Smartwatch: Leichtes Spiel für Hacker

Sie sind schick und im Trend, doch geht eine Smartwatch verloren, fangen die Probleme an. Die meisten Computeruhren haben einen mangelhaften Zugriffsschutz – auch die Apple Watch.

Das IT-Sicherheitsunternehmen Trend Micro hat die gängigsten Smartwatches unter die Lupe genommen und gravierende Mängel bei der Gerätesicherheit festgestellt. Geraten die Computeruhren in falsche Hände, so müssen Nutzer damit rechnen, dass Dritten die auf den Geräten gespeicherten Daten leicht knacken können. In einem Stresstest wurden die Android-Modelle Motorola 360, LG G Watch, Sony Smartwatch, Samsung Gear Live und Asus Zen Watch sowie Pebble und die Apple Watch auf physischen Schutz, Datenverbindungen und gespeicherte Informationen überprüft. Dabei wiesen alle Testgeräte laut Trend Micro Mängel auf.

Zwar haben Google und Apple ihre Bluetooth- und Wi-Fi-Datenverbindungen um komplexe Verschlüsselungsschichten ergänzt. Sobald aber eine Uhr gestohlen wird, bei der der Passwort-Schutz nicht aktiviert ist, seien alle darauf gespeicherten Daten kompromittiert, warnt Trend Micro. Bei allen Technologien bestehe das größte Risiko darin, dass Kriminelle physischen Zugriff auf die Geräte bekommen.

Wenn beispielsweise die Authentifizierung über Passwörter nicht standardmäßig aktiviert ist, hätten Diebe freien Zugang zu den auf dem Gerät befindlichen Informationen. Dies sei bei allen Testkandidaten der Fall gewesen. Mit Ausnahme der Apple Watch verfügte keines der Geräte über eine Timeout-Funktion, die Gerätesperre muss dann manuell durch Eingabe des Passworts aufgehoben werden.

Die Apple Watch wies Trend Micro zufolge bessere Sicherheitsfunktionen als ihre Android- oder Pebble-Konkurrenten auf, enthielt aber auch die größte Menge an sensiblen Daten, so beispielsweise Bilder, Kontakte, Kalender und sogar Passbook-Dateien, die beispielsweise der Aufbewahrung von Bord- oder Kinokarten dienen. Alle getesteten Geräte hatten lokale Kopien der Daten gespeichert, auf die über die Geräteschnittstelle zugegriffen werden konnte, wenn sie sich außerhalb der Reichweite des gekoppelten Smartphones befanden. Mit anderen Worten: Jeder Angreifer, der die Smartwatch knackt, hätte Zugriff auf diese Daten.

Als einziges Testgerät erlaubt die Apple Watch eine Fernlöschung (Wipe), wenn eine bestimmte Anzahl fehlgeschlagener Anmeldeversuche überschritten ist. Bei den anderen Uhren sei das nicht der Fall, was sie für Brute-Force-Angriffe anfällig macht.

Unter dem Gesichtspunkt der Sicherheit ist Trend Micro zufolge auch die Funktion "Vertrauenswürdige Geräte" bei Android problematisch: Sie mache das Smartphone-Kennwort in der Nähe eines verifizierten Geräts überflüssig, wodurch jeder, der sowohl ein Smartphone als auch eine Smartwatch besitzt, potenziell uneingeschränkten Zugang zu beiden Geräten haben könnte, warnen die Tester.

Der Test habe gezeigt, "dass sich Smartwatch-Hersteller eindeutig für die Bequemlichkeit auf Kosten der Sicherheit entschieden haben", sagt Trend Micro. Auf den ersten Blick sorgen nicht vorhandene Authentifizierungsfunktionen zwar für eine einfachere Bedienung – aber die Gefahr, dass persönliche oder gar unternehmenseigene Daten kompromittiert werden, sei einfach viel zu groß.

Dabei könnten laut Trend Micro schon kleine Änderungen große Verbesserungen bewirken: Wenn beispielsweise eine so einfache Sicherheitsvorkehrung wie die Gerätesperrung nach mehrmaliger Passwort-Falscheingabe bereits voreingestellt wäre, ließe sich die Gefahr von Datendiebstählen drastisch reduzieren. Das sollten die Hersteller schnellstmöglich umsetzen, sonst sei es in Sachen Sicherheit schnell "fünf vor zwölf", so die Sicherheitsexperten.

Bildquelle: Samsung

Die mit einem * markierten Felder sind Pflichtfelder.