Darmstädter Forscher entdecken große Sicherheitslücken

Fitness-Armbänder schwächeln

Darmstadt/Offenbach - Sie sehen aus wie Armbanduhren, können aber mehr. Sogenannte Fitness-Tracker messen Herz- frequenz oder Schrittzahl, um ihrem Träger etwa beim Trainieren zu helfen. In Sachen Datensicherheit haben Darmstädter Informatiker nun schwere Mängel aufgedeckt. Von Ralf Enders

„Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten.“ Ahmad-Reza Sadeghi zieht ein eindeutiges Fazit seiner Studien. Der Professor für Systemsicherheit an der Technischen Universität Darmstadt hat 17 Fitness-Tracker verschiedener Hersteller auf ihre Datensicherheit hin überprüft. Die Ergebnisse bezeichnet Sadeghi als „alarmierend“. Ihm und seinem Team gelang es in allen Fällen ohne größeren Aufwand, die aufgezeichneten Daten zu manipulieren. Die Hersteller – weniger bekannte Marken, aber auch beliebte wie Xiaomi, Garmin und Jawbone – nutzten keine oder unzureichende Schutzmaßnahmen.

Würden die Fitness-Armbänder nur ihrem Träger anzeigen, wie viele Schritte er gemacht hat, wären sie unbedenklich. Als Mini-Computer, der die Daten ans Smartphone sendet, spielen sie jedoch in vielen Bereichen eine immer wichtigere Rolle, in denen es um Geld oder Bürgerrechte geht. Die Techniker Krankenkasse etwa denkt als eine der ersten darüber nach, die Nutzung von Fitness-Armbändern in ihr Bonusprogramm zu integrieren. In den USA sind Daten vom Handgelenk dem Magazin „Forbes“ zufolge bereits als Beweismittel vor Gericht zugelassen. Und die New Yorker „Daily News“ berichten, Polizei und Justiz würden Fitness-Tracker als „Black Box“ des menschlichen Körpers verwenden.

Dies alles setzt freilich die Unversehrtheit der Daten voraus. Dafür jedoch tun die Hersteller laut Sadeghi zu wenig: „Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen.“ Weder eine sogenannte Ende-zu-Ende-Verschlüsselung noch ein anderer Manipulationsschutz würden verwendet. Weiteres Risiko: Die Hersteller speichern die Daten unverschlüsselt auf dem Smartphone. Wird es gestohlen oder mit Schadsoftware infiziert, kann sie jeder lesen, weitergeben oder manipulieren.

Pebble Time: Der Langläufer unter den Smartwatches

Fitness-Armbänder erfreuen sich steigender Beliebtheit; auf der gerade zu Ende gegangenen IFA in Berlin waren sie ein großes Thema. Im ersten Quartal 2016 gingen dem IT-Marktforschungsunternehmen IDC zufolge weltweit 20 Millionen über die Ladentische. Und einer Umfrage des Branchenverbandes Bitkom zufolge kann sich ein Drittel der Deutschen vorstellen, Gesundheitsdaten an die Krankenkasse weiterzugeben, um im Gegenzug dafür Vorzüge zu erhalten. In der Realität jedoch ist wie so oft Disziplin gefragt: Die Krankenversicherung DKV hat ermittelt, dass fast jedes zweite verkaufte Fitness-Armband in der Ecke liegenbleibt. Hauptgrund für die Besitzer: zu anstrengend.

Rubriklistenbild: © dpa

Kommentare