Wearables?
Wearables sind technische Geräte in Form kleiner, vernetzter Computer, die direkt bzw. nah am Körper getragen werden. Neben den bereits erwähnten Smartwatches ist dies eine breite Bandbreite – beginnend bspw. bei Fitnessarmbändern, Sensoren in Laufschuhen, über Schmuck oder technische Komponenten, welche direkt in die Kleidung eingearbeitet sind. Sie finden sich gegenwärtig bereits in vielen Bereichen – Lifestyle, Fitness und Gesundheit/Medizin (bspw. digitale Blutzucker- und Blutdruck-Messgeräte). Wearables sind somit Teil des allgegenwärtigen Internet of Things (IoT), das sich insbesondere auch dadurch auszeichnet, dass alles mit „smart“ versehen wird.
Mehrwert Wearables?
Ausgehend vom erzielten Gesamtumsatz ist das zentrale „Wearables“ die Smartwatch.
Es gibt viele Möglichkeiten, Wearables in ein Unternehmen zu integrieren. Ein Praxisbeispiel ist der Freizeitpark Disney World, in dem bereits seit 2013 sog. „MagicBands“ eingesetzt werden. Dies sind Funkarmbänder, die Besucher tragen und damit Zugang zum Freizeitpark und ihrem Hotelzimmer erhalten. Mit diesen Armbändern können sie zudem Essen, Trinken und Sonstiges mittels Mobile-Payment bezahlen. Dies verschlankt die gesamten Abläufe vor Ort (auf datenschutzrechtliche Aspekte wird hier zunächst einmal nicht eingegangen). Wearables optimieren somit u. a. den Kundenkontakt.
Aber auch in KMUs besteht anhand solcher Wearables die Chance, Arbeitsabläufe und Prozesse zu optimieren. Im Lagerbereich könnten auf SmartGlasses alle wesentlichen Informationen zum Lagersystem und der Lagerung der einzelnen Materialien gespielt werden. Für Arbeiter oder Handwerker besteht die Möglichkeit, Reparaturen mit Anleitungsvideos über eine SmartGlass durchzuführen. Über Smartwatches ließen sich Auftragsannahmen durchführen – insb. im Logistikbereich von Vorteil, um sich alle wesentlichen Informationen anzeigen zu lassen.
Beispielsweise setzt Audi Scanner-Handschuhe im Bereich der Logistik ein. Dies sind Handschuhe mit einem integrierten Barcode-Scanner, sodass die Mitarbeiter alle relevanten Funktionen mit den Handschuhen erledigen können. Der Scanner kommuniziert über Funk mit der Empfangseinheit (Access Point), der über einen USB oder seriellen Anschluss verbunden ist.
Die Einsatzmöglichkeiten in Unternehmen sind vielfältig, da sie den Zugang zu Informationen schaffen und damit auch neue Möglichkeiten zur Kommunikation. Wearables können u. a. zu effizienteren Arbeitsabläufen und Prozessen beitragen, die Arbeitssicherheit erhöhen und die Zusammenarbeit und Kommunikation (auch gegenüber Kunden) verbessern.
Wearables & Big Data
Um auf das Beispiel Disney World zurückzukommen: „MagicBands“ sorgen natürlich auch dafür, dass von jedem Benutzer detaillierte Informationen über seine Präferenzen gespeichert werden. Dazu hat das Unternehmen etwa die Möglichkeit festzustellen, welche Fahrgeschäfte welche Frequenz haben. Wearables liefern komplexe, kontextbezogene Informationen und sorgen für eine Flut an Daten, die es gilt zu verarbeiten. Bei richtiger Verarbeitung tragen diese Daten zur Erzeugung wirtschaftlichen Nutzens bei. Big Data und Digitalisierung und damit auch Wearables sind eng miteinander verknüpft.
