Sicherheit von Wearables mit medizinischen Teilfunktionalitäten (SiWamed)

Schwachstellen in und an Geräten zur Erfassung von Gesundheits- und Fitnessdaten eröffnen Kriminellen eine neue Form der personenbezogenen Cyber-Kriminalität. So wäre es zum einen denkbar, dass Wearables gezielt für Angriffe auf Personen verwendet werden, die eine entsprechende Sensorik nutzen. Auch könnten gezielt Angriffe zur Störung der Genesung von Erkrankten stattfinden, wenn diese beispielsweise ihrer Medikation basierend auf Sensordaten anpassen.

Wer Zugriff auf die von Wearables erfassten Daten hat, kann diese unter Umständen für kriminelle Aktivitäten nutzen, zum Beispiel in Verbindung mit einem Identitätsdiebstahl. Zudem können die Daten für das sogenannte „Doxing“ genutzt werden. Der Begriff wird verwendet, wenn Daten einer Person gezielt beschafft werden, um diese dann im Internet zu veröffentlichen. Oft wird damit das Ziel verfolgt, der Person zu schaden. Zum Beispiel kann durch das Offenlegen „brisanter“ Daten ein Imageverlust von Personen erreicht werden. Ebenso könnten die Opfer eines Datendiebstahls durch Androhung der Offenlegung von Daten erpresst werden.

Daher ist es wichtig, dass sich Nutzer auf Wearables verlassen können bzw. sich der Risiken der Nutzung bewusst sind.

Die vorliegende Studie wurde im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit den folgenden Zielen erstellt:

• Erstellung einer realistischen Einschätzung zur Nutzung von Wearables und der damit verbundenen Komponenten (mobile Anwendung, Standalone-Anwendung, Web- oder Cloud-Anwendung) in Bezug auf die Sicherheit der erfassten Gesundheitsdaten,
• Aufdeckung möglicher IT-Schwachstellen in Wearables oder Komponenten, und
• Sensibilisierung der Bevölkerung und der Hersteller.

Im Mittelpunkt der Studie stand die Datensicherheit, d.h. die Gesamtheit der technischen Maßnahmen zum Schutz der verarbeiteten Daten und Wahrung der Integrität, Vertraulichkeit und Verfügbarkeit der Daten.

Dazu entwarfen die Tester maßgeschneiderte Testpläne und analysierten die Wearables mit den zugehörigen Komponenten auf Schwachstellen. Hierbei wurden technisch fortgeschrittene und versierte Angreifer simuliert, denen ein begrenzter Zeitaufwand zur Verfügung stand. Die Studie beginnt mit einer Definition von Wearables, die für die sich anschließende Marktanalyse
maßgeblich ist. Im Rahmen der Marktanalyse werden die in Deutschland verfügbaren Wearables untersucht und aufgrund ihrer Eigenschaften in die vier Segmente Smartwatches, Basic Watches, Fitness Tracker und Smart Rings eingeteilt. Für die weitere Untersuchung wurden jeweils die in den vier Kategorien relevantesten Wearables ausgewählt.

Anschließend werden die Testverfahren für die Komponenten Wearable Endgerät, mobile Anwendung und Hintergrundsysteme, sowie die Testergebnisse für die ausgewählten Geräte in anonymisierter Form vorgestellt.

Letztere bilden die Grundlage für die Cybersicherheitsbetrachtung der Studie, in der die Ergebnisse der Studie zusammengeführt werden. In der Betrachtung werden die typischen Schwachstellen und die Rahmenbedingungen zur deren Ausnutzung beschrieben. Die Studie schließt mit einer zusammenfassenden Betrachtung zum Stand der Sicherheit der Endgeräte und verbundenen Komponenten.

SiWamed_Abschlussbericht

Bild/Quelle: https://depositphotos.com/de/home.html