Bluetooth-Scanner enthüllt: Was Ihre Geräte über Ihren Alltag preisgeben

Bluetooth ist aus dem Alltag kaum wegzudenken – Smartphones, Wearables, Autos und medizinische Geräte senden ihre Signale permanent aus. Ein Entwickler hat nun mit einem selbst programmierten Scanner demonstriert, wie viel sich allein durch passives Zuhören über Personen und ihre Gewohnheiten herausfinden lässt – ganz ohne Verbindungsaufbau oder spezialisierte Hardware.

Bluetooth-Scanner enthüllt: Was Ihre Geräte über Ihren Alltag preisgeben

Ein Softwareentwickler hat vergangenes Wochenende ein Open-Source-Tool namens Bluehood veröffentlicht, das Bluetooth-Signale in der näheren Umgebung aufzeichnet und auswertet. Die Motivation dahinter war nach eigenen Angaben keine bösartige: Er wollte schlicht verstehen, welche Informationen er selbst durch aktiviertes Bluetooth nach außen trägt.

Die Veröffentlichung fiel zeitlich mit einer Meldung von Forschern der KU Leuven zusammen. Diese hatten kurz zuvor eine Sicherheitslücke in Bluetooth-Audiogeräten bekannt gegeben – registriert unter CVE-2025-36911 und als WhisperPair bezeichnet. Der Fehler betrifft Schätzungen zufolge Hunderte Millionen Kopfhörer und In-Ear-Geräte und ermöglicht es unter bestimmten Bedingungen, Geräte aus der Ferne zu übernehmen, Gespräche mitzuhören oder Aufenthaltsorte über Googles Find-Hub-Netzwerk nachzuverfolgen.

Was passives Scannen sichtbar macht

Bluehood arbeitet ausschließlich im passiven Modus: Es lauscht in die Umgebung, baut jedoch keine Verbindungen zu anderen Geräten auf und interagiert nicht mit ihnen. Trotzdem ließen sich allein von einem Heimbüro aus innerhalb kurzer Zeit folgende Informationen ableiten: Wann Lieferfahrzeuge eintrafen – und ob jeweils dasselbe Fahrzeug kam. Die täglichen Bewegungsprofile von Nachbarn anhand ihrer Telefone und Wearables. Welche Gerätepaare regelmäßig gemeinsam auftauchten, etwa ein Smartphone zusammen mit einer Smartwatch einer einzelnen Person. Sowie die genauen Zeitfenster, in denen bestimmte Geräte – und damit vermutlich ihre Besitzer – zu Hause, bei der Arbeit oder unterwegs waren.

Dafür wurde laut dem Entwickler keine Spezialausrüstung benötigt. Ein handelsüblicher Laptop oder ein Raspberry Pi mit Bluetooth-Adapter reichten aus.

Viele Geräte lassen sich nicht abschalten

Während Nutzer bei Smartphones und Tablets selbst entscheiden können, ob Bluetooth aktiv ist, trifft das auf eine Reihe anderer Geräteklassen nicht zu. Moderne Hörgeräte nutzen Bluetooth Low Energy, damit Audiologen Einstellungen per Fernzugriff vornehmen können. Herzschrittmacher und andere Implantate senden in manchen Fällen ebenfalls BLE-Signale – ohne dass Patienten dieses Verhalten beeinflussen können.

Ähnliches gilt für Fahrzeuge: Liefer-, Einsatz- und Flottenfahrzeuge verfügen häufig über Bluetooth-Systeme zur Diagnose oder Fahrerassistenz, auf deren Sendeverhalten die Fahrer keinen Zugriff haben. Auch manche Konsumergeräte – etwa GPS-Tracker für Haustiere oder bestimmte Fitnessgeräte – setzen Bluetooth voraus, um überhaupt funktionieren zu können.

Die Spannung zwischen Datenschutz und Funktechnik

Eine weitere Schicht Komplexität entsteht dadurch, dass einige Anwendungen, die explizit auf den Schutz der Privatsphäre ausgerichtet sind, Bluetooth voraussetzen. Die Messaging-App Briar etwa wurde für Aktivisten und Journalisten in schwierigen Umgebungen entwickelt und kann Nachrichten bei fehlendem Internetzugang über Bluetooth oder WLAN synchronisieren. BitChat geht noch weiter und betreibt ein vollständig dezentrales Kommunikationsnetz ausschließlich über Bluetooth-Mesh – ohne Server, ohne Telefonnummern, ohne Internetanbindung. Beide Projekte sind für Szenarien wie Proteste, Naturkatastrophen oder Regionen mit eingeschränktem Netzzugang konzipiert.

Das erzeugt ein strukturelles Dilemma: Wer sich auf datenschutzorientierte Kommunikation verlassen möchte, muss Bluetooth aktivieren – und sendet damit unweigerlich Signale aus, die von Dritten in der Umgebung aufgezeichnet werden können.

Was Metadaten verraten

Der Entwickler betont, dass ein Angreifer weder Namen noch persönliche Daten benötigt, um aus Bluetooth-Signalen nützliche Informationen zu gewinnen. Schon die Auswertung von Mustern über mehrere Wochen hinweg kann aufschlussreiche Rückschlüsse liefern: Wann ist ein Haushalt regelmäßig leer? Gibt es wiederkehrende Besucher zu bestimmten Wochentagen? Lassen sich Schichtarbeits-Rhythmen ableiten? Wann kommen Kinder von der Schule? Welche Haushalte teilen denselben Lieferservice?

Was Bluehood technisch leistet

Das Tool ist in Python geschrieben und läuft auf jedem Gerät mit Bluetooth-Adapter. Es identifiziert Geräte anhand von Hersteller-IDs und BLE-Service-UUIDs, klassifiziert sie nach Typ – etwa Telefone, Audiogeräte, Wearables, Fahrzeuge oder IoT-Geräte – und erstellt Heatmaps sowie Präsenzmuster. Zufällig wechselnde MAC-Adressen, wie sie moderne Smartphones zum Selbstschutz einsetzen, werden erkannt und aus der Hauptansicht herausgefiltert. Die Datenhaltung erfolgt lokal in SQLite, optional können Push-Benachrichtigungen über ntfy.sh ausgelöst werden, wenn überwachte Geräte auf- oder abtauchen. Der Quellcode ist öffentlich auf GitHub verfügbar.

Der Entwickler positioniert das Projekt ausdrücklich als Lernwerkzeug – nicht als Angriffsmittel. Sein Ziel war es, sich selbst vor Augen zu führen, was handelsübliche Technik und ein einfaches Skript über einen Haushalt preisgeben können. Die Schlussfolgerung ist sachlich: Wer Bluetooth aktiviert lässt, trifft damit eine Entscheidung über Sichtbarkeit – bewusst oder nicht.

Der Quellcode ist auf GitHub verfügbar.

Hier geht’s weiter

---