Sieben Fitness-Armbänder im Datenschutz-Check

Das unabhängige Testlabor AV-Test hat sieben Fitness-Armbänder hinsichtlich Sicherheit beim Datenschutz unter die Lupe genommen. Die Experten hatten dabei zwei Fragestellungen vor Augen:

1. Sind die privaten Daten im Tracker und in der App gegen Ausspähen oder Abgreifen geschützt?

2. Sind die im Tracker oder in der App erfassten Daten auch ausreichend gegen Manipulationen Dritter geschützt?

Beide Sicherheitsmerkmale sind für Anwender von entscheidender Bedeutung: Erspähte Gesundheitsdaten bergen ein riesiges Datenschutzrisiko, weil diese ein sehr detailliertes Persönlichkeitsbild eines jeden Nutzers zeichnen. Bei manipulierten Daten hätte man insbesondere vor Krankenkassen das Nachsehen: In den USA gibt es schon Versicherer, die Prämien zurückerstatten, wenn Versicherte mit ihren Fitness-Daten nachweisen, dass sie sich zur Genüge bewegen.

Dabei konzentrierten sich die Tester auf drei Hauptaspekte: jeweils auf den eigentlichen Tracker, auf die zugrunde liegende Applikation und auch auf die Datenkommunikation. Untersucht wurden die Fitness-Armbänder Basis Peak, Microsoft Band 2, Mobile Action Q-Band, Pebble Time, Runtastic Moment Elite, Striiv Fusion und das Xiaomi MiBand.

Klarer Verlierer des Tests sei das Band von Striiv. Bei der Striiv Fusion, die schon im letzten Jahr schlecht abgeschnitten hatte, wurden «gravierende Schwachstellen» und «Manipulationsmöglichkeiten» ausgemacht. Bei dem Produkt konnten auch über die App Werte für Körperabmessungen geändert werden.

Das beste Zeugnis ausstellen konnte AV-Test den Modellen Pebble Time, Basis Peak und dem Microsoft Band 2, weil jene Armbänder auch bei der Bluetooth-Pairing-Anfrage keine grossen Schwächen aufweisen. Das Band 2 nutzt ein exklusives Bluetooth-Pairing-Protokoll, das nur die Paarung mit einem bekannten Telefon zulässt und mittels BLE-Privacy-Funktion bzw. ständiger Neugenerierung einer Mac-Adresse seine Funkspur verschleiert. Beim Xiaomi MiBand sieht man die Bluetooth-Spur nicht mehr, sobald eine Paring-Anfrage stattgefunden hat. Die Armbänder von Striiv, Runtastic und Mobile Action sollen bei der Verbindung zu fremden Geräten teilweise Schwachstellen aufzeigen.

Beim App-Zugriffsschutz schneiden nur die Produkte von Microsoft, Pebble und Xiaomi gut ab. Bei der Online-Kommunikation stellte sich beim Xiaomi MiBand jedoch heraus, dass App-Aktivitäten in einer völlig offenen Log-Datei abgelegt wurden. Jedoch waren alle abgefangenen Verbindungen verschlüsselt.

Bei der Apple Watch konnten die Sicherheitsforscher etwa bei der unverschlüsselten Datenkommunikation Angriffsvektoren ausmachen, doch insgesamt schätzen die Experten den Aufwand, an Daten auf der Apple-Uhr heranzukommen als sehr gross ein.

Die umfangreiche Studie von AV-Test können Sie hier nachlesen.