deen
Nexia Ebner Stolz

Next Generation: Integration von (Smart) Wearables in den Unternehmen

iPhones/Smartphones (ca. 2007) und iPads/Tablets (ca. 2010) gehören bei vielen Unternehmen zum Standard. Auch entsprechende Mobile Device Management- (MDM) bzw. Enterprise Mobility Management- (EMM)Lösungen wurden implementiert. Jetzt steht die nächste Generation mobiler Endgeräte vor der Integration in die Unternehmen. Im Consumer Sektor bereits deutlich verbreiterter, steht die nächste Generation mobiler Endgeräte vor der Integration in die Unternehmens-IT (Smart) Wearables.

Wea­ra­b­les?

Wea­ra­b­les sind tech­ni­sche Geräte in Form klei­ner, ver­netz­ter Com­pu­ter, die direkt bzw. nah am Kör­per getra­gen wer­den. Neben den bereits erwähn­ten Smart­wat­ches ist dies eine breite Band­b­reite – begin­nend bspw. bei Fit­ness­arm­bän­dern, Sen­so­ren in Lauf­schu­hen, über Sch­muck oder tech­ni­sche Kom­po­nen­ten, wel­che direkt in die Klei­dung ein­ge­ar­bei­tet sind. Sie fin­den sich gegen­wär­tig bereits in vie­len Berei­chen – Life­style, Fit­ness und Gesund­heit/Medi­zin (bspw. digi­tale Blut­zu­cker- und Blut­druck-Mess­ge­räte). Wea­ra­b­les sind somit Teil des all­ge­gen­wär­ti­gen Inter­net of Things (IoT), das sich ins­be­son­dere auch dadurch aus­zeich­net, dass alles mit „smart“ ver­se­hen wird. 

Mehr­wert Wea­ra­b­les?

Aus­ge­hend vom erziel­ten Gesam­t­um­satz ist das zen­trale „Wea­ra­b­les“ die Smart­watch.
Es gibt viele Mög­lich­kei­ten, Wea­ra­b­les in ein Unter­neh­men zu inte­grie­ren. Ein Pra­xis­bei­spiel ist der Frei­zeit­park Dis­ney World, in dem bereits seit 2013 sog. „Magic­Bands“ ein­ge­setzt wer­den. Dies sind Funk­arm­bän­der, die Besu­cher tra­gen und damit Zugang zum Frei­zeit­park und ihrem Hotel­zim­mer erhal­ten. Mit die­sen Arm­bän­dern kön­nen sie zudem Essen, Trin­ken und Sons­ti­ges mit­tels Mobile-Pay­ment bezah­len. Dies ver­schlankt die gesam­ten Abläufe vor Ort (auf daten­schutz­recht­li­che Aspekte wird hier zunächst ein­mal nicht ein­ge­gan­gen). Wea­ra­b­les opti­mie­ren somit u. a. den Kun­den­kon­takt. 

Aber auch in KMUs besteht anhand sol­cher Wea­ra­b­les die Chance, Arbeits­ab­läufe und Pro­zesse zu opti­mie­ren. Im Lager­be­reich könn­ten auf Smart­Glas­ses alle wesent­li­chen Infor­ma­tio­nen zum Lager­sys­tem und der Lage­rung der ein­zel­nen Mate­ria­lien gespielt wer­den. Für Arbei­ter oder Hand­wer­ker besteht die Mög­lich­keit, Repa­ra­tu­ren mit Anlei­tungs­vi­deos über eine Smart­Glass durch­zu­füh­ren. Über Smart­wat­ches lie­ßen sich Auf­trag­s­an­nah­men durch­füh­ren – insb. im Logis­tik­be­reich von Vor­teil, um sich alle wesent­li­chen Infor­ma­tio­nen anzei­gen zu las­sen.

Bei­spiels­weise setzt Audi Scan­ner-Hand­schuhe im Bereich der Logis­tik ein. Dies sind Hand­schuhe mit einem inte­grier­ten Bar­code-Scan­ner, sodass die Mit­ar­bei­ter alle rele­van­ten Funk­tio­nen mit den Hand­schu­hen erle­di­gen kön­nen. Der Scan­ner kom­mu­ni­ziert über Funk mit der Emp­fangs­ein­heit (Access Point), der über einen USB oder seri­el­len Anschluss ver­bun­den ist.

