Das AV-Test-Institut ist bekannt für viele sicherheitsrelevante Tests etwa von Antiviren-Software. In diesem Fall haben sich die Magdeburger in ihren Laboren der nach ihrer Aussage neuesten und meistverkauften Fitness-Anwendungen angenommen, die mit dem Android-Betriebssystem unterwegs sind. Weil die Apple Watch einige Besonderheiten aufweist, wurde sie separat begutachtet. Hintergrund des Tests ist laut AV-Test, dass solche Fitness-Tracker sehr beliebt sind. Laut IDC rechnet man in diesem Jahr mit Steinsteigerungsraten gegenüber den Vorjahren mit über 100 Millionen verkauften Wearables. Besonders Krankenkassen fördern deren Kauf inzwischen und belohnen den Einsatz, weil sie darauf setzen, dass körperlich fitte Menschen gesünder sind und sie am Ende weniger Kosten verursachen.
Doch wie sieht es mit der Sicherheit der Funk-Armbänder und der Apple Watch aus? Das Testinstitut wollte wissen, ob aus Sicht des Users die erfassten Daten im Tracker oder in der App sicher sind gegen Datenklau und Ausspähen. Und – wichtig für die Krankenkassen oder beteiligte Firmen – die Daten der Armbänder und Apps auch gegen Manipulation etwa der Nutzer gefeit sind. Eine ausführliche Darstellung der Untersuchungsergebnisse findet sich in einer PDF-Datei des Instituts . Eine Zusammenfassung findet sich auf dieser Website .
Unter den sieben getesteten Android-Produkten zeigte sich, dass lediglich die Armbänder von Microsoft und Pebble eine gute Sicherheit zum Schutz bei der Sichtbarkeit während der Bluetooth-Verbindung aufweisen. Das Band 2 von Microsoft verfügt zusätzlich über eine sogenannte BLE-Privacy , die mindestens Android 5.0 voraussetzt und für eine neue Bluetooth-Verbindung immer wieder eine neue MAC-Adresse generiert, welche die echte vor Verfolgung schützt. Auch bei der Frage der Authentifizierung, die den Tracker vor der Verbindung durch fremde Smartphones schützen soll, glänzt wiederum Microsofts Band 2 gemeinsam mit Basis Peak und Pebble Time.
Was die Frage des Manipulationsschutzes betrifft, der besonders für Krankenkassen oder Gerichte interessant ist, wenn es um die Echtheit der Daten geht, bieten laut dem AV-Test-Institut die Produkte von Basis, Microsoft, Pebble und eingeschränkt Xiaomi einen grundsätzlichen Schutz. So geht es weiter mit zahlreichen Parametern, welche die Tester intensiv unter die Lupe nahmen, darunter auch die Frage der sicheren Online-Kommunikation. Am Ende der Risikobewertung liegen die Angebote der Pebble Time, Basis Peak und dem Microsoft Band 2 in punkto Sicherheit vorn, auch wenn hier kleinere Fehler und Lücken zu bemängeln sind.
Wie aber sieht es aus mit der Apple Watch? Hier unterscheiden sich die beiden Betriebssysteme von Android und iOS in einigen Bereichen signifikant. Festgestellt haben die Tester, dass sich die Sichtbarkeit der Bluetooth-Verbindung bei dem Apple-Produkt vom Nutzer gut kontrollieren lässt, sodass das Gerät nicht ständig verfolgt werden kann. Bei der BLE-Privacy zeigt die Apple Watch nach jeder Neuaktivierung von Bluetooth wie gewünscht eine andere MAC-Adresse, Probleme gibt es nur beim Ein- und Ausschalten des Flugmodus, hier präsentiert die Apple Watch dann doch die echte MAC-Adresse ihrer Bluetooth-Komponente. Als sehr gut wird der Diebstahlschutz bewertet – im Grunde könnten Käufer einer gestohlenen Apple Watch diese nicht mehr mit ihrem eigenen iPhone koppeln.
Nicht so gut sind demnach aber die verschlüsselten Verbindungen geschützt. Hierzu schreiben die Tester: ”In verschlüsselten, aber nicht weiter gesicherten Verbindungen konnten die Tester einiges mitlesen. So fanden sich Textzeilen mit den Geodaten des Nutzers mit seinem Aufenthaltsort – bis auf die Hausnummer genau! Im weiteren Verlauf wurde, wie bei den Android-Geräten, ein Root-Zertifikat installiert. Danach ließen sich viele Verbindungen mitlesen. Auf diese Weise hat der Nutzer selbst mehr Zugriff auf die Daten und könnte so eingreifen.” Der letztere Punkt betrifft die Möglichkeit einer Manipulation der Daten durch den User. Unterm Strich bescheinigt der Test der Apple Watch eine hohe Sicherheit. Zwar biete das Apple-Gerät theoretische Angriffsflächen, der Aufwand für einen Angreifer, um diese zu nutzen, sei aber sehr groß.