Studie: Smart Watches können ein Sicherheitsrisiko sein

    IT-Sicherheitsfachleute und Administratoren werden sich künftig nicht nur um die Absicherung von Servern, Arbeitsplatzrechnern und mobilen Endgeräten kümmern müssen, so eine Untersuchung von Trend Micro und der IT-Security-Beratungsfirma First Base Technologies. Auch "tragbare" Geräte (Wearables) wie Smart Watches können für die Unternehmens-IT ein Sicherheitsrisiko darstellen. Eine Kurzfassung des Berichts kann kostenlos von dieser Web-Seite heruntergeladen werden.

    Smart Watches speichern sensible Daten wie Kontakt- und Kalenderinformationen.Untersucht wurden aktuelle Smart Watches wie die Motorola 360, LG G Watch, Sony Smartwatch und Samsung Gear Live. Sie nutzen ebenso wie die Asus Zen Watch als Betriebssystem Android. Dagegen verwenden die Apple Watch (WatchOS) und Pebble eine proprietäre Systemsoftware. Für den Test wurden die Uhren mit Smartphones der Reihe iPhone 5, Motorola X und Nexus 5 gekoppelt.

    Schwachpunkt: Zugriff ohne Authentifizierung

    Ein Sicherheitsmangel bei allen Uhren ist, dass die Authentifizierung des Nutzers mittels Passwort nicht standardmäßig aktiviert ist. Sobald das System dem Nutzer abhandenkommt, etwa durch Diebstahl, hat der neue "Besitzer" Zugriff auf Daten, die darauf gespeichert sind. Mit Ausnahme der Apple Watch verfügt zudem keine der genannten Smart Watches über eine Timeout-Funktion, welche die Uhr nach einer festgelegten Zeit automatisch sperrt.

    Fairerweise muss man jedoch bedenken, dass auch etliche Nutzer von Smartphones und Tablet-Rechnern aus Gründen der Bequemlichkeit solche grundlegenden Sicherheitsmechanismen deaktivieren. Auch der Timeout-Mechanismus der Apple Watch wurde in Beiträgen in Online-Foren aus diesem Grund mehrfach kritisiert.

    Gut: Verschlüsselung von WLAN und Bluetooth

    Dagegen zeigten die WLAN- und Bluetooth-Verbindungen der Uhren keine Schwachpunkte. Bei allen Systemen kommt eine "starke" Verschlüsselung zum Einsatz, bei WLAN-Connections auf Basis von TLS 1.2. Apple hat zudem mit IDS (Identity Services) eine weitere, allerdings proprietäre Verschlüsselungs­technik integriert.

    Ein potenzielles Risiko stellen dagegen die Daten dar, die auf einer Smart Watch gespeichert sind. Vor allem Apple Watch tut sich in dieser Hinsicht hervor. Auf ihr lagern beispielsweise ungelesene Nachrichten, Bilder, Kontakt- und Kalenderdaten.

    Trend Micro - Der Zugangsschutz von Smart WatchesAndere Smart Watches, etwa die Modelle mit Android, beschränken sich auf Fitnessdaten, ungelesene Nachrichten, Einträge von Google Keep (Service für die Verwaltung von Notizen) und Kalenderdaten. Aber auch diese Informationen können für Angreifer von Interesse sein, etwa als Ansatzpunkt für gezielte Angriffe auf einzelne Mitarbeiter eines Unternehmens (Spear Phishing, Social-Engineering-Attacken).

    Fernlöschen nur unzureichend implementiert

    Als weiteres potenzielles Sicherheitsrisiko machten die Experten von Trend Micro und First Base Technologie die Fernlöschfunktion aus. So hat nur Apple ein automatisches Löschen der Daten auf der Apple Watch implementiert, wenn eine bestimmte Zahl fehlgeschlagener Anmeldeversuche überschritten wurde.

    Bei den anderen Uhren ist das nicht der Fall. Das macht sie nach Angaben der Sicherheitsexperten für Brute-Force-Angriffe anfällig. Ebenfalls kritisch sehen die Fachleute die Komfortfunktion "Vertrauenswürdige Geräte" von Android. Sie ermöglicht autorisierten anderen Android-Systemen zu Zugang zu einer Android-Smart-Watch, und das ohne Eingabe eines Kennworts oder einer PIN. Wird einem User jedoch ein System gestohlen, erhält der Dieb dadurch auch Zugang zum anderen "vertrauenswürdigen" System des Bestohlenen und den darauf befindlichen Daten.

    Bereits grundlegende Sicherheitsvorkehrungen helfen

    Noch gehören Smart Watches nicht nur Grundausstattung von privaten und geschäftlichen Usern. Aber das könnte sich bald ändern. Daher, so Trend Micro, sollten Nutzer solcher mobilen Endgeräte wenigstens grundlegende Sicherheitsmaßnahmen ergreifen.

    "Schon kleine Änderungen können große Verbesserungen bewirken", so Udo Schneider, IT-Security-Fachmann bei Trend Micro. "Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger falscher Eingabe des Passworts bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen."

    Keine Kommentare