Die Ein­satz­mög­lich­kei­ten in Unter­neh­men sind viel­fäl­tig, da sie den Zugang zu Infor­ma­tio­nen schaf­fen und damit auch neue Mög­lich­kei­ten zur Kom­mu­ni­ka­tion. Wea­ra­b­les kön­nen u. a. zu effi­zi­en­te­ren Arbeits­ab­läu­fen und Pro­zes­sen bei­tra­gen, die Arbeits­si­cher­heit erhöhen und die Zusam­men­ar­beit und Kom­mu­ni­ka­tion (auch gegen­über Kun­den) ver­bes­sern.   

Wea­ra­b­les & Big Data

Um auf das Bei­spiel Dis­ney World zurück­zu­kom­men: „Magic­Bands“ sor­gen natür­lich auch dafür, dass von jedem Benut­zer detail­lierte Infor­ma­tio­nen über seine Prä­fe­ren­zen gespei­chert wer­den. Dazu hat das Unter­neh­men etwa die Mög­lich­keit fest­zu­s­tel­len, wel­che Fahr­ge­schäfte wel­che Fre­qu­enz haben. Wea­ra­b­les lie­fern kom­plexe, kon­text­be­zo­gene Infor­ma­tio­nen und sor­gen für eine Flut an Daten, die es gilt zu ver­ar­bei­ten. Bei rich­ti­ger Ver­ar­bei­tung tra­gen diese Daten zur Erzeu­gung wirt­schaft­li­chen Nut­zens bei. Big Data und Digi­ta­li­sie­rung und damit auch Wea­ra­b­les sind eng mit­ein­an­der ver­knüpft.

Wea­ra­b­les & IT

Für die IT könn­ten Wea­ra­b­les in einem ers­ten Schritt als klas­si­scher „Secu­rity-Night­ma­re“ betrach­tet wer­den. Es sind ins­be­son­dere die Aus­wir­kun­gen auf die IT-Sicher­heit zu beach­ten.  Sch­ließ­lich müs­sen poten­ti­ell eine Viel­zahl an zusätz­li­chen Gerä­ten in die unter­neh­mens­in­terne Struk­tur inte­griert, kon­trol­liert sowie sicher zur Ver­fü­gung ges­tellt wer­den. Auch die unter­neh­mens­in­ter­nen Anfor­de­run­gen an Qua­li­tät, Sicher­heit und Ver­füg­bar­keit für den Ein­satz sind zu befol­gen. Damit müs­sen eben­falls die Kom­mu­ni­ka­ti­ons­wege (Blue­tooth und NFC-Schnitt­s­tel­len) beach­tet wer­den. Wenn Spei­cher- und Trans­port­ver­schlüs­se­lun­gen feh­len, besteht bei der Über­tra­gung der Daten die Gefahr von Mani­pu­la­tion und Aus­späh­ung. Her­s­tel­ler der Wea­ra­b­les kön­nen durch ver­schlüs­selte Blue­tooth-Schnitt­s­tel­len und ver­schlüs­selte Daten­spei­che­rung zumin­dest etwas gegen­steu­ern – die IT des Unter­neh­mens muss das Mana­ge­ment der Ver­bin­dun­gen in dem haus­in­ter­nen Unter­neh­mens­netz­werk sicher­s­tel­len.

Ohne ent­sp­re­chende Schutz­maß­nah­men wird durch Wea­ra­b­les (exp­li­zit durch Sicher­heits­lü­cken in der Anwen­dungs­soft­ware oder dem Betriebs­sys­tem) ein zusätz­li­ches „Ein­fall­s­tor“ für Außen­ste­hende geschaf­fen, um einen Zugriff auf Daten zu erhal­ten - und das nach­dem Inter­net und Smart­pho­nes/Tab­lets erfolg­reich in die Unter­neh­mens­struk­tur inte­griert wur­den. Die Imp­le­men­tie­rung in den Arbeit­s­pro­zess sowie in die IT kann nicht über Nacht erfol­gen – ein ent­sp­re­chen­der Change-Pro­zess ist zu imp­le­men­tie­ren. Wie für Smart­pho­nes und Tab­lets sind Wea­ra­b­les in die MDM bzw. über­ge­ord­net in EMM-Lösun­gen zu inte­grie­ren. 

Auch auf einer Smart­watch, die bspw. als Com­pa­nion Device auf die Daten des Smart­pho­nes zug­reift und damit kein sepa­ra­ter Netz­werk­zu­griff erfolgt, befin­den sich bspw. noch sen­si­ble Daten wie Kon­takte. Com­pa­nion Devices sind End­ge­räte (Kind), wel­che ein (Eltern-)Gerät benö­t­i­gen, um voll­stän­dig zu funk­tio­nie­ren. Daher wäre an die­ser Stelle bspw. dar­auf zu ach­ten, dass die ent­sp­re­chende Smart­watch über eine Wipe- und Lock-Funk­tion ver­fügt, um, wie bspw. beim iPhone, eine Löschung von Daten aus der Ferne bei Ver­lust des Gegen­stan­des durch­füh­ren zu kön­nen. 

