Wearables: Sind die Risiken tragbar? Wearables: Sind die Risiken tragbar? - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


03.09.2015 pi/Wolfgang Franz

Wearables: Sind die Risiken tragbar?

Eine Untersuchung von Trend Micro und First Base Technologies zeigt Sicherheitsmängel bei den meisten populären Smartwatches. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf.

Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro.

Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro.

© Trend Micro

Private mobile Endgeräte sind im Berufsleben längst allgegenwärtig. Während sich der Bring-Your-Own-Device-Trend bei Anwendern andauernder Beliebtheit erfreut, schrillen bei Sicherheits- und Compliance-Beauftragten in Unternehmen jedoch nach wie vor die Alarmglocken. Zumal neue Angriffsflächen entstehen, denn nach den Smartphones erobern nun Wearables den Arbeitsplatz. Wie groß die Risiken bei den tragbaren Computersystemen sind, hat der japanische IT-Sicherheitsanbieter Trend Micro zusammen mit First Base Technologies anhand mehrerer Smartwatches untersucht.

Während Motorola 360, LG G Watch, Sony Smartwatch, Samsung Gear Live und ASUS Zen Watch allesamt auf Android-Basis laufen, nutzen sowohl Apple Watch als auch Pebble ihr eigenes Betriebssystem. Zum Zeitpunkt des Tests waren alle Geräte mit der neuesten Betriebssystem-Version ausgerüstet und wurden mit iPhone 5, Motorola X und Nexus 5 verbunden. In einem Stresstest wurden physischer Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte Mängel auf; wie die Untersuchung zeigt, offenbarten sich die gleichen Sicherheitsprobleme wie bei Smartphones, obwohl es sich hier um eine relativ neue Technologie handelt.

Fünf vor zwölf bei der Sicherheit
Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr gestohlen wird, bei der der Passwort-Schutz nicht aktiviert ist, sind alle darauf gespeicherten Daten kompromittiert. Und wie bei allen Technologien besteht das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen. Es sollten daher einfache Funktionen vorhanden sein, die dies verhindern.

Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, haben Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies war bei allen Testkandidaten der Fall, der physische Geräteschutz war insgesamt schwach. Mit Ausnahme der „Apple Watch“ verfügte auch keines der Geräte über eine Timeout-Funktion, die Gerätesperre muss dann manuell durch Eingabe des Passworts aufgehoben werden.

Die Apple Watch hatte bessere Sicherheitsfunktionen als ihre Android- oder Pebble-Konkurrenten, enthielt aber auch die größte Menge an sensiblen Daten. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit anderen Worten: Jeder Angreifer, der die Smartwatch kompromittiert, hätte Zugriff auf diese Daten. Mit Ausnahme von Pebble speicherten alle Geräte ungelesene Meldungen, Fitness- und Kalenderdaten. Die meisten Daten aller getesteten Geräte speicherte die Apple Watch – darunter Bilder, Kontakte, Kalender und Passbook-Dateien, die beispielsweise der Aufbewahrung von Bord- oder Kinokarten dienen.

Mit einem Wipe ist alles weg?
Als einziges Testgerät erlaubt die Apple Watch eine Fernlöschung ("Wipe"), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren ist das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht. Unter dem Gesichtspunkt der Sicherheit ist auch die Funktion „Vertrauenswürdige Geräte“ bei Android problematisch: Sie macht das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte.

"Unser Test hat gezeigt, dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben. Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung – aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, ist einfach viel zu groß, als dass man sie ignorieren kann", kommentiert Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro. "Und schon kleine Änderungen können große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen. Sonst ist es in Sachen Sicherheit schnell fünf vor zwölf."


Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr
  • ELO Digital Office AT GmbH

    ELO Digital Office AT GmbH Mobile Lösungen und Applikationen, Dokumentenmanagement und ECM, Übernahme von Softwareprojekten, Systemintegration und Systemmanagement, Programmierung, Individual-Softwareentwicklung, IKT-Consulting,... mehr
  • Bacher Systems EDV GmbH

    Bacher Systems EDV GmbH mehr
  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr

Hosted by:    Security Monitoring by: