Die Apple Watch Series 3 ist das einzige Gerät in unserem Fitness-Wearable Test, das nur mit Apple iOS-Geräten kompatibel ist. Es genießt komplette Betriebssystemintegration, weshalb der Funktionsumfang größer als bei den anderen Geräten im Test ist. Ob die Sicherheit ebenso gewährleistet ist, haben wir in unserem Test herausgefunden.

Lokale Kommunikation

Die Apple Watch Series 3 kommuniziert via Bluetooth mit dem iPhone des Besitzers. Sollte dieses nicht via Bluetooth erreichbar sein, wird WLAN zur Synchronisation zu Apple-Servern und dem iPhone benutzt. Die Bluetooth-Kommunikation ist jederzeit unsichtbar vor anderen Geräten gewesen. Zur genutzten Übertragungsverschlüsselung sind keine Details bekannt, da iOS-Apps verschlüsselt auf dem iPhone abgelegt sind, daher keine Analyse der Apps möglich war. Weiterhin konnte keine lokale Kommunikation mitgeschnitten werden.

Online-Kommunikation

Die Kommunikation zwischen den iPhone Apps und der Cloud bzw. der Apple Watch und der Cloud sind stets TLS1.2 verschlüsselt und somit gegen einfache Man-in-the-Middle Angriffe abgesichert. Unverschlüsselte Kommunikation konnte nicht festgestellt werden.

TLS1.2 verschlüsselte Kommunikation des iPhones

Weiterhin war die Kommunikation des iPhones durch Certificate Pinning selbst nach Installation des CA-Zertifikats von mitmproxy gegen den versuchten Man-in-the-Middle Angriff geschützt. Auf der Apple Watch gibt es nach unserem Kenntnisstand keine Möglichkeit, Zertifikate zu installieren. Diese ist daher auch sehr gut geschützt.

TLS1.2 verschlüsselte Kommunikation der Watch

App

Wie schon oben benannt, sind die Möglichkeiten, Apple iOS-Apps zu analysieren, durch die verschlüsselte Ablage auf dem Gerät sehr eingeschränkt. Aus diesem Grund wurde nur eine dynamische Analyse vorgenommen, in der keine Sicherheitslücken offenbart wurden. Durch die implementierte Zertifikatsvalidierung (Certificate Pinning), wird wirksam vor Man-in-the-Middle Angriffen geschützt.

Fehlgeschlagener Man-in-the-Middle Angriff

Datenschutz

Die Datenschutzerklärung von Apple ist sehr übersichtlich und leicht verständlich gestaltet. Die Datenschutzgrundverordnung (DSGVO) wird weltweit angewandt, obwohl sie nur im europäischen Raum Pflicht wäre. Beispielsweise ist es nun weltweit möglich, die über eine Person (ein Konto) gespeicherten Daten abzurufen. Fitnessdaten sind sowohl bei lokaler Speicherung, als auch beim Übertragungsweg und der Speicherung auf den iCloud-Servern verschlüsselt. Im Standard werden Analyse-Informationen an Apple gesendet, die zur Verbesserung der Geräte, Dienste und Apps dienen. Dies beinhaltet beispielsweise Bewegungsdaten, den ungefähren Standortverlauf oder die Nutzungsdauer, bietet laut Apple aber keinerlei Möglichkeit der Identifikation des Einzelnen. Dies kann in den iPhone-Datenschutz-Einstellungen deaktiviert werden.

Drittparteien erhalten nur Zugriff auf die Health-Daten, wenn sie vom Benutzer manuell hierfür freigegeben werden. (z.B. weitere Apps)

Fazit

Die Apple Watch Series 3 bietet sowohl in Bezug auf Sicherheit als auch Datenschutz kaum Gründe zur Kritik. Sie ist gegen Angriffe sehr gut geschützt, weiterhin setzt der Hersteller die europäische Datenschutzgrundverordnung weltweit um. Sie wird daher mit 3 von 3 Sternen bewertet.