Fitness-Armbänder sind oft unsicher

Magdeburg l Sie können Puls, Blutdruck und andere Körperfunktionen messen, weltweit greifen deshalb immer mehr Sportler zu digitalen Fitness-Armbändern. Dem internationalen Marktanalysten IDC zufolge werden in diesem Jahr rund 100 Millionen Geräte über die Ladentheke gehen. Zum Vergleich: Vor zwei Jahren waren es gerade einmal 26 Millionen.

Das Magdeburger AV-Test Institut hat nun bereits zum zweiten Mal die gängigsten Armbänder in Bezug auf Datensicherheit überprüft. Das Fazit der IT-Experten: Einige Hersteller machen weiterhin herbe Fehler. Vier von sieben getesteten Bändern wiesen gleich eine ganze Reihe von Risiken auf, lediglich die drei Modelle „Pebble Time“, „Microsoft Band 2“ und „Basis Peak“ schnitten halbwegs vernünftig ab.

Bei ihrem Test haben die Sicherheitsexperten zehn Kriterien zugrunde gelegt. Die ersten fünf betrafen das Fitness-Armband an sich. Weitere drei Kriterien bezogen sich auf das App-Programm, mit dem der Sportler auf seinem Smartphone die Daten des Armbandes lesen und analysieren kann. Weitere zwei Kriterien betrafen den Datenaustausch zwischen dem App-Programm und Internet-Servern.

Bei den Fitness-Armbändern ging es zunächst um den Schutz der Verbindung zum Smartphone. Diese wird in der Regel über Bluetooth hergestellt. Die Hersteller müssen die Armbänder so konzipieren, dass sie sich nur mit dem Smartphone des Nutzers und nicht mit weiteren Geräten von Dritten verbinden. Doch gleich vier Armbänder fallen hier bei den Testern durch, Fremde können die Geräte anpeilen, weil sie in der Regel für andere Smartphones sichtbar sind. Sie können auch eine Verbindung zu den Armbändern aufbauen und diese manipulieren (Punkte 1 bis 5 in der Grafik).

Risiken bestehen auch bei den App-Programmen für das Smartphone. Die App für das Xiaomi Fitness-Armband lässt zum Beispiel zu, dass andere Apps, die auf dem Smartphone des Nutzers installiert sind, Daten absaugen können. Weitere Apps sind nach Ansicht der IT-Experten von AV-Test schlecht programmiert und bieten zumindest für Profis Angriffsflächen (Punkte 6 bis 8).

Vereinzelt ist auch die Online-Kommunikation, also die Verbindung zwischen App und Internet-Servern, als problematisch anzusehen. Zwar arbeiten alle gestesteten Apps mit verschlüsselten Verbindungen, doch den Testern gelang es, die Verbindungen mitzulesen und zu manipulieren (Punkte 9, 10).

Der Test zeigt insofern recht deutlich, dass einige Hersteller noch aufrüsten müssen.

Die Datensicherheit auf Fitness-Armbändern und ihren Apps werde in Zukunft immer wichtiger, betont IT-Experte Maik Morgenstern von AV-Test. „Die Anreize, Daten der Körperfunktionen zu nutzen und zu manipulieren, werden steigen.“ Morgenstern verweist hierbei auf die Versicherungsbranche. In den USA bieten Versicherungen bereits Prämien an, wenn die Kunden Fitness-Armbänder nutzen. Eines der Unternehmen zahlt einen Dollar pro Tag, wenn der Armbandnutzer sein tägliches Sportpensum erreicht. In Europa hingegen dürfen die Krankenkassen bislang nur den Kauf von Fitness-Armbändern vergünstigen.

„Früher oder später könnten Armband-Nutzer aber auf die Idee kommen, ihre Daten so zu manipulieren, dass sie mehr Geld von der Versicherung zurückbekommen“, erklärt Morgenstern. Auch die Versicherer könnten eines Tages von den gesammelten Daten auf den Geräten profitieren, denn letztlich hätten sie dadurch Anhaltspunkte, wie gesund oder krank der Kunde ist.

Verbraucherschützer warnen schon länger vor der Datensammelwut großer Versicherungskonzerne. Die Vergünstigungen, die Versicherte erhalten, wenn sie Daten preisgeben, stünden in keinem Verhältnis zu den damit verbundenen Risiken.

Neben den Fitness-Armbändern haben die Magdeburger IT-Experten auch die digitale Uhr von Apple getestet, auch sie kann Fitness-Daten ihrer Nutzer sammeln. Weil sich die Uhr jedoch technisch von den Armbändern unterscheidet, haben die Tester die Prüfung anders angelegt. Ihr Fazit fällt positiv aus.

Das Risiko, dass Fremde eine Verbindung zur Uhr per Bluetooth aufbauen können, ist relativ gering. Somit halten sich auch die Manipulationsmöglichkeiten in Grenzen. Die Uhr hat zudem einen Diebstahlschutz: Wurde die Watch einmal mit einem Account verbunden, lässt sie sich nur mit sehr viel Aufwand wieder lösen. Verkauft etwa ein Dieb die Uhr, könnte sie der neue Nutzer nicht mehr mit seinem eigenen iPhone koppeln. Insgesamt lasse sich der Apple Watch eine hohe Sicherheit bescheinigen, so AV-Test.