Warum Augmented Reality erweiterte Risiken für Netzwerke in sich birgt

In diesem Artikel erläutert Scott Register, VP Product Management von Ixia, potenzielle Risiken, die Augmented Reality für Unternehmen darstellt, und Lösungen, die diese ergreifen können, um sie zu minimieren

Die Idee von Augmented Reality (AR, im Deutschen auch als Erweiterte Realität bezeichnet) ist nicht neu, doch die explosionsartige Popularität von Pokémon GO hat gezeigt, dass durch die Kombination von technologischem Fortschritt und kulturellem Wandel die Zeit dieser Technologie offenbar gekommen ist. Mobile Geräte verfügen nun über die Rechenleistung und die Konnektivität, um AR vollständig zu unterstützen, und wir Nutzer haben ortbare, always-on Geräte als Teil des täglichen Lebens akzeptiert, trotz ihrer potenziellen Datenschutzrisiken.

Doch hinter der Technologie verbergen sich auch sehr reale Sicherheitsrisiken für Unternehmen, die sich nicht auf die Auswirkungen vorbereiten, die AR auf ihre Netzwerke und deren Sicherheit haben wird, wenn immer mehr Apps mit AR eingeführt werden. Stellen Sie sich zum Beispiel einen Mitarbeiter vor, der sein Mobilgerät auf einen Drucker im Büro richtet, um eine Anleitung zu erhalten, wie man den Toner austauscht oder einen Papierstau beseitigt; oder einen Wartungsingenieur, der ein Tablet verwendet, um Informationen über die Reparatur von kritischen Geräten an einer Elektrizitätsstation zu erhalten. Das sind zwei realistische Anwendungsmöglichkeiten von AR, und es fällt nicht schwer, das mögliche kommerzielle Potenzial zu sehen.

Es ist allerdings auch leicht, die darin liegenden Risiken zu erkennen. Der Traffic, der die ganze Magie ermöglicht, geht durch Ihr Netzwerk und enthüllt Details wie IP-Adressen, Standorte, Gerätetypen, Benutzerberechtigungen und vieles mehr. Was alles könnte ein Hacker über den Benutzer und das Netzwerk herausfinden, wenn er diesen Verkehr abfängt – wie es bereits bei Pokémon GO möglich war?

Daher ist es nicht verwunderlich, dass das US-Pentagon und die Israelischen Verteidigungsstreitkräfte ihren Angestellten verboten haben, Pokémon GO wegen der möglichen Auswirkungen der App auf ihre Sicherheitsrichtlinien zu spielen. Was sind also realistische Risiken von AR für Unternehmen und wie kann man sie beseitigen?

Um welche Daten geht es hier?

Um nachvollziehen zu können, welche Informationen betroffen sein könnten, muss die Art des Netzwerkverkehrs, der von einer AR App generiert wird, näher betrachtet werden. Die Forscher von Ixias Applikations- und Threat Intelligence Team haben die Kommunikation zwischen der Pokémon GO App und den Servern von Niantic (dem Entwickler der App) analysiert und konnten einige interessante Befunde bezüglich der Sicherheit aufweisen.

Die Pokémon GO App – wie viele andere AR Apps auch – nutzt die Standortdaten des Geräts, um Benutzern Informationen entsprechend ihrer Umgebung zu liefern. Ein Hacker kann solche Standortdaten mit persönlichen Informationen kombinieren (man sollte nicht vergessen, dass die ursprüngliche Nutzungsvereinbarung von Pokémon GO Niantic erlaubt hatte, auf Benutzerinformationen zuzugreifen wie Google-Profile, Verlaufshistorien und getätigte Suchanfragen), um Nutzerverhalten detailliert und zielgerichtet nachvollziehen zu können. Solche Daten können für Kriminelle sehr wertvoll sein.

Die Kommunikation zwischen der Pokémon GO App und ihren Servern erfolgt über HTTPS, doch die frühen Versionen der App haben das Pinning von Zertifikaten nicht unterstützt. Damit war es sehr einfach, Man-in-the-Middle-Angriffe auszuführen, um Daten abzufangen.

Es ist also nicht schwer zu erkennen, welche Arten von benutzerspezifischen Daten von AR-Anwendungen als Teil ihrer normalen Funktionen offenbart werden – und welche Möglichkeiten Hackern geboten werden, um Daten abzufangen oder zu manipulieren, wenn die Sicherheit der Anwendung Schwachstellen aufweist. Der entscheidende Punkt ist, dass es in der Natur von AR liegt, auf die jeweilige Benutzersituation personalisiert zu sein. Es handelt sich um eine erweiterte Version der Benutzerrealität. Und das bedeutet, dass AR auf einige personenbezogene Daten zugreifen muss – egal ob es sich dabei um den Standort, die Shopping-Historie, Finanzinformationen oder etwas ganz anderes handelt. Sind das Informationen, die Sie aus dem Netzwerk Ihres Unternehmens hinaus übertragen möchten?

Malware ist von Bedeutung

Dann gibt es noch die Frage zur Malware. Nur vier Tage nach der Veröffentlichung von Pokémon GO hatten Cyberkriminelle eine gefälschte Version der App mit komplett eingebetteter Malware erstellt. Für Kriminelle ist das ein handliches Vorbild, das sich leicht auf andere neue AR Anwendungen übertragen lässt. Die Möglichkeiten für Malware in AR Apps sind fast endlos: Keylogger, die Anmeldeinformationen der Benutzer erfassen; ein mobiler Remote-Access-Trojaner (mRAT), der ein Gerät infizieren und unbemerkt Daten und Kommunikation abfangen könnte; oder ein Agent, der weitere Malware über das Gerät in das Netzwerk einspeist.

Wer hat die Kontrolle?

Es ist daher von entscheidender Bedeutung, dass Unternehmen überlegen, wie sie die Kontrolle über AR-Anwendungen in ihren Netzwerken am besten verwalten und durchsetzen können – um Kriminellen immer einen Schritt voraus zu sein und im Fall der Fälle Schutzmaßnahmen ergreifen zu können.

Zu berücksichtigen gäbe es drei wichtige Faktoren: einerseits eine mobile Device-Management (MDM) Lösung, da AR-Anwendungen wie Pokémon GO sich auf den Smartphone-Markt fokussieren, aber auch Mitarbeiterschulungen, um ein Bewusstsein zu schaffen, da menschliche Fehler und Unachtsamkeit oft eine Schwachstelle sind, die Cyberkriminelle ausnutzen.

Der dritte Schlüsselfaktor für eine AR-Risikominderungsstrategie sollte die Visibility des Anwendungs-Traffics in Ihrem Netzwerk sein. Um sensible Daten zu schützen oder das Eindringen bösartigen Codes zu verhindern, müssen Sie sicherstellen, dass die ganze Zeit die umfassende Echtzeit-Visibility Ihres Netzwerkverkehrs garantiert ist. Es gibt eine Vielzahl von Tools und Lösungen, die angeblich eine solche Netzwerk Visibility bieten; doch was Sie wirklich brauchen, ist die Möglichkeit zur intelligenten Filterung und Verteilung, die auch Layer-7 Application Flows und verschlüsselten Verkehr umfasst, und zwar bei maximaler Datenübertragungsrate ohne Paketverluste. Ohne diese End-to-End-Visibility könnte Augmented Reality leicht ein erhöhtes Risiko für Ihr Unternehmen darstellen.