Ver­fü­gen Smart­wat­ches über eigene SIM-Kar­ten – wie es heute ver­b­rei­tet ist –, wird ein sepa­ra­ter Zugriff auf das Netz­werk ermög­licht. Smart­wat­ches wer­den damit zu voll­wer­ti­gen End­po­ints. Gleich­zei­tig zeigt sich, dass bspw. Smart­wat­ches nicht dar­auf aus­ge­legt sind, Smart­pho­nes in ihrer Arbeit zu ergän­zen – son­dern irgend­wann auch zu erset­zen.

Die Nut­zung von Wea­ra­b­les für die IT und die IT-Sicher­heit stel­len somit eine Chance und ein Risiko zug­leich dar.

Wea­ra­b­les & Daten­schutz?

Durch Wea­ra­b­les näh­ert man sich auch immer mehr dem Thema „Daten­ex­hi­bi­tio­nis­mus“. Wie wir im Aus­blick fest­ge­s­tellt haben, steht dies im tota­len Gegen­satz zu Daten­si­cher­heit und Daten­schutz. 

Bei Wea­ra­b­les wird ent­we­der direkt über das End­ge­rät oder über eine ent­sp­re­chende App eine Viel­zahl an Daten erzeugt und gesam­melt; diese sind damit poten­zi­ell aus­wert­bar – seien es bspw. bio­me­tri­sche Daten, Bewe­gung­s­pro­file oder die Effi­zi­enz des Benut­zers. Es besteht daher die Gefahr einer direk­ten Über­wa­chung. Nicht erst seit den Wea­ra­b­les wäre dies sicher etwas für George Orwells „1984“ gewe­sen – Wea­ra­b­les heben dies nur eine Stufe höher. Es ist daher sehr wich­tig, dass a) die Auf­zeich­nun­gen grund­sätz­lich nicht einem Mit­ar­bei­ter direkt zuor­den­bar sind und b) Maß­nah­men ein­ge­rich­tet wer­den, um diese per­so­nen­be­zo­ge­nen Daten zu schüt­zen. Auch gibt es wei­tere recht­li­che Anfor­de­run­gen, die beach­tet wer­den müs­sen – sei es bspw. für die Ent­wick­ler, aber auch im Rah­men der Imp­le­men­tie­rung (bspw. die Bild­schirm­ar­beits­ver­ord­nung (Bild­sch­arbV) aus dem Arbeits­schutz­ge­setz).

Ent­sp­re­chend rele­vant ist natür­lich, wo die erho­be­nen Daten lie­gen. Denn es sind zumeist diese, , wel­che inter­es­sant sind für Außen­ste­hende. Die Erfah­run­gen der letz­ten Jahre zei­gen, wie aus den pro­mi­nen­ten Erfah­run­gen mit Face­book und Cam­bridge Ana­lytica, Yahoo ersicht­lich, dass es sich um per­sön­li­che Infor­ma­tio­nen wie Name und Adresse han­delt. Dies bedeu­tet, auch hier sind ent­sp­re­chende Schutz­maß­nah­men vor­zu­neh­men.

Der durch Smart­pho­nes und Tab­lets aus­ge­löste Trend zu BYOD (Bring your own Device), d. h. die Nut­zung von Gerä­ten, die den Benut­zern pri­vat gehö­ren, für dienst­li­che Zwe­cke, stellt Unter­neh­men ins­be­son­dere vor dem Hin­ter­grund von Sicher­heits- und Com­p­li­ance-Aspek­ten vor grö­ßere Her­aus­for­de­run­gen. Die Inte­g­ra­tion in die unter­neh­me­ri­sche Umge­bung sol­cher Geräte ist mitt­ler­weile häu­fi­ger zu beo­b­ach­ten, es wird aber inter­es­sant sein, wie sich Wea­ra­b­les (auch vor dem Hin­ter­grund der DSGVO), sofern eine stär­kere Nut­zung in Unter­neh­men vor­ge­se­hen, hier inte­grie­ren.

