Ärzte Zeitung, 13.09.2016

Manipulation möglich

Sicherheitsrisiko Fitness-Tracker

Informatiker der TU Darmstadt haben die Datensicherheit bei Fitness-Trackern geprüft. Das Ergebnis ist alarmierend.

Von Rebekka Höhl

Sicherheitsrisiko Fitness-Tracker

Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

© TSUNG-LIN WU / fotolia.com

DARMSTADT. Ob smarte Uhren, Armbänder oder Sensoren, die mit einer Smartphone-App kommunizieren: Das Aufzeichnen von Bewegungs- und Vitaldaten ist beliebt. Allein im ersten Quartal 2016 wurden nach einer Analyse von IDC Research weltweit 19,7 Millionen Fitness-Tracker verkauft - im Vergleich zum Vorjahresquartal ein Anstieg von mehr als 67 Prozent.

Aber wie sieht es mit der Sicherheit solcher Systeme, die mittlerweile auch von Krankenversicherern für Bonusprogramme genutzt werden, aus? Informatiker der Technischen Universität (TU) Darmstadt um Professor Ahmad-Reza Sadeghi haben den Test gemacht und in einer Kooperation mit der Universität Padua 17 Fitness-Tracker genauer untersucht.

Dabei konzentrierten sich die Forscher darauf, die von den Trackern an Server gesendeten Daten durch einen sogenannten "Man-in-the-Middle"-Angriff zu manipulieren. Hierbei täuscht der Angreifer zwei Kommunikationspartner, indem er ihnen jeweils die Identität des anderen vorspiegelt.

Das Ergebnis ist alarmierend: In allen Fällen gelang es den Forschern, nicht nur auf die aufgezeichneten Daten zuzugreifen, sondern diese auch zu ändern. Unter den getesteten Trackern waren laut der TU Darmstadt weniger bekannte Hersteller ebenso wie beliebte Marken.

Schutzmaßnahmen sind Mangelware

Alle cloud-basierten Tracking-Systeme sicherten die Datenübertragung zwar mit dem verschlüsselten Internetprotokoll HTTPSab.

Allerdings würden von den untersuchten Systemen gerade einmal vier Hersteller - und leider auch nur geringfügige - Maßnahmen zum Schutz der Integrität, also der Unversehrtheit und Unveränderbarkeit, der Daten nutzen, so die Forscher. "Diese Hürden können einen motivierten Angreifer nicht aufhalten.

Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen", sagt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.

Alle Daten frei lesbar

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Die Hersteller würden die Daten jedoch im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone speichern.

Das bedeute, sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, könnten die Daten unautorisiert weitergegeben und manipuliert werden, erklären die Cybersecurity-Experten der TU Darmstadt.

Interessant ist, dass der Schutz der Daten eigentlich gar nicht so aufwändig ist. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, "die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren", so die klare Aussage von Sadeghi.

Er empfiehlt: "Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten."

Schreiben Sie einen Kommentar

Überschrift

Text
Weitere Beiträge aus diesem Themenbereich

Gefahr im Vekehr oder alles im grünen Bereich?

Patienten, die Cannabispräparate in Dauermedikation haben, dürfen am Straßenverkehr teilnehmen. Eine wissenschaftliche Debatte über ein erhöhtes Verkehrssicherheitsrisiko wurde noch nicht geführt. mehr »

Frau hat keinen Anspruch auf Schmerzensgeld

Hat eine Frau Anspruch auf Schmerzensgeld, wenn ein Arztfehler zu Impotenz des Mannes führt? Das OLG Hamm verneint – und gibt eine Begründung. mehr »

Tausende Pfleger ergreifen die Flucht

Großbritannien gehen die Pflegekräfte aus: Zu groß ist die Unzufriedenheit mit dem System. Sie zeigt sich zunehmend auch bei Patienten. mehr »