Wearables: Sind die Risiken tragbar?
Untersuchung von Trend Micro und First Base Technologies zeigt Sicherheitsmängel bei den meisten populären Smartwatches
(pressebox) Hallbergmoos, 03.09.2015 - Private mobile Endgeräte sind im Berufsleben längst allgegenwärtig. Während sich der Bring-Your-Own-Device-Trend bei Anwendern andauernder Beliebtheit erfreut, schrillen bei Sicherheits- und Compliance-Beauftragten in Unternehmen jedoch nach wie vor die Alarmglocken. Zumal neue Angriffsflächen entstehen, denn nach den Smartphones erobern nun Wearables den Arbeitsplatz. Wie groß die Risiken bei den tragbaren Computersystemen sind, hat der japanische IT-Sicherheitsanbieter Trend Micro zusammen mit First Base Technologies anhand mehrerer Smartwatches untersucht. Der Bericht ist hier abrufbar.
Während "Motorola 360", "LG G Watch", "Sony Smartwatch", "Samsung Gear Live" und "ASUS Zen Watch" allesamt auf Android-Basis laufen, nutzen sowohl "Apple Watch" als auch "Pebble" ihr eigenes Betriebssystem. Zum Zeitpunkt des Tests waren alle Geräte mit der neuesten Betriebssystem-Version ausgerüstet und wurden mit "iPhone 5", "Motorola X" und "Nexus 5" verbunden. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf; wie die Untersuchung zeigt, offenbarten sich die gleichen Sicherheitsprobleme wie bei Smartphones, obwohl es sich hier um eine relativ neue Technologie handelt.
Fünf vor zwölf bei der Sicherheit
Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr gestohlen wird, bei der der Passwort-Schutz nicht aktiviert ist, sind alle darauf gespeicherten Daten kompromittiert. Und wie bei allen Technologien besteht das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen. Es sollten daher einfache Funktionen vorhanden sein, die dies verhindern.
Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies war bei allen Testkandidaten der Fall, der physische Geräteschutz war insgesamt schwach. Mit Ausnahme der "Apple Watch" verfügte auch keines der Geräte über eine Timeout-Funktion, die Gerätesperre muss dann manuell durch Eingabe des Passworts aufgehoben werden.
Die "Apple Watch" hatte bessere Sicherheitsfunktionen als ihre Android- oder Pebble-Konkurrenten, enthielt aber auch die größte Menge an sensiblen Daten. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit anderen Worten: Jeder Angreifer, der die Smartwatch kompromittiert, hätte Zugriff auf diese Daten. Mit Ausnahme von "Pebble" speicherten alle Geräte ungelesene Meldungen, Fitness- und Kalenderdaten. Die meisten Daten aller getesteten Geräte speicherte die "Apple Watch" - darunter Bilder, Kontakte, Kalender und Passbook-Dateien, die beispielsweise der Aufbewahrung von Bord- oder Kinokarten dienen.
Mit einem Wipe ist alles weg?
Als einziges Testgerät erlaubt die "Apple Watch" eine Fernlöschung ("Wipe"), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren ist das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht. Unter dem Gesichtspunkt der Sicherheit ist auch die Funktion "Vertrauenswürdige Geräte" bei Android problematisch: Sie macht das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte.
"Unser Test hat gezeigt, dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben. Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung - aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, ist einfach viel zu groß, als dass man sie ignorieren kann", kommentiert Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. "Und schon kleine Änderungen können große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen. Sonst ist es in Sachen Sicherheit schnell fünf vor zwölf."
Weiterführende Informationen
Die Untersuchung wurde im August 2015 von First Base Technologies durchgeführt. Getestet wurden die Sicherheitseinstellungen folgender Smatwatches: "Motorola 360", "LG G Watch", "Sony Smartwatch", "Samsung Gear Live", "Asus Zen Watch", "Apple Watch" und "Pebble".
Während "Motorola 360", "LG G Watch", "Sony Smartwatch", "Samsung Gear Live" und "ASUS Zen Watch" allesamt auf Android-Basis laufen, nutzen sowohl "Apple Watch" als auch "Pebble" ihr eigenes Betriebssystem. Zum Zeitpunkt des Tests waren alle Geräte mit der neuesten Betriebssystem-Version ausgerüstet und wurden mit "iPhone 5", "Motorola X" und "Nexus 5" verbunden. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf; wie die Untersuchung zeigt, offenbarten sich die gleichen Sicherheitsprobleme wie bei Smartphones, obwohl es sich hier um eine relativ neue Technologie handelt.
Fünf vor zwölf bei der Sicherheit
Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr gestohlen wird, bei der der Passwort-Schutz nicht aktiviert ist, sind alle darauf gespeicherten Daten kompromittiert. Und wie bei allen Technologien besteht das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen. Es sollten daher einfache Funktionen vorhanden sein, die dies verhindern.
Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies war bei allen Testkandidaten der Fall, der physische Geräteschutz war insgesamt schwach. Mit Ausnahme der "Apple Watch" verfügte auch keines der Geräte über eine Timeout-Funktion, die Gerätesperre muss dann manuell durch Eingabe des Passworts aufgehoben werden.
Die "Apple Watch" hatte bessere Sicherheitsfunktionen als ihre Android- oder Pebble-Konkurrenten, enthielt aber auch die größte Menge an sensiblen Daten. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit anderen Worten: Jeder Angreifer, der die Smartwatch kompromittiert, hätte Zugriff auf diese Daten. Mit Ausnahme von "Pebble" speicherten alle Geräte ungelesene Meldungen, Fitness- und Kalenderdaten. Die meisten Daten aller getesteten Geräte speicherte die "Apple Watch" - darunter Bilder, Kontakte, Kalender und Passbook-Dateien, die beispielsweise der Aufbewahrung von Bord- oder Kinokarten dienen.
Mit einem Wipe ist alles weg?
Als einziges Testgerät erlaubt die "Apple Watch" eine Fernlöschung ("Wipe"), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren ist das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht. Unter dem Gesichtspunkt der Sicherheit ist auch die Funktion "Vertrauenswürdige Geräte" bei Android problematisch: Sie macht das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte.
"Unser Test hat gezeigt, dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben. Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung - aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, ist einfach viel zu groß, als dass man sie ignorieren kann", kommentiert Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. "Und schon kleine Änderungen können große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen. Sonst ist es in Sachen Sicherheit schnell fünf vor zwölf."
Weiterführende Informationen
Die Untersuchung wurde im August 2015 von First Base Technologies durchgeführt. Getestet wurden die Sicherheitseinstellungen folgender Smatwatches: "Motorola 360", "LG G Watch", "Sony Smartwatch", "Samsung Gear Live", "Asus Zen Watch", "Apple Watch" und "Pebble".