Wearables & IT
Für die IT könnten Wearables in einem ersten Schritt als klassischer „Security-Nightmare“ betrachtet werden. Es sind insbesondere die Auswirkungen auf die IT-Sicherheit zu beachten. Schließlich müssen potentiell eine Vielzahl an zusätzlichen Geräten in die unternehmensinterne Struktur integriert, kontrolliert sowie sicher zur Verfügung gestellt werden. Auch die unternehmensinternen Anforderungen an Qualität, Sicherheit und Verfügbarkeit für den Einsatz sind zu befolgen. Damit müssen ebenfalls die Kommunikationswege (Bluetooth und NFC-Schnittstellen) beachtet werden. Wenn Speicher- und Transportverschlüsselungen fehlen, besteht bei der Übertragung der Daten die Gefahr von Manipulation und Ausspähung. Hersteller der Wearables können durch verschlüsselte Bluetooth-Schnittstellen und verschlüsselte Datenspeicherung zumindest etwas gegensteuern – die IT des Unternehmens muss das Management der Verbindungen in dem hausinternen Unternehmensnetzwerk sicherstellen.
Ohne entsprechende Schutzmaßnahmen wird durch Wearables (explizit durch Sicherheitslücken in der Anwendungssoftware oder dem Betriebssystem) ein zusätzliches „Einfallstor“ für Außenstehende geschaffen, um einen Zugriff auf Daten zu erhalten - und das nachdem Internet und Smartphones/Tablets erfolgreich in die Unternehmensstruktur integriert wurden. Die Implementierung in den Arbeitsprozess sowie in die IT kann nicht über Nacht erfolgen – ein entsprechender Change-Prozess ist zu implementieren. Wie für Smartphones und Tablets sind Wearables in die MDM bzw. übergeordnet in EMM-Lösungen zu integrieren.
Auch auf einer Smartwatch, die bspw. als Companion Device auf die Daten des Smartphones zugreift und damit kein separater Netzwerkzugriff erfolgt, befinden sich bspw. noch sensible Daten wie Kontakte. Companion Devices sind Endgeräte (Kind), welche ein (Eltern-)Gerät benötigen, um vollständig zu funktionieren. Daher wäre an dieser Stelle bspw. darauf zu achten, dass die entsprechende Smartwatch über eine Wipe- und Lock-Funktion verfügt, um, wie bspw. beim iPhone, eine Löschung von Daten aus der Ferne bei Verlust des Gegenstandes durchführen zu können.
Verfügen Smartwatches über eigene SIM-Karten – wie es heute verbreitet ist –, wird ein separater Zugriff auf das Netzwerk ermöglicht. Smartwatches werden damit zu vollwertigen Endpoints. Gleichzeitig zeigt sich, dass bspw. Smartwatches nicht darauf ausgelegt sind, Smartphones in ihrer Arbeit zu ergänzen – sondern irgendwann auch zu ersetzen.
Die Nutzung von Wearables für die IT und die IT-Sicherheit stellen somit eine Chance und ein Risiko zugleich dar.
Wearables & Datenschutz?
Durch Wearables nähert man sich auch immer mehr dem Thema „Datenexhibitionismus“. Wie wir im Ausblick festgestellt haben, steht dies im totalen Gegensatz zu Datensicherheit und Datenschutz.
Bei Wearables wird entweder direkt über das Endgerät oder über eine entsprechende App eine Vielzahl an Daten erzeugt und gesammelt; diese sind damit potenziell auswertbar – seien es bspw. biometrische Daten, Bewegungsprofile oder die Effizienz des Benutzers. Es besteht daher die Gefahr einer direkten Überwachung. Nicht erst seit den Wearables wäre dies sicher etwas für George Orwells „1984“ gewesen – Wearables heben dies nur eine Stufe höher. Es ist daher sehr wichtig, dass a) die Aufzeichnungen grundsätzlich nicht einem Mitarbeiter direkt zuordenbar sind und b) Maßnahmen eingerichtet werden, um diese personenbezogenen Daten zu schützen. Auch gibt es weitere rechtliche Anforderungen, die beachtet werden müssen – sei es bspw. für die Entwickler, aber auch im Rahmen der Implementierung (bspw. die Bildschirmarbeitsverordnung (BildscharbV) aus dem Arbeitsschutzgesetz).
