Smartwatches im Vergleich Wearables: Sind die Risiken tragbar?

Smartwatches können zum Sicherheitsrisiko werden – insbesondere wenn die Uhren den Arbeitsplatz erobern. Welche Sicherheitsmängel die einzelnen Modelle aufweisen, haben der japanische IT-Sicherheitsanbieter Trend Micro und First Base Technologies untersucht.

Die Smartwatch-Modelle »Motorola 360«, »LG G Watch«, »Sony Smartwatch«, »Samsung Gear Live« und »Asus Zen Watch« laufen allesamt auf Android-Basis. Die »Apple Watch« und »Pebble« nutzen bekanntlich ihr eigenes Betriebssystem.

Zum Zeitpunkt des Tests waren alle Geräte mit der neuesten Betriebssystem-Version ausgerüstet und wurden mit den entsprechenden Smartphones »iPhone 5«, »Motorola X« und »Nexus 5« verbunden. In einem Stresstest haben Trend Micro und First Base den physischen Schutz, die Datenverbindungen und gespeicherte Informationen überprüft. Das Ergebnis: Alle Testgeräte weisen Mängel auf. Wie die Studie von Trend Micro belegt, offenbaren sich die gleichen Sicherheitsprobleme wie bei Smartphones, obwohl es sich bei den Smartwatches um eine relativ neue Technologie handelt.

Schwacher physischer Geräteschutz

Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr entwendet wird, bei der der Passwort-Schutz nicht aktiviert ist, sind alle darauf gespeicherten Daten kompromittiert. Und wie bei allen Technologien besteht das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen. Es sollten daher einfache Funktionen vorhanden sein, die dies verhindern.

Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies war bei allen Testmodellen der Fall, der physische Geräteschutz war insgesamt schwach. Mit Ausnahme der »Apple Watch« verfügte auch keines der Geräte über eine Timeout-Funktion, was zur Folge hat, dass die Gerätesperre dann manuell durch Eingabe des Passworts aufgehoben werden muss.

Die »Apple Watch« hatte bessere Sicherheitsfunktionen als ihre Android-Konkurrenten sowie »Pebble«, enthielt allerdings auch die größte Menge an sensiblen Daten. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit Ausnahme von »Pebble« speicherten alle Geräte ungelesene Meldungen, Fitness- und Kalenderdaten. Die meisten Daten aller getesteten Geräte speicherte die »Apple Watch« – darunter Bilder, Kontakte, Kalender und Passbook-Dateien.

Ist eine Fernlöschung möglich?

Als einziges Testgerät erlaubt die »Apple Watch« eine Fernlöschung (Wipe), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren ist das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht.

Unter dem Gesichtspunkt der Sicherheit ist auch die Funktion »Vertrauenswürdige Geräte« bei Android problematisch: Sie macht das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte.

»Unser Test hat gezeigt, dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben«, kommentiert der Sicherheitsexperte Udo Schneider von Trend Micro die Studie. » Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung – aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, ist einfach viel zu groß, als dass man sie ignorieren kann«. Schon kleine Änderungen könnten nach Angaben von Trend Micro große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren.