Ärzte Zeitung, 13.09.2016

Manipulation möglich

Sicherheitsrisiko Fitness-Tracker

Informatiker der TU Darmstadt haben die Datensicherheit bei Fitness-Trackern geprüft. Das Ergebnis ist alarmierend.

Von Rebekka Höhl

Sicherheitsrisiko Fitness-Tracker

Fitness-Tracker sind beliebt: Allein im ersten Quartal 2016 wurden weltweit rund 20 Millionen Systeme verkauft.

© TSUNG-LIN WU / fotolia.com

DARMSTADT. Ob smarte Uhren, Armbänder oder Sensoren, die mit einer Smartphone-App kommunizieren: Das Aufzeichnen von Bewegungs- und Vitaldaten ist beliebt. Allein im ersten Quartal 2016 wurden nach einer Analyse von IDC Research weltweit 19,7 Millionen Fitness-Tracker verkauft - im Vergleich zum Vorjahresquartal ein Anstieg von mehr als 67 Prozent.

Aber wie sieht es mit der Sicherheit solcher Systeme, die mittlerweile auch von Krankenversicherern für Bonusprogramme genutzt werden, aus? Informatiker der Technischen Universität (TU) Darmstadt um Professor Ahmad-Reza Sadeghi haben den Test gemacht und in einer Kooperation mit der Universität Padua 17 Fitness-Tracker genauer untersucht.

Dabei konzentrierten sich die Forscher darauf, die von den Trackern an Server gesendeten Daten durch einen sogenannten "Man-in-the-Middle"-Angriff zu manipulieren. Hierbei täuscht der Angreifer zwei Kommunikationspartner, indem er ihnen jeweils die Identität des anderen vorspiegelt.

Das Ergebnis ist alarmierend: In allen Fällen gelang es den Forschern, nicht nur auf die aufgezeichneten Daten zuzugreifen, sondern diese auch zu ändern. Unter den getesteten Trackern waren laut der TU Darmstadt weniger bekannte Hersteller ebenso wie beliebte Marken.

Schutzmaßnahmen sind Mangelware

Alle cloud-basierten Tracking-Systeme sicherten die Datenübertragung zwar mit dem verschlüsselten Internetprotokoll HTTPSab.

Allerdings würden von den untersuchten Systemen gerade einmal vier Hersteller - und leider auch nur geringfügige - Maßnahmen zum Schutz der Integrität, also der Unversehrtheit und Unveränderbarkeit, der Daten nutzen, so die Forscher. "Diese Hürden können einen motivierten Angreifer nicht aufhalten.

Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen", sagt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.

Alle Daten frei lesbar

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten zwar nicht mit einem Online-Dienst. Die Hersteller würden die Daten jedoch im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone speichern.

Das bedeute, sobald dieses gestohlen oder mit einer Schadsoftware infiziert wird, könnten die Daten unautorisiert weitergegeben und manipuliert werden, erklären die Cybersecurity-Experten der TU Darmstadt.

Interessant ist, dass der Schutz der Daten eigentlich gar nicht so aufwändig ist. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, "die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren", so die klare Aussage von Sadeghi.

Er empfiehlt: "Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten."

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Weitere Beiträge aus diesem Themenbereich

Tumorpatienten bei Schmerztherapie unterversorgt

Viele Krebskranke erhalten keine adäquate Schmerztherapie. Das hat eine erste Analyse der Online-Befragung "PraxisUmfrage Tumorschmerz" ergeben. mehr »

ADHS-Arznei lindert Apathie bei Alzheimer

Eine Therapie mit Methylphenidat kann die Apathie bei Männern mit leichter Alzheimerdemenz deutlich zurückdrängen. mehr »

Zehn Jahre "jünger" durch Sport

Wer Sport treibt, ist motorisch gesehen im Schnitt zehn Jahre jünger als ein Bewegungsmuffel. mehr »