Fazit

Die Ein­füh­rung von Wea­ra­b­les ermög­licht die Nut­zung vie­ler Vor­teile – ins­be­son­dere im Zuge von Pro­zes­s­opti­mie­run­gen und -ver­ein­fa­chung sowie Mög­lich­kei­ten hin­sicht­lich IoT bzw. Indu­s­trie 4.0. Aller­dings sind neben IT-Sicher­heits-Aspek­ten auch recht­li­che und daten­schutz­recht­li­che Aspekte zu berück­sich­ti­gen. Sch­ließ­lich kön­nen per­sön­li­che Daten wie Kon­to­da­ten für Mobile-Pay­ment (siehe Dis­ney World) auf dem End­ge­rät gespei­chert wer­den.

Auch wenn Wea­ra­b­les gegen­wär­tig noch häu­fig in Ver­bin­dung mit einem Coma­nion Device genutzt wer­den, ist davon aus­zu­ge­hen, dass sich dies in der Zukunft ändert und diese - wie die Smart­watch mit eige­ner SIM-Karte - eigen­stän­dig betrie­ben wer­den. Hier liegt dann eine stän­dige Inter­net­ver­bin­dung vor, anhand derer die Geräte dann auch direkt auf­find­bar sind und ange­spro­chen wer­den kön­nen. Dies ist damit ein hohes IT-Sicher­heits­ri­siko für jene Daten, die nicht im Con­trol­ling des Unter­neh­mens lie­gen.

Es ist nicht emp­feh­lens­wert, sich der The­ma­tik Wea­ra­b­les kom­p­lett zu ver­sch­lie­ßen. Ein wesent­li­cher Aspekt bei der Ein­füh­rung von Wea­ra­b­les bzw. bei den Über­le­gun­gen zur Ein­füh­rung ist eine zen­trale Stra­te­gie und Pla­nung. Wea­ra­b­les sind in die „mobile Stra­te­gie“ der Unter­neh­men zu inte­grie­ren, da die Ver­ant­wor­tung für einen sach­ge­mä­ßen Ein­satz wei­ter­hin bei den Unter­neh­men selbst liegt.

Exkurs: Inter­net of Things – Chan­cen und Risi­ken für Unter­neh­men

Jedes Ding hat einen Anschluss

Dem soge­nann­ten Inter­net der Dinge (engl. Inter­net of Things – IoT) wer­den nicht nur Aus­wir­kun­gen auf unser Pri­vat­le­ben in Form einer voll­stän­di­gen Ver­net­zung, völ­li­gen Auto­ma­ti­sie­rung und Digi­ta­li­sie­rung nach­ge­sagt, son­dern es soll auch unsere Arbeits­welt wesent­lich ver­än­dern.

So erlaubt das IoT bis­her unvor­s­tell­bare neue Mög­lich­kei­ten für Unter­neh­men, um neue Pro­dukte und/oder Ser­vices auf den Markt zu brin­gen. Eines der pro­mi­nen­tes­ten Bei­spiele ist das auto­ma­ti­sche Not­ruf­sys­tem eCall, das nach einem Unfall mit Air­ba­g­aus­lö­sung selbst­tä­tig um Hilfe ruft und ret­tungs­re­le­vante Daten (wie z. B. Fahr­zeug­po­si­tion und Anzahl der Insas­sen über­trägt. Ermög­licht wird dies durch eine Kom­bi­na­tion aus rea­ler und digi­ta­ler Welt. Dabei ist der Name sprich­wört­lich Pro­gramm: Jedes Gerät, vom Auto bis zur Zahn­bürste, soll einen (kabel­lo­sen) Netz­werk­an­schluss und eine (vir­tu­elle) IP-Adresse bekom­men. Somit sind alle IoT-Geräte mit­ein­an­der ver­netzt und über das Inter­net erreich­bar. Die klei­nen tech­ni­schen Meis­ter­werke sind dabei fast voll­stän­dige Com­pu­ter mit Rechen­werk und Schnitt­s­tel­len – nur eben viel klei­ner. Je nach Aus­stat­tung sam­meln diese eine Viel­zahl an Infor­ma­tio­nen: etwa Tem­pe­ra­tur, Hel­lig­keit, Feuch­tig­keit, Geschwin­dig­keit und Posi­tion. Die bloße Samm­lung die­ser Daten reicht, um ein IoT-Gerät zu sein, aller­dings nicht aus. Viel­mehr ist eine Kom­mu­ni­ka­tion über Schnitt­s­tel­len zwin­gend erfor­der­lich. Und da genau lie­gen die Chan­cen und Risi­ken zug­leich.Nur so kön­nen auto­ma­ti­siert ent­sp­re­chende Maß­nah­men ergrif­fen wer­den.

