen. Es ist daher umso erstaunlicher, dass viele Unternehmen aus dieser Erfahrung offenbar nicht gelernt haben und – die derzeitige Haltung als Maßstab nehmend – durch die Verbreitung von Wearables ein ähnliches Szenario für die IT-Sicherheit zu erwarten ist.

Neue Impulse für die Multifaktor-Authentifizierung durch Wearable Devices

Wie immer hat die Medaille auch in diesem Fall zwei Seiten: Für die IT-Sicherheit sind Wearables natürlich nicht nur ein potentielles Risiko, sondern auch eine Chance. Denn Armbänder und Smart Watches rücken beispielsweise als neue Faktoren für die Multi-Faktor-Authentifizierung (MFA) in den Fokus. Das Abwickeln von Transaktionen, wie zum Beispiel die Beauftragung einer Überweisung, erfolgt heute häufig digital. Zur Absicherung der Transaktionen und Genehmigungen werden bei der MFA zwei oder mehr unabhängige Faktoren kombiniert. Privatanwendern ist dies aus dem Online-Banking bekannt, wenn Sie eine TAN auf Ihr Smartphone geschickt bekommen. Wearable Devices rücken als neue „Faktoren“ in den Fokus der MFA, die ein zusätzliches Maß an Sicherheit versprechen. So müssten Mitarbeiter beispielsweise eine initiierte Transaktion auf ihrer Smart Watch final freigeben und bestätigen.

Die Studie brachte auch hervor, dass neun Prozent der Unternehmen, die heute eine Zwei-Faktor-Authentifizierung (2FA) einsetzen, die Verwendung von Wearable Devices ermöglichen. Das Ergebnis überrascht im Hinblick auf die noch junge Technologie nicht. Die Studienergebnisse zeigen allerdings auch, dass der Einsatz von Wearables im Rahmen der MFA durchaus attraktiv ist. 40 Prozent der befragten Organisationen mit 2FA im Einsatz haben die Absicht, zukünftig eine Authentifizierung mittels Wearable Device zu ermöglichen. Zudem treiben auch Anbieter verstärkt Lösungen für die MFA mittels Wearable voran.

Fazit

Wearable Devices erfreuen sich insbesondere im Consumer-Umfeld große Beliebtheit. Aus Sicht von IDC ist es allerdings nur noch eine Frage der Zeit, bis diese in die Unternehmen Einzug erhalten. In Einzelfällen können wir bereits heute Anwendungsszenarien sehen. Für die IT-Sicherheit von Organisationen sind die tragbaren Geräte Risiko und Chance zugleich. Die Devices werden auf der einen Seite die bestehenden Sicherheitskonzepte herausfordern, auf der anderen Seite aber auch vielfältige neue Möglichkeiten, beispielsweise im Rahmen einer MFA, bieten. IT-Verantwortliche sollten sich also besser früher als später mit der Thematik „Wearables und Sicherheit“ auseinanderzusetzen.

Die Studien-Ergebnisse bestätigen also, dass Wearable Devices nicht nur "Consumer-Spielzeug" bleiben werden. Die Auswirkungen werden allerdings davon abhängen, inwiefern sich der Trend vom Companion Device zum Standalone-Gerät mit eigenem Zugang zum Internet und Firmennetz durchsetzt. Während diese Entwicklung für die Mulitfaktor-Authentifizierung aufgrund der Unabhängigkeit vom Smartphone begrüßenswert wäre, würde sie die Notwendigkeit der Absicherung der Devices eskalieren.

IDC empfiehlt Organisationen dringend, sich mit Wearable Devices intensiv auseinandersetzen. Sie versprechen nicht nur Prozessoptimierungen, sondern haben ohne Frage Auswirkungen auf die IT-Sicherheit der Organisationen. Sollten Unternehmen Wearables weiterhin als „Consumer-Spielzeug“ abtun, setzen sie unter Umständen nicht nur ihre Wettbewerbsfähigkeit sondern auch ihre IT-Sicherheit aufs Spiel.
Der Autor: Mark Alexander Schulte, Consultant bei IDC in Frankfurt

zurück TOP