Ob beim Joggen im Wald, zum Zählen der Schritte oder zum Aufzeichnen der Schlafqualität: Immer mehr Menschen setzen in ihrem Alltag auf Wearables wie Smartwatches oder Fitnesstracker. Die Geräte messen die Sauerstoffsättigung im Blut oder die Herzfrequenz, einige erstellen sogar ein EKG. In den letzten Jahren hat ihr Verkauf stark zugenommen, wie das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) in einem Ende Januar 2025 veröffentlichten Bericht angibt. Grund genug für die Fachleute, die Sicherheit von zehn verschiedenen Wearable-Modellen genauer unter die Lupe zu nehmen. Insgesamt 116 Schwachstellen haben sie dabei gefunden. 116 Einfallstore, über die potenzielle Angreifer persönliche Gesundheitsdaten abgreifen könnten.

Bei den untersuchten Geräten handelt es sich um drei Smartwatches, drei Basic-Watches (das sind einfacher gehaltene Smartwatches mit weniger Funktionen), drei Fitnesstracker sowie einen Smartring. Die Testerinnen und Tester versuchten, sich unbefugt Zugang zu den Geräten zu verschaffen und auf die Funktionen und gespeicherten Daten zuzugreifen. Die Sicherheitslücken, die sie entdeckten, unterteilten sie in vier Schweregrade:

1. Kritisch: Diese Lücken müssen sofort behoben werden, da sie mit einfachsten Mitteln genutzt werden können.
2. Hoch: Die Sicherheitslücken sollten kurzfristig behoben werden.
3. Mittel: Die Schwachstellen können im Rahmen des nächstgeplanten Updates überarbeitet werden.
4. Niedrig: Solche Lücken sind optionale Verbesserungsmöglichkeiten, da sie nur unter sehr hohem Aufwand genutzt werden können.

Von den zehn getesteten Geräten wies keines kritische Sicherheitslücken auf, aber fünf Wearables enthalten Schwachstellen, die als hoch eingestuft werden. In diesen Fällen waren beispielsweise die Verschlüsselungsmethoden unzureichend, so dass ein Angreifer durch eine Brute-Force-Attacke – also durch reines Ausprobieren – Zugang zu dem Benutzeraccount bekam. In anderen Fällen konnten die Fachleute die PIN-Eingabe eines Geräts umgehen, indem sie gezielte Anfragen über Bluetooth sendeten. Die meisten gefundenen Schwachstellen fallen in die Kategorie mittel; sie finden sich auf sämtlichen geprüften Geräten. Bei diesen insgesamt 101 Sicherheitslücken handelt es sich beispielsweise um veraltete Software, die angreifbar ist.

»Insgesamt scheinen die unter Umständen gravierenden Folgen einer Kompromittierung der Wearables nicht angemessen bedacht zu sein«Bundesamt für Sicherheit in der Informationstechnik

Laut BSI sind diese Ergebnisse Besorgnis erregend – insbesondere, wenn man beachtet, dass den Testern nur wenig Zeit zur Verfügung stand, um die Geräte zu prüfen. »Insgesamt scheinen die unter Umständen gravierenden Folgen einer Kompromittierung der Wearables (…) nicht angemessen bedacht zu sein«, heißt es im Bericht. Die Verfasser hoffen, dass die Hersteller die Ergebnisse ernst nehmen und persönliche Daten auf den Geräten künftig besser schützen.