Fitnesstracker – kleine, smarte Geräte fürs Handgelenk, die unseren Gesundheitszustand messen – haben ein Problem mit der Datensicherheit. Das haben Forscher der Technischen Universität Darmstadt herausgefunden. Untersucht wurden 17 unterschiedliche Wearables. Sowohl von weniger bekannten Herstellern als auch von Trend-Marken wie Xiaomi, Garmin und Jawbone.
Um die Sicherheitslücken aufzudecken, simulierten die Forscher einen sogenannten «Man in the Middle»-Angriff auf Daten, die die Tracker an den Cloudserver senden. Dabei kam heraus, dass es den Studienautoren in allen Fällen gelungen ist, die aufgezeichneten Daten zu manipulieren – trotz Sicherung der Daten mit dem verschlüsselten Protokoll HTTPS.
Heikel: Von den untersuchten Fitnesstrackern nutzen die meisten gar keine Schutzmechanismen, nur vier Hersteller verwendeten geringfügige Massnahmen zum Schutz der Datenintegrität. «Diese Hürden können einen motivierten Angreifer aber nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen», schreibt die «FAZ» unter Berufung auf die Studie.
Grund: Weder eine Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz kommt während der Datenübertragung von den Fitnesstrackern in die Cloud zum Einsatz.
Sicherheitslücken auch ohne Cloud-Speicher
Und jene fünf Hersteller, die die Fitness-Daten nicht in einer Cloud synchronisieren, haben Sicherheitslücken. Die Daten werden unverschlüsselt auf dem Smartphone gespeichert. Wird dieses gestohlen oder mit einer Schadsoftware infiziert, können die Daten gelesen, weitergegeben oder manipuliert werden.
«Alle Versicherungen und auch andere Dienstleister, die Fitnesstracker einsetzen wollen, sollten sich vorher mit einem Sicherheitsexperten beraten», empfehlen die Studienautoren. Mit bekannten Standardtechniken seien die Sicherheitsmängel zu beheben.
Auch Schweizer Versicherer sollten hier hellhörig werden. Krankenkassen wie die CSS belohnen Kunden neuerdings, die mittels Fitnesstrackern ihre Gesundheit verbessern wollen. Erste Bonusprogramme dürften bald auch bei weiteren Versicherern anlaufen.
Grund: Die Fitnesstracker boomen. Allein im ersten Quartal 2016 wurden weltweit fast 20 Millionen solcher Gesundheitsarmbänder verkauft. Viele zeichnen mittels GPS-Satellitenunterstützung gelaufene Kilometer auf, messen die Herzfrequenz oder Puls des Trägers.
Eidg. Datenschützer warnt
Inwiefern die Wearables den Eidg. Datenschützer beschäftigen ist unklar. In einem Interview mit der Zeitung «Le Temps» von Montag monierte er «ein extremes Manko an Transparenz» bei elektronischen Haushaltsgeräten, die Daten an eine Cloud im Internet versenden. «Diese Apparate verbinden sich permanent untereinander und tauschen Daten aus, ohne den Besitzer zu warnen», sagt Adrian Lobsiger, der seit Juni im Amt ist.
Die lernfähigen Maschinen legten einen «grossen Datenhunger» an den Tag. Die Anwendungen dürften seiner Meinung nach Daten aber nur dann sammeln und austauschen, wenn die Nutzer dem vorab zugestimmt hätten.
Der Datenschützer warnt zugleich vor Smartphones, die «oft ungeahnte Möglichkeiten zum Austausch persönlicher Daten» bergen würden. (uro/sda)