Manipulation möglich

Sicherheitsrisiko Fitness-Tracker

Informatiker der TU Darmstadt haben die Datensicherheit bei Fitness-Trackern geprüft. Das Ergebnis ist alarmierend.

Von Rebekka HöhlRebekka Höhl Veröffentlicht:
Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

© TSUNG-LIN WU / fotolia.com

DARMSTADT. Ob smarte Uhren, Armbänder oder Sensoren, die mit einer Smartphone-App kommunizieren: Das Aufzeichnen von Bewegungs- und Vitaldaten ist beliebt. Allein im ersten Quartal 2016 wurden nach einer Analyse von IDC Research weltweit 19,7 Millionen Fitness-Tracker verkauft - im Vergleich zum Vorjahresquartal ein Anstieg von mehr als 67 Prozent.

Aber wie sieht es mit der Sicherheit solcher Systeme, die mittlerweile auch von Krankenversicherern für Bonusprogramme genutzt werden, aus? Informatiker der Technischen Universität (TU) Darmstadt um Professor Ahmad-Reza Sadeghi haben den Test gemacht und in einer Kooperation mit der Universität Padua 17 Fitness-Tracker genauer untersucht.

Dabei konzentrierten sich die Forscher darauf, die von den Trackern an Server gesendeten Daten durch einen sogenannten "Man-in-the-Middle"-Angriff zu manipulieren. Hierbei täuscht der Angreifer zwei Kommunikationspartner, indem er ihnen jeweils die Identität des anderen vorspiegelt.

Das Ergebnis ist alarmierend: In allen Fällen gelang es den Forschern, nicht nur auf die aufgezeichneten Daten zuzugreifen, sondern diese auch zu ändern. Unter den getesteten Trackern waren laut der TU Darmstadt weniger bekannte Hersteller ebenso wie beliebte Marken.

Schutzmaßnahmen sind Mangelware

Alle cloud-basierten Tracking-Systeme sicherten die Datenübertragung zwar mit dem verschlüsselten Internetprotokoll HTTPSab.

Allerdings würden von den untersuchten Systemen gerade einmal vier Hersteller - und leider auch nur geringfügige - Maßnahmen zum Schutz der Integrität, also der Unversehrtheit und Unveränderbarkeit, der Daten nutzen, so die Forscher. "Diese Hürden können einen motivierten Angreifer nicht aufhalten.

Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen", sagt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.

Alle Daten frei lesbar

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Die Hersteller würden die Daten jedoch im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone speichern.

Das bedeute, sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, könnten die Daten unautorisiert weitergegeben und manipuliert werden, erklären die Cybersecurity-Experten der TU Darmstadt.

Interessant ist, dass der Schutz der Daten eigentlich gar nicht so aufwändig ist. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, "die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren", so die klare Aussage von Sadeghi.

Er empfiehlt: "Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten."

Mehr zum Thema

Lehren aus Datenklau in Frankreich

Deutsche Psychotherapeuten: Keine Daten in Clouds speichern!

„ÄrzteTag“-Podcast

Greift die IT-Sicherheitsrichtlinie zu kurz, Martin Tschirsich?

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Ein Mann erhält in einer Arztpraxis im brandenburgischen Senftenberg am Mittwoch eine Corona-Impfung mit dem Impstoff von AstraZeneca. Erste Arztpraxen in Brandenburg haben mit Impfungen gegen das Coronavirus begonnen.

Impfverordnung

So ist das Corona-Impfen in den Arztpraxen geplant

Hilfe zur Selbsthilfe: Der richtige Umgang mit dem Adrenalin-Autoinjektor muss immer wieder trainiert werden.

S2k-Leitlinie aktualisiert

Anaphylaxie: Was in das Notfallset gehört

Die SPD-Gesundheitspolitikerin Bärbel Bas kündigt ein Corona-Begleitgremium an. Es soll an den Gesundheitsausschuss angedockt werden, aber Abgeordnete mehrerer weiterer Ausschüsse umfassen.

Infektionsschutzgesetz

Koalition erweitert Spielraum bei Corona-Schutzmaßnahmen