https://www.faz.net/-gqe-8l8ro

Datenschutz : Fitnesstracker haben erhebliche Sicherheitsmängel

Fitnessarmbänder und Fitnesstracker erfreuen sich großer Beliebtheit. Doch beim Datenschutz weisen die Geräte erhebliche Mängel auf. Bild: dpa

Geräte, die im Alltag unsere Fitness messen, werden immer beliebter. Nun ergab ein Test der TU Darmstadt, dass die Datensicherheit der Tracker häufig zu wünschen übrig lässt.

          2 Min.

          Kein Fitnesstracker hat den Test bestanden: Die Datensicherheit der Alltagshelfer von immer mehr Menschen haben Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt, und sein Team überprüft. Und die Ergebnisse sind ernüchternd. Sadeghi und sein Team führten in Kooperation mit der Universität Padua eine Studie mit 17 unterschiedlichen Fitnesstrackern durch, sowohl von weniger bekannten Herstellern als auch von beliebten Marken wie Xiaomi, Garmin und Jawbone.

          Carsten Knop
          Herausgeber.

          Die Forscher konzentrierten sich darauf, die an den Server gesendeten Daten durch einen „Man in the Middle“-Angriff zu manipulieren, und untersuchten dabei die Sicherheit der verwendeten Kommunikationsprotokolle. Dabei kam heraus, dass zwar alle Cloud-basierten Tracking-Systeme die Datenübertragung mit dem verschlüsselten Protokoll HTTPS sichern. Dennoch sei es den Forschern in allen Fällen gelungen, die aufgezeichneten Daten zu manipulieren. Von den untersuchten Fitnesstrackern nutzen die meisten gar keine Schutzmechanismen, nur vier Hersteller verwenden geringfügige Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unverändertheit – der Daten. „Diese Hürden können einen motivierten Angreifer aber nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen“, lässt sich Sadeghi in einer Mitteilung der TU Darmstadt zitieren, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet würden.

          Mängel seien mit Standardtechniken zu beheben

          Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone – sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, können die Daten unautorisiert weitergegeben und manipuliert werden. „Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten“, empfiehlt Sadeghi deshalb. Die in der Studie gefundenen Mängel seien mit bekannten Standardtechniken zu beheben, „die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren“.

          Wichtig wäre es, denn die Beliebtheit und Verbreitung von Fitnesstrackern nimmt immer weiter zu. Allein im ersten Quartal des laufenden Jahres wurden auf der ganzen Welt knapp 20 Millionen solcher Tracker verkauft. Viele zeichnen mit der Hilfe von GPS-Satellitenunterstützung die gelaufenen Kilometer auf, können Herzfrequenz und Puls messen oder feststellen, ob der Träger oder die Trägerin schläft.

          Der Datenschutz ist deshalb brisant, weil diese Daten zunehmend nicht nur für den ursprünglichen Zweck, sondern auch von Dritten verwendet werden. Die TU Darmstadt nennt dafür einige Beispiele: In den Vereinigten Staaten zum Beispiel werden Daten von Fitnesstrackern vor Gericht schon als Beweismittel zugelassen. Das habe das „Forbes Magazine“ schon im Jahr 2014 berichtet. Die Geräte würden von Polizisten und Juristen als „Black Box“ des menschlichen Körpers angesehen, habe die „New York Daily News“ erst in diesem Jahr geschrieben. Und manche Krankenversicherung biete seit neuestem Rabatte an, wenn die Kunden dafür Daten ihrer Fitnesstracker zur Verfügung stellten. Das wiederum locke Betrüger an, welche die aufgezeichneten Daten verändern, um sich finanzielle Vorteile zu erschleichen oder gar einen Gerichtsprozess zu manipulieren, so Sadeghi. Umso wichtiger sei es, dass das Übertragen, Verarbeiten und Speichern der sensiblen persönlichen Daten hohen Sicherheitsstandards genüge.

          Weitere Themen

          Heil verlängert Kurzarbeit

          Corona-Krise : Heil verlängert Kurzarbeit

          Der Arbeitsminister will die Corona-Sonderregeln bis zum Jahresende verlängern. Unternehmen können dann weiterhin die Sozialversicherungsbeiträge für Kurzarbeiter in voller Höhe erstattet bekommen.

          Warum nachhaltiges Investieren so schwer ist Video-Seite öffnen

          Greenwashing : Warum nachhaltiges Investieren so schwer ist

          Grüne Investitionen erobern die Finanzmärkte. Mehr als 300 Milliarden Dollar flossen 2020 in „nachhaltige“ Anlagen und brachen damit den Rekord des Vorjahres. Doch wirklich "grün" zu investieren, ist schwieriger als es klingt.

          Topmeldungen

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.