Entsprechend relevant ist natürlich, wo die erhobenen Daten liegen. Denn es sind zumeist diese, , welche interessant sind für Außenstehende. Die Erfahrungen der letzten Jahre zeigen, wie aus den prominenten Erfahrungen mit Facebook und Cambridge Analytica, Yahoo ersichtlich, dass es sich um persönliche Informationen wie Name und Adresse handelt. Dies bedeutet, auch hier sind entsprechende Schutzmaßnahmen vorzunehmen.
Der durch Smartphones und Tablets ausgelöste Trend zu BYOD (Bring your own Device), d. h. die Nutzung von Geräten, die den Benutzern privat gehören, für dienstliche Zwecke, stellt Unternehmen insbesondere vor dem Hintergrund von Sicherheits- und Compliance-Aspekten vor größere Herausforderungen. Die Integration in die unternehmerische Umgebung solcher Geräte ist mittlerweile häufiger zu beobachten, es wird aber interessant sein, wie sich Wearables (auch vor dem Hintergrund der DSGVO), sofern eine stärkere Nutzung in Unternehmen vorgesehen, hier integrieren.
Fazit
Die Einführung von Wearables ermöglicht die Nutzung vieler Vorteile – insbesondere im Zuge von Prozessoptimierungen und -vereinfachung sowie Möglichkeiten hinsichtlich IoT bzw. Industrie 4.0. Allerdings sind neben IT-Sicherheits-Aspekten auch rechtliche und datenschutzrechtliche Aspekte zu berücksichtigen. Schließlich können persönliche Daten wie Kontodaten für Mobile-Payment (siehe Disney World) auf dem Endgerät gespeichert werden.
Auch wenn Wearables gegenwärtig noch häufig in Verbindung mit einem Comanion Device genutzt werden, ist davon auszugehen, dass sich dies in der Zukunft ändert und diese - wie die Smartwatch mit eigener SIM-Karte - eigenständig betrieben werden. Hier liegt dann eine ständige Internetverbindung vor, anhand derer die Geräte dann auch direkt auffindbar sind und angesprochen werden können. Dies ist damit ein hohes IT-Sicherheitsrisiko für jene Daten, die nicht im Controlling des Unternehmens liegen.
Es ist nicht empfehlenswert, sich der Thematik Wearables komplett zu verschließen. Ein wesentlicher Aspekt bei der Einführung von Wearables bzw. bei den Überlegungen zur Einführung ist eine zentrale Strategie und Planung. Wearables sind in die „mobile Strategie“ der Unternehmen zu integrieren, da die Verantwortung für einen sachgemäßen Einsatz weiterhin bei den Unternehmen selbst liegt.
Exkurs: Internet of Things – Chancen und Risiken für Unternehmen
Jedes Ding hat einen Anschluss
Dem sogenannten Internet der Dinge (engl. Internet of Things – IoT) werden nicht nur Auswirkungen auf unser Privatleben in Form einer vollständigen Vernetzung, völligen Automatisierung und Digitalisierung nachgesagt, sondern es soll auch unsere Arbeitswelt wesentlich verändern.
So erlaubt das IoT bisher unvorstellbare neue Möglichkeiten für Unternehmen, um neue Produkte und/oder Services auf den Markt zu bringen. Eines der prominentesten Beispiele ist das automatische Notrufsystem eCall, das nach einem Unfall mit Airbagauslösung selbsttätig um Hilfe ruft und rettungsrelevante Daten (wie z. B. Fahrzeugposition und Anzahl der Insassen überträgt. Ermöglicht wird dies durch eine Kombination aus realer und digitaler Welt. Dabei ist der Name sprichwörtlich Programm: Jedes Gerät, vom Auto bis zur Zahnbürste, soll einen (kabellosen) Netzwerkanschluss und eine (virtuelle) IP-Adresse bekommen. Somit sind alle IoT-Geräte miteinander vernetzt und über das Internet erreichbar. Die kleinen technischen Meisterwerke sind dabei fast vollständige Computer mit Rechenwerk und Schnittstellen – nur eben viel kleiner. Je nach Ausstattung sammeln diese eine Vielzahl an Informationen: etwa Temperatur, Helligkeit, Feuchtigkeit, Geschwindigkeit und Position. Die bloße Sammlung dieser Daten reicht, um ein IoT-Gerät zu sein, allerdings nicht aus. Vielmehr ist eine Kommunikation über Schnittstellen zwingend erforderlich. Und da genau liegen die Chancen und Risiken zugleich.Nur so können automatisiert entsprechende Maßnahmen ergriffen werden.