In vie­len Unter­neh­men bie­tet sich die Chance, die bis­he­ri­gen Pro­dukte und Ser­vices mit­tels Sen­so­ren „smar­ter“ zu machen (vgl. auch unse­ren Arti­kel zu „Smart Wea­ra­b­les“). 

Mög­li­che Risi­ken: Spio­nage, Denial-Of-Ser­vice und Bot­netz

Bei vie­len IoT-Gerä­ten liegt der Fokus in der Ent­wick­lung, weni­ger auf der IT-Sicher­heit, sodass es immer wie­der zu Miss­bräu­chen kommt. Bekann­teste Bei­spiele sind hier u. a. sch­lecht abge­si­cherte Web­cams und damit uner­wünschte Zugriffe durch Dritte. Zudem bauen IoT-Geräte häu­fig selbst­tä­tig Ver­bin­dun­gen ins Inter­net auf, indem die Geräte mit­tels UPnP (Uni­ver­sal Plag and Play) Port­wei­ter­lei­tun­gen in den Rou­tern ein­rich­ten. Typi­sche Risi­ken sind hier­bei das Ein­sch­leu­sen von (wei­te­rer) Schad­soft­ware mit dem Ziel, das Gerät oder die gesam­ten IT-Sys­teme des Unter­neh­mens lahm­zu­le­gen oder Infor­ma­tio­nen aus­zu­spähen. Als wei­te­res Sch­re­ckenss­ze­na­rio kann das IoT-Gerät zum Teil eines Bot­net­zes wer­den und natür­lich „knab­bert“ das IoT auch.an der Gesamt­ka­pa­zi­tät der Ver­bin­dung.

Anfor­de­run­gen

Damit die neue Tech­nik tat­säch­lich unser Leben ein­fa­cher macht und nicht neue Pro­b­leme auf uns zukom­men, gilt es, eini­ges zu beach­ten; allen voran (IT-)Sicher­heits­ri­si­ken aber auch die (daten­schutz­recht­li­che) Rechts­lage und Ver­ant­wort­lich­kei­ten.

Zur Absi­che­rung der IoT-Geräte hat z. B. das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI), Bonn im IT-Grund­schutz­kom­pen­dium unter dem Bau­stein „SYS: IT-Sys­te­me“ „SYS.4.4 All­ge­mei­nes IoT-Gerät“ beschrie­ben, wel­che Maß­nah­men getrof­fen wer­den kön­nen, um IoT-Geräte abzu­si­chern. So müs­sen gemäß BSI die IoT-Geräte ein Min­dest­maß an IT-Sicher­heits­kri­te­rien erfül­len und dür­fen z. B. keine fest inte­grier­ten Zugangs­da­ten im IoT-Gerät ent­hal­ten. Außer­dem muss der Netz­zu­griff der IoT-Geräte zwin­gend auf ein Mini­mum redu­ziert und kon­trol­liert wer­den. So muss z. B. die UPnP-Funk­tion defini­tiv an allen im Unter­neh­men ein­ge­setz­ten Rou­tern deak­ti­viert sein.

Fazit

Nicht nur die grö­ße­ren Unter­neh­men, son­dern auch die klei­nen und mitt­le­ren Unter­neh­men (KMUs) soll­ten ihre Orga­ni­sa­tio­nen auf IoT vor­be­rei­ten. Der Berg an zu bewäl­ti­gen­den Auf­ga­ben ist rie­sig. So stel­len die kurz ange­ris­se­nen Anfor­de­run­gen nur die Spitze des Eis­bergs dar. Es müs­sen nicht mehr nur Ser­ver und Cli­ents gesi­chert wer­den, son­dern auch mobile und IoT-Geräte; die ein wesent­lich brei­te­res Gebiet an Schnitt­s­tel­len und neuer Tech­no­lo­gien mit­brin­gen.

Um die IT-Sicher­heits­ri­si­ken zu mini­mie­ren, muss bei jedem IoT-Pro­jekt die Sicher­heit oberste Prio­ri­tät haben. So dür­fen Risi­ken vie­ler IoT-Geräte nie­mals unter­schätzt wer­den. Natür­lich ver­än­dern sich auch die Auf­ga­ben an die Mit­ar­bei­ter. So muss der Mit­ar­bei­ter der Zukunft ein grund­le­gen­des Ver­ständ­nis für Auto­ma­ti­sie­rung ebenso mit­brin­gen, wie Kennt­nis über ver­netzte Sys­teme und digi­tale Lösun­gen.
 

nach oben