Manipulation möglich

Sicherheitsrisiko Fitness-Tracker

Informatiker der TU Darmstadt haben die Datensicherheit bei Fitness-Trackern geprüft. Das Ergebnis ist alarmierend.

Von Rebekka HöhlRebekka Höhl Veröffentlicht:
Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

© TSUNG-LIN WU / fotolia.com

DARMSTADT. Ob smarte Uhren, Armbänder oder Sensoren, die mit einer Smartphone-App kommunizieren: Das Aufzeichnen von Bewegungs- und Vitaldaten ist beliebt. Allein im ersten Quartal 2016 wurden nach einer Analyse von IDC Research weltweit 19,7 Millionen Fitness-Tracker verkauft - im Vergleich zum Vorjahresquartal ein Anstieg von mehr als 67 Prozent.

Aber wie sieht es mit der Sicherheit solcher Systeme, die mittlerweile auch von Krankenversicherern für Bonusprogramme genutzt werden, aus? Informatiker der Technischen Universität (TU) Darmstadt um Professor Ahmad-Reza Sadeghi haben den Test gemacht und in einer Kooperation mit der Universität Padua 17 Fitness-Tracker genauer untersucht.

Dabei konzentrierten sich die Forscher darauf, die von den Trackern an Server gesendeten Daten durch einen sogenannten "Man-in-the-Middle"-Angriff zu manipulieren. Hierbei täuscht der Angreifer zwei Kommunikationspartner, indem er ihnen jeweils die Identität des anderen vorspiegelt.

Das Ergebnis ist alarmierend: In allen Fällen gelang es den Forschern, nicht nur auf die aufgezeichneten Daten zuzugreifen, sondern diese auch zu ändern. Unter den getesteten Trackern waren laut der TU Darmstadt weniger bekannte Hersteller ebenso wie beliebte Marken.

Schutzmaßnahmen sind Mangelware

Alle cloud-basierten Tracking-Systeme sicherten die Datenübertragung zwar mit dem verschlüsselten Internetprotokoll HTTPSab.

Allerdings würden von den untersuchten Systemen gerade einmal vier Hersteller - und leider auch nur geringfügige - Maßnahmen zum Schutz der Integrität, also der Unversehrtheit und Unveränderbarkeit, der Daten nutzen, so die Forscher. "Diese Hürden können einen motivierten Angreifer nicht aufhalten.

Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen", sagt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.

Alle Daten frei lesbar

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Die Hersteller würden die Daten jedoch im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone speichern.

Das bedeute, sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, könnten die Daten unautorisiert weitergegeben und manipuliert werden, erklären die Cybersecurity-Experten der TU Darmstadt.

Interessant ist, dass der Schutz der Daten eigentlich gar nicht so aufwändig ist. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, "die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren", so die klare Aussage von Sadeghi.

Er empfiehlt: "Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten."

Mehr zum Thema

Kommentar zum Datenschutz

BSG zur Gesundheitskarte: Wohltuender Pragmatismus

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Teilnehmerin einer Protestkundgebung der Initiative „Querdenken“ im Mai 2020 in Stuttgart: Die großen Erfolge der Impfkampagne gegen Polio sind im kollektiven Gedächtnis der meisten Deutschen nicht mehr präsent.

Gastbeitrag Dr. Jürgen Bausch

Wir sind Opfer unseres eigenen Impferfolgs