Ärzte Zeitung, 13.09.2016

Manipulation möglich

Sicherheitsrisiko Fitness-Tracker

Informatiker der TU Darmstadt haben die Datensicherheit bei Fitness-Trackern geprüft. Das Ergebnis ist alarmierend.

Von Rebekka Höhl

Sicherheitsrisiko Fitness-Tracker

Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

© TSUNG-LIN WU / fotolia.com

DARMSTADT. Ob smarte Uhren, Armbänder oder Sensoren, die mit einer Smartphone-App kommunizieren: Das Aufzeichnen von Bewegungs- und Vitaldaten ist beliebt. Allein im ersten Quartal 2016 wurden nach einer Analyse von IDC Research weltweit 19,7 Millionen Fitness-Tracker verkauft - im Vergleich zum Vorjahresquartal ein Anstieg von mehr als 67 Prozent.

Aber wie sieht es mit der Sicherheit solcher Systeme, die mittlerweile auch von Krankenversicherern für Bonusprogramme genutzt werden, aus? Informatiker der Technischen Universität (TU) Darmstadt um Professor Ahmad-Reza Sadeghi haben den Test gemacht und in einer Kooperation mit der Universität Padua 17 Fitness-Tracker genauer untersucht.

Dabei konzentrierten sich die Forscher darauf, die von den Trackern an Server gesendeten Daten durch einen sogenannten "Man-in-the-Middle"-Angriff zu manipulieren. Hierbei täuscht der Angreifer zwei Kommunikationspartner, indem er ihnen jeweils die Identität des anderen vorspiegelt.

Das Ergebnis ist alarmierend: In allen Fällen gelang es den Forschern, nicht nur auf die aufgezeichneten Daten zuzugreifen, sondern diese auch zu ändern. Unter den getesteten Trackern waren laut der TU Darmstadt weniger bekannte Hersteller ebenso wie beliebte Marken.

Schutzmaßnahmen sind Mangelware

Alle cloud-basierten Tracking-Systeme sicherten die Datenübertragung zwar mit dem verschlüsselten Internetprotokoll HTTPSab.

Allerdings würden von den untersuchten Systemen gerade einmal vier Hersteller - und leider auch nur geringfügige - Maßnahmen zum Schutz der Integrität, also der Unversehrtheit und Unveränderbarkeit, der Daten nutzen, so die Forscher. "Diese Hürden können einen motivierten Angreifer nicht aufhalten.

Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen", sagt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.

Alle Daten frei lesbar

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Die Hersteller würden die Daten jedoch im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone speichern.

Das bedeute, sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, könnten die Daten unautorisiert weitergegeben und manipuliert werden, erklären die Cybersecurity-Experten der TU Darmstadt.

Interessant ist, dass der Schutz der Daten eigentlich gar nicht so aufwändig ist. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, "die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren", so die klare Aussage von Sadeghi.

Er empfiehlt: "Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten."

Weitere Beiträge aus diesem Themenbereich

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

In Deutschland gibt es"weder Hölle noch Paradies"

Die Lebensumstände in Deutschland sind weitgehend gleichwertig - gemessen an 53 Indikatoren, die etwa Gesundheit, Arbeit und Freizeit berücksichtigen, so der "Deutschland-Report". mehr »

Wenn Welten aufeinandertreffen

Die urologische Versorgung in Ghana findet nur sehr eingeschränkt statt. Der Verein "Die Ärzte für Afrika" unterstützt sechs Kliniken vor Ort – eine Herzensangelegenheit. mehr »

Schlaganfall im Schlaf – Wann ist Thrombolyse möglich?

Liegt der Symptombeginn bei Schlagfall einige Stunden zurück, kommt eine Thrombolyse eigentlich nicht infrage. Forschern ist es nun gelungen, Patienten für die Therapie auszuwählen, auch ohne den Zeitpunkt des Insults zu kennen. mehr »