In vielen Unternehmen bietet sich die Chance, die bisherigen Produkte und Services mittels Sensoren „smarter“ zu machen (vgl. auch unseren Artikel zu „Smart Wearables“).
Mögliche Risiken: Spionage, Denial-Of-Service und Botnetz
Bei vielen IoT-Geräten liegt der Fokus in der Entwicklung, weniger auf der IT-Sicherheit, sodass es immer wieder zu Missbräuchen kommt. Bekannteste Beispiele sind hier u. a. schlecht abgesicherte Webcams und damit unerwünschte Zugriffe durch Dritte. Zudem bauen IoT-Geräte häufig selbsttätig Verbindungen ins Internet auf, indem die Geräte mittels UPnP (Universal Plag and Play) Portweiterleitungen in den Routern einrichten. Typische Risiken sind hierbei das Einschleusen von (weiterer) Schadsoftware mit dem Ziel, das Gerät oder die gesamten IT-Systeme des Unternehmens lahmzulegen oder Informationen auszuspähen. Als weiteres Schreckensszenario kann das IoT-Gerät zum Teil eines Botnetzes werden und natürlich „knabbert“ das IoT auch.an der Gesamtkapazität der Verbindung.
Anforderungen
Damit die neue Technik tatsächlich unser Leben einfacher macht und nicht neue Probleme auf uns zukommen, gilt es, einiges zu beachten; allen voran (IT-)Sicherheitsrisiken aber auch die (datenschutzrechtliche) Rechtslage und Verantwortlichkeiten.
Zur Absicherung der IoT-Geräte hat z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn im IT-Grundschutzkompendium unter dem Baustein „SYS: IT-Systeme“ „SYS.4.4 Allgemeines IoT-Gerät“ beschrieben, welche Maßnahmen getroffen werden können, um IoT-Geräte abzusichern. So müssen gemäß BSI die IoT-Geräte ein Mindestmaß an IT-Sicherheitskriterien erfüllen und dürfen z. B. keine fest integrierten Zugangsdaten im IoT-Gerät enthalten. Außerdem muss der Netzzugriff der IoT-Geräte zwingend auf ein Minimum reduziert und kontrolliert werden. So muss z. B. die UPnP-Funktion definitiv an allen im Unternehmen eingesetzten Routern deaktiviert sein.
Fazit
Nicht nur die größeren Unternehmen, sondern auch die kleinen und mittleren Unternehmen (KMUs) sollten ihre Organisationen auf IoT vorbereiten. Der Berg an zu bewältigenden Aufgaben ist riesig. So stellen die kurz angerissenen Anforderungen nur die Spitze des Eisbergs dar. Es müssen nicht mehr nur Server und Clients gesichert werden, sondern auch mobile und IoT-Geräte; die ein wesentlich breiteres Gebiet an Schnittstellen und neuer Technologien mitbringen.
Um die IT-Sicherheitsrisiken zu minimieren, muss bei jedem IoT-Projekt die Sicherheit oberste Priorität haben. So dürfen Risiken vieler IoT-Geräte niemals unterschätzt werden. Natürlich verändern sich auch die Aufgaben an die Mitarbeiter. So muss der Mitarbeiter der Zukunft ein grundlegendes Verständnis für Automatisierung ebenso mitbringen, wie Kenntnis über vernetzte Systeme und digitale Lösungen.
