Wearables: Sind die Risiken tragbar?

Eine Untersuchung von Trend Micro und First Base Technologies zeigt Sicherheitsmängel bei den meisten populären Smartwatches. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf. [...]

Private mobile Endgeräte sind im Berufsleben längst allgegenwärtig. Während sich der Bring-Your-Own-Device-Trend bei Anwendern andauernder Beliebtheit erfreut, schrillen bei Sicherheits- und Compliance-Beauftragten in Unternehmen jedoch nach wie vor die Alarmglocken. Zumal neue Angriffsflächen entstehen, denn nach den Smartphones erobern nun Wearables den Arbeitsplatz. Wie groß die Risiken bei den tragbaren Computersystemen sind, hat der japanische IT-Sicherheitsanbieter Trend Micro zusammen mit First Base Technologies anhand mehrerer Smartwatches untersucht.

Während Motorola 360, LG G Watch, Sony Smartwatch, Samsung Gear Live und ASUS Zen Watch allesamt auf Android-Basis laufen, nutzen sowohl Apple Watch als auch Pebble ihr eigenes Betriebssystem. Zum Zeitpunkt des Tests waren alle Geräte mit der neuesten Betriebssystem-Version ausgerüstet und wurden mit iPhone 5, Motorola X und Nexus 5 verbunden. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf; wie die Untersuchung zeigt, offenbarten sich die gleichen Sicherheitsprobleme wie bei Smartphones, obwohl es sich hier um eine relativ neue Technologie handelt.

Fünf vor zwölf bei der Sicherheit
Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr gestohlen wird, bei der der Passwort-Schutz nicht aktiviert ist, sind alle darauf gespeicherten Daten kompromittiert. Und wie bei allen Technologien besteht das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen. Es sollten daher einfache Funktionen vorhanden sein, die dies verhindern.

Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies war bei allen Testkandidaten der Fall, der physische Geräteschutz war insgesamt schwach. Mit Ausnahme der „Apple Watch“ verfügte auch keines der Geräte über eine Timeout-Funktion, die Gerätesperre muss dann manuell durch Eingabe des Passworts aufgehoben werden.

Die Apple Watch hatte bessere Sicherheitsfunktionen als ihre Android- oder Pebble-Konkurrenten, enthielt aber auch die größte Menge an sensiblen Daten. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit anderen Worten: Jeder Angreifer, der die Smartwatch kompromittiert, hätte Zugriff auf diese Daten. Mit Ausnahme von Pebble speicherten alle Geräte ungelesene Meldungen, Fitness- und Kalenderdaten. Die meisten Daten aller getesteten Geräte speicherte die Apple Watch – darunter Bilder, Kontakte, Kalender und Passbook-Dateien, die beispielsweise der Aufbewahrung von Bord- oder Kinokarten dienen.

Mit einem Wipe ist alles weg?
Als einziges Testgerät erlaubt die Apple Watch eine Fernlöschung („Wipe“), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren ist das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht. Unter dem Gesichtspunkt der Sicherheit ist auch die Funktion „Vertrauenswürdige Geräte“ bei Android problematisch: Sie macht das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte.

„Unser Test hat gezeigt, dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben. Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung – aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, ist einfach viel zu groß, als dass man sie ignorieren kann“, kommentiert Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. „Und schon kleine Änderungen können große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen. Sonst ist es in Sachen Sicherheit schnell fünf vor zwölf.“


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*