Wie riskant sind SmartWatches?

Immer mehr Mitarbeiter tragen Smartwatches am Handgelenk. Was bedeutet das für die Sicherheit? Soll man die Geräte im Unternehmen verbieten? Oder kann man sie in einer professionellen IT-Umgebung sinnvoll nutzen? Klar ist jedenfalls: Smartwatches sind ein Risiko, das weit über das Handgelenk ihres Trägers hinaus reicht.

HP Fortify hat im Juli 2015 zehn der beliebtesten Smartwatches auf ihre Sicherheit überprüft. Alle getesteten Smartwatches waren mit einem Mobilgerät unter Android oder iOS verbunden. Das Ergebnis der Sicherheitsprüfung ist niederschmetternd: Alle getesteten Geräte hatten schwerwiegende Sicherheitsmängel. Eine Armbanduhr mit Netzwerk- und Kommunikationsfunkionen, Kamera, Mikrofon und Sensoren – das ist ein gefundenes Fressen für Angreifer. HP Fortify fand Lücken in der Authentifizierung und unsichere Verbindungen. Die Forscher fanden unverschlüsselte Update-Mechanismen und Datenschutzprobleme. Auf einer der Uhren lief sogar ein angreifbarer DNS-Dienst!

Daten, die die Uhren sammeln, werden oft an mehrere Server geschickt, die zudem oft Dritten gehören. Passwörter sind oft unzureichend geschützt. Die Kommunikation kann abgehört werden. Nur die Hälfte der Uhren hatte überhaupt einen Sperrbildschirm mit PIN oder Entsperrmuster. Zwei Uhren konnten per Bluetooth mit dem Smartphone eines Angreifers gekoppelt werden und übertrugen brav alle Daten des angegriffenen Benutzers an den Account es Angreifers. Unternehmen, die Smartwatches nutzen möchten, sollten prüfen, ob TLS auf der Uhr richtig implementiert und konfiguriert ist. Starke Passwörter sind Pflicht. HP rät davon ab, Smartwatches als Schlüssel oder zum Bezahlen zu benutzen.

Ansonsten gilt: In sicherheitskritischen Bereichen haben Smartwatches nichts zu suchen. Aber vielleicht hat sich das ganze Thema ohnehin bald erledigt, denn die Verkaufszahlen von Smartwatches gehen schon massiv zurück.