http://www.faz.net/-gqe-8l8ro

Datenschutz : Fitnesstracker haben erhebliche Sicherheitsmängel

Fitnessarmbänder und Fitnesstracker erfreuen sich großer Beliebtheit. Doch beim Datenschutz weisen die Geräte erhebliche Mängel auf. Bild: dpa

Geräte, die im Alltag unsere Fitness messen, werden immer beliebter. Nun ergab ein Test der TU Darmstadt, dass die Datensicherheit der Tracker häufig zu wünschen übrig lässt.

          Kein Fitnesstracker hat den Test bestanden: Die Datensicherheit der Alltagshelfer von immer mehr Menschen haben Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt, und sein Team überprüft. Und die Ergebnisse sind ernüchternd. Sadeghi und sein Team führten in Kooperation mit der Universität Padua eine Studie mit 17 unterschiedlichen Fitnesstrackern durch, sowohl von weniger bekannten Herstellern als auch von beliebten Marken wie Xiaomi, Garmin und Jawbone.

          Carsten Knop

          Chefredakteur digitale Produkte.

          Die Forscher konzentrierten sich darauf, die an den Server gesendeten Daten durch einen „Man in the Middle“-Angriff zu manipulieren, und untersuchten dabei die Sicherheit der verwendeten Kommunikationsprotokolle. Dabei kam heraus, dass zwar alle Cloud-basierten Tracking-Systeme die Datenübertragung mit dem verschlüsselten Protokoll HTTPS sichern. Dennoch sei es den Forschern in allen Fällen gelungen, die aufgezeichneten Daten zu manipulieren. Von den untersuchten Fitnesstrackern nutzen die meisten gar keine Schutzmechanismen, nur vier Hersteller verwenden geringfügige Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unverändertheit – der Daten. „Diese Hürden können einen motivierten Angreifer aber nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen“, lässt sich Sadeghi in einer Mitteilung der TU Darmstadt zitieren, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet würden.

          Mängel seien mit Standardtechniken zu beheben

          Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone – sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, können die Daten unautorisiert weitergegeben und manipuliert werden. „Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten“, empfiehlt Sadeghi deshalb. Die in der Studie gefundenen Mängel seien mit bekannten Standardtechniken zu beheben, „die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren“.

          Wichtig wäre es, denn die Beliebtheit und Verbreitung von Fitnesstrackern nimmt immer weiter zu. Allein im ersten Quartal des laufenden Jahres wurden auf der ganzen Welt knapp 20 Millionen solcher Tracker verkauft. Viele zeichnen mit der Hilfe von GPS-Satellitenunterstützung die gelaufenen Kilometer auf, können Herzfrequenz und Puls messen oder feststellen, ob der Träger oder die Trägerin schläft.

          Der Datenschutz ist deshalb brisant, weil diese Daten zunehmend nicht nur für den ursprünglichen Zweck, sondern auch von Dritten verwendet werden. Die TU Darmstadt nennt dafür einige Beispiele: In den Vereinigten Staaten zum Beispiel werden Daten von Fitnesstrackern vor Gericht schon als Beweismittel zugelassen. Das habe das „Forbes Magazine“ schon im Jahr 2014 berichtet. Die Geräte würden von Polizisten und Juristen als „Black Box“ des menschlichen Körpers angesehen, habe die „New York Daily News“ erst in diesem Jahr geschrieben. Und manche Krankenversicherung biete seit neuestem Rabatte an, wenn die Kunden dafür Daten ihrer Fitnesstracker zur Verfügung stellten. Das wiederum locke Betrüger an, welche die aufgezeichneten Daten verändern, um sich finanzielle Vorteile zu erschleichen oder gar einen Gerichtsprozess zu manipulieren, so Sadeghi. Umso wichtiger sei es, dass das Übertragen, Verarbeiten und Speichern der sensiblen persönlichen Daten hohen Sicherheitsstandards genüge.

          Weitere Themen

          Ein Skandal, der mitten ins Herz trifft

          Gefälschte Studien : Ein Skandal, der mitten ins Herz trifft

          Ein Harvard-Mediziner schürte Hoffnungen und fälschte schamlos Studien. Der Fall zeigt, wie nachhaltig Patienten und Ärzte darunter leiden, wenn die konstruierte „Wahrheit“ nur prominent und sexy genug daher kommt.

          Die Sonntagsfrage Video-Seite öffnen

          F.A.S.-Quiz : Die Sonntagsfrage

          Testen Sie, wie wach Sie das wirtschaftliche Geschehen der Woche verfolgt haben. Für jede Frage ist eine Lösung richtig.

          Topmeldungen

          Der damalige Uefa-Generalsekretär Gianni Infantino steht in der Kritik wegen angeblich unlauterer Vermittlungen in den Vergleichsverhandlungen mit Manchester City und PSG im Jahr 2014.

          Financial-Fair-Play : Uefa reagiert auf Football Leaks

          Die Veröffentlichung geheimer Dokumente durch Football Leaks bringt die Fifa in Bedrängnis. Nun stellt der Verband eine Neubewertung von Financial-Fair-Play-Fällen in Aussicht.
          Migranten aus Mittelamerika klettern am 29. Oktober auf den Anhänger eines Lastwagens, während eine Karawane von Menschen ihren langsamen Marsch zur amerikanischen Grenze fortsetzt.

          Flüchtlingstreck nach Amerika : Endstation Mexiko?

          Tausende Menschen schieben sich aus Honduras durch Mexiko in einer langen Karawane Richtung Amerika. Doch Donald Trumps Drohung zeigt bei den ersten Flüchtlingen Wirkung.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.