1. Juli 2015 - Datensicherheit

Fitness-Tracker als Datenschleudern

Etlichen Herstellern der immer beliebter werdenden Wearables, mit denen sich Daten zu sportlichen Aktivitäten messen und aufzeichnen lassen, mangelt es an einem schlüssigen Sicherheitskonzept für die erfassten Informationen.

Datensicherheit bei Fitness-Trackern schlecht Einige Fitness-Tracker gehen äußerst freizügig mit den ermittelten Daten um (Bild: BsWei / iStock / Thinkstock)

Die Sicherheitsspezialisten von AV-Test haben neun in Deutschland erhältliche Fitness-Tracker näher untersucht, um festzustellen, inwieweit die Hersteller dieser Armbänder für einen ausreichenden Schutz der ermittelten persönlichen Daten der Nutzer sorgen.

Kein Fitness-Tracker ist wirklich sicher

Fazit: Für keines der Produkte wurde das optimale Maß an Datensicherheit realisiert, etablierte Ansätze wie Authentifizierung und Verschlüsselung werden nicht oder schlecht genutzt. Damit sind Datendiebstahl oder auch -manipulationen die digitalen Türen und Tore geöffnet.

Wie die Testergebnisse zeigen, liegt eine generelle Schwachstelle bei den Geräten in der Verbindung mit dem Smartphone, auf dem die auswertende App installiert ist. So funktioniert die Kommunikation zwischen Armband und App bei einigen Geräten ohne Eingabe von absichernden Nutzernamen oder PIN. Bei anderen Armbändern bleibt die Verbindung auch nach der sportlichen Aktivität aktiv, ist so für den Besitzer unbemerkt sichtbar für andere Bluetooth-Geräte und somit auch für eventuelle Angreifer.

Besonders in die Kritik geriet bei den Testern das Fitness-Armband FitBit Charge. Es fordert zur Kommunikation mit einem Smartphone per Bluetooth weder PIN noch eine andere Authentifizierung, sondern verbindet sich einfach und übergibt alle Daten. Sie werden auch nicht verschlüsselt oder anderweitig geschützt.

Insgesamt bescheinigt der Test den Fitness-Trackern Sony Smartband Talk SWR30 und Polar Loop die solidesten Sicherheitskonzepte. Als Produkt mit der höchsten Wahrscheinlichkeit, dass ein Angriff erfolgreich sein könnte, definierten die Tester das Acer Liquid Leap.

Update: Update: Im November 2016 haben 7 Datenschutzaufsichtsbehörden Wearables geprüft. Ergebnis: immer noch gravierende Datenschutz-Mängel bei Fitness-Armbändern und Smart Watches.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln