Fitness-Tracker sammeln im großen Stil Informationen über die Lebensweise und den Gesundheitsstatus ihrer Nutzer, um beispielsweise beim Sport oder Abnehmen zu helfen. Forschern der TU Darmstadt gelang es bei 17 untersuchten Modellen in allen Fällen, die aufgezeichneten Daten zu manipulieren. Um die Datensicherheit der am Arm getragenen Geräte zur Fitness-Verbesserung sei es schlecht bestellt, warnt angesichts dieser Ergebnisse Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt.
Um die Sicherheit der Geräte zu überprüfen, führten Sadeghi und sein Team in Kooperation mit der italienischen Universität Padua eine Studie mit 17 unterschiedlichen Fitness-Trackern durch, sowohl von weniger bekannten Herstellern als auch von beliebten Marken wie Xiaomi, Garmin und Jawbone. Die Forscher konzentrierten sich darauf, die an den Server gesendeten Daten durch einen „Man-in-the-Middle“-Angriff zu manipulieren und untersuchten dabei die Sicherheit der verwendeten Kommunikationsprotokolle.
Mangelhafter Manipulationsschutz
Das Ergebnis: Zwar sichern alle cloud-basierten Tracking-Systeme die Datenübertragung mit dem verschlüsselten Protokoll HTTPS. Trotzdem gelang es den Forschern in allen Fällen, die aufgezeichneten Daten zu manipulieren. Von den untersuchten Fitness-Trackern nutzen die meisten keine Schutzmechanismen, nur vier Hersteller verwenden geringfügige Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unveränderbarkeit – der Daten. „Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen“, warnt Sadeghi, da weder Ende-zu-Ende-Verschlüsselung noch ein sonstiger Manipulationsschutz während der Datenübertragung verwendet werde.
Ein weiteres Sicherheitsrisiko von Fitness-Trackern, das die Cybersecurity-Experten der TU Darmstadt in ihrer Studie gefunden haben: Fünf der untersuchten Geräte synchronisieren die Fitness-Daten nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar auf dem Smartphone. Sollte das zugehörige Smartphone gestohlen oder mit einer Schadsoftware infiziert werden, können die Daten unautorisiert weitergegeben und manipuliert werden.
Sicherheitsverbesserungen leicht möglich
„Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten“, empfiehlt Sadeghi. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben, „die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren“.
Weltweiter Verkaufsschlager
Die Beliebtheit und Verbreitung von Fitness-Tracker nimmt kontinuierlich zu. Allein im ersten Quartal 2016 wurden weltweit knapp 20 Millionen solcher Tracker verkauft. Viele zeichnen per GPS die gelaufenen Kilometer auf, können Herzfrequenz und Puls messen oder feststellen, ob der Träger oder die Trägerin schläft. „Zunehmend werden diese Daten nicht für den ursprünglichen Zweck, sondern von Dritten verwendet“, erklärt Professor Sadeghi.
In den USA wurden Daten von Fitness-Trackern bereits vor Gericht als Beweismittel zugelassen, wie das amerikanische Forbes Magazine schon 2014 berichtete. Die Geräte würden von Polizisten und Juristen als „Black Box“ des menschlichen Körpers angesehen, schrieb die NY Daily News 2016. Manche Krankenversicherungen bieten seit jüngster Zeit niedrigere Tarife an, wenn die Kunden dafür Daten ihrer Fitness-Tracker zur Verfügung stellen. Das locke Betrüger an, die die aufgezeichneten Daten verändern, um sich finanzielle Vorteile zu erschleichen oder gar einen Gerichtsprozess zu manipulieren, kritisiert Sadeghi.