Fitness-Armbänder: Fitness-Armbänder: Kleine Helfer, große Schwächen

Magdeburg - Sie waren die Stars der letzten Monate in der Hightech-Welt: kleine, schmale und schicke Fitness-Armbänder, die ihren Trägern mal mit mehr, mal mit weniger Schnickschnack helfen, bestimmte Körperdaten und Aktivitätsaufzeichnungen zu speichern und auszuwerten. Dazu werden die Daten meist direkt zum Smartphone übertragen und von dort bei nächster Gelegenheit in die Cloud.

Aber ist das auch wirklich sicher? Was tun die Hersteller, um zu verhindern, dass jedermann Einblick nehmen oder die Daten vielleicht sogar manipulieren kann? Die Magdeburger Test-Spezialisten von AV-Test haben neun Fitness-Bänder untersucht und teilweise erschreckend große Lücken in der Sicherheitsarchitektur gefunden. Häufig gleichen die kleinen Plastikringe einem Scheunentor am Arm des Trägers - wer immer will, kann seine Blutdruckdaten und Aktivitätsprotokolle auslesen.

Ein Unding, findet Maik Morgenstern von AV-Test. „Sicherheit ist nur eine Randnotiz“ kritisiert er. So nahm das FitBit Charge-Band im Test jegliche Anfrage zur Paarung via Bluetooth an – auch von fremden Smartphones. Die eigenen Daten landen damit umstandslos auf einem fremden Handy. Auch alle anderen Produkte - neben dem Acer Liquid Leap, Garmins Vivosmart, das Huawei TalkBand B1, Jawbones Up24, das Lifeband Touch FB84 von LG, das Polar Loop, Sonys Smartband Talk SWR30 und Withings Pulse Ox - arbeiten mit Hilfe einer Verbindungs-App auf einem beliebigen Android-Smartphone, die Verbindung wird über Bluetooth hergestellt.

Welche Armbänder die Bluetooth-Funktion deaktivieren, wenn sie die Verbindung zum Smartphone verlieren und welche Geräte nicht mal eine Pin-Eingabe fordern, lesen Sie auf der nächsten Seite.

Die Bluetooth-Verbindung lässt sich nur beim Garmin Vivosmart und dem Lifeband Touch manuell deaktivieren. Die Tracker von Sony, Polar und Withings sind nach dem Paaren zumindest nicht mehr sichtbar für andere Bluetooth-Geräte. Das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zum gepaarten Smartphone verliert. Das Jawbone-Band dagegen bleibt über Stunden sichtbar und damit angreifbar, wenn es mal die Verbindung zum Handy verloren hat. Eine Sicherheitslücke, zumal es zum Verbinden von Armband und Smartphone bei einigen Bändern reicht, einmal mit Okay zu bestätigen. Das FitBit Charge versetzte die Tester in Staunen: Jedes Smartphone mit Bluetooth ist bei dem Fitness-Tracker willkommen. Es verbindet sich ohne Pin-Eingabe mit jedem Smartphone und übergibt fatalerweise auch noch seine Daten.

Angesichts der Wichtigkeit, die die künftig haben könnten, wenn Krankenkassen wie in den USA spezielle Fitness-Band-Tarife anbieten, eine Gefahr. „Etablierte Ansätze wie Authentifizierung und Verschlüsselung werden nicht oder schlecht genutzt“, findet Maik Morgenstern. Im Labor sei es den AV-Test-Experten sogar gelungen, Fitness-Tracker mit einer selbstgebauten App zu steuern. Die Daten wurden manipuliert und wieder zurückgeschickt. „Somit war der Tagessport in wenigen Sekunden ohne einen Tropfen Schweiß erfüllt.“ Keines der Bänder konnte das höchste Maß an Sicherheit erreichen, am besten schnitt noch das Sony SmartBand Talk ab.(mz)