t3n News Digitales Leben

Datensicherheit bei Fitness-Trackern

Datensicherheit bei Fitness-Trackern: Grobe Mängel bei sieben von acht Anbietern

Wie steht es um die Datensicherheit der Fitness-Tracker von , Jawbone, Fitbit und Co.? Eine kanadische ging der Frage nach. Das sind die Ergebnisse.

Datensicherheit bei Fitness-Trackern: Grobe Mängel bei sieben von acht Anbietern

(Foto: Kayla Itsines)

Fitness-Tracker haben sich einen festen Platz im Leben vieler Sportbegeisterter gesichert. Mit ihnen werden Trainingsverläufe gemessen und Erfolge sichtbar gemacht. Doch auch Menschen, die keinen Leistungssport betreiben, greifen immer wieder zu den kleinen Geräten, um beispielsweise Schritte zu zählen, Schlafanalysen zu erstellen oder den Kalorienverbrauch zu errechnen. Auf die Möglichkeit, tiefere Informationen über das eigene Ich zu gewinnen, greifen Nutzer allzu gerne zurück. Dabei zeigen viele Bewegungsmesser immer wieder grobe Mängel bezüglich der Datensicherheit auf.

Fitness-Tracker unter die Lupe genommen: Wie steht es um die Datensicherheit von Jawbone, Fitbit und Co.?

Jawbone, Fitbit und Co.: Studie deckt erhebliche Sicherheitsmängel bei Fitness-Trackern auf. (Foto: Shutterstock-Syda Productions)
Jawbone, Fitbit und Co.: Studie deckt erhebliche Sicherheitsmängel bei Fitness-Trackern auf. (Foto: Shutterstock-Syda Productions)

Die kanadische Non-Profit-Organisation Open Effect hat jetzt in Kooperation mit Forschern des Citizen Lab der Universität von Toronto einige beliebte Fitness-Tracker daraufhin untersucht, welche Daten von den Herstellern als „persönliche Daten“ eingestuft und wie diese geschützt werden. Auf den Prüfstand wurden acht Bewegungsmesser gestellt – darunter Geräte von Apple, Basis, Fitbit, Garmin, Jawbone, Withings und Xiaomi aufgrund ihrer Popularität sowie zusätzlich ein Tracker der kanadischen Marke Mio, der hierzulande jedoch kaum bekannt ist.

Wie die Forscher bemerkten, seien nicht wenige Sicherheitsbedenken gegenüber den Geräten schon aufgrund der fehlenden Regulierung des anglo-amerikanischen Marktes gerechtfertigt. Besonders kritisch sei zu betrachten, dass es sowohl in den USA als auch in Kanada kaum klare Definitionen gäbe, welche Informationen als persönliche Daten gelten und deshalb einen erhöhten Schutz genießen sollten.

Datensicherheit bei Fitness-Trackern: Diese acht Geräten wurden getestet. (Screenshot: Open Effect)
Datensicherheit bei Fitness-Trackern: Diese acht Geräten wurden getestet. (Screenshot: Open Effect)

Anders als in den USA und Kanada gelten in der EU sogenannte „Lifestyle“-Daten bereits dann als persönliche Daten, sobald sie Rückschlüsse über die Gesundheit einer Person zulassen. Das trifft vor allem dann zu, wenn es die Absicht einer Anwendung ist, die Gesundheit eines Menschen zu überwachen – unabhängig davon, ob es sich um einen medizinischen Kontext handelt.

Viele der Hersteller behalten sich zudem die Rechte an den Nutzerdaten vor, um sie kommerziell zu nutzen oder an staatliche Behörden weiterzugeben. Dieser Umstand dürfte jedoch Anbetracht dessen, dass es sich bei den Anbietern um private Unternehmen handelt, kaum überraschen. Vor allem bezüglich der Weitergabe der Daten an staatliche Stellen können viele Anbieter sich sowieso kaum wehren.

Überwachung: Nur Apple hat Bluetooth-LE-Privacy implementiert

Auch die Sicherheit der technischen Übertragung wurde überprüft. Dabei ging es vor allem darum, ob der Datentransfer verschlüsselt abläuft, wie anfällig die Übertragung für Manipulationen ist und ob die sogenannte Bluetooth-LE-Privacy-Technlogie implementiert ist, die die spezifische MAC Adresse eines Geräts regelmäßig wechselt, um eine andauernde Überwachung zu erschweren.

Fitness-Tracker unter die Lupe genommen: Technische Zusammenfassung der getesteten Geräte. (Screenshot: Open Effect)
Fitness-Tracker unter die Lupe genommen: Technische Zusammenfassung der getesteten Geräte. (Screenshot: Open Effect)

Dabei stellten die Wissenschaftler fest, dass das Gerät von Garmin als einziger Tracker sehr grobe Sicherheitsmängel aufweist und die Daten unverschlüsselt überträgt. Bei Garmin und Withings wurden zudem Sicherheitslücken entdeckt, die es Dritten erlauben, die jeweiligen Nutzerdaten einzusehen, sie zu bearbeiten und sogar zu löschen. Bei Jawbone and Withings ist es Nutzern zudem möglich, eigene Datensätze hochzuladen, was die Glaubwürdigkeit von Fitness-Daten etwa bei Gerichtsprozessen oder Versicherungsprogrammen infrage stelle.

Die oben erwähnte Bluetooth-LE-Privacy-Technologie wurde indes nur von Apple implementiert. Alle anderen Bewegungsmesser zeichnen permanent eindeutige Zuordnungsmerkmale auf, durch die unter Umständen – etwa bei einer eingeschalteten GPS-Verbindung – die Position des Trägers ständig überwacht werden kann.

Hersteller von Fitness-Trackern sollten besser informieren

Wie die Forscher wissen lassen, wurden die sieben Hersteller mit den Sicherheitsmängeln vor der Veröffentlichung der Ergebnisse kontaktiert. Lediglich Fitbit, Basis und Mio reagierten und zeigten Willen, die Zustände zu verbessern. Im Fazit der Untersuchungen stellten die Forscher zudem die Forderung auf, dass die Hersteller ihre Kunden noch besser über die Sicherheitsvorkehrungen und den Datenschutz informieren müssen, damit diejenigen eine ausgereifte Kaufentscheidung treffen können.

via netzpolitik.org

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Eine Antwort
  1. von Trackern anhand MAC-Adressen am 04.02.2016 (15:30 Uhr)

    Ich fordere ja schon lange das man sowas fertig zertifiziert zukauft und es besser und zentraler kontrolliert, upgedatet und verbessert wird. Aber die EU hat natürlich viel wichtigeres zu tun...
    Die Hersteller sind dazu nicht in der Lage. Die klassischen Maschinen-Hersteller oder Armaturen-Hersteller sollen China&NSA-Abwehrfähige IT-Mitarbeiter haben und bezahlen welche verhindern das der Feind alle Warmwasser/Heizung-Gasbrenner mitten im Winter im Plattenbau abschaltet oder in der Großfabrik oder Schule oder Ministerium alle Kaffeemaschinen einschaltet und die Wasser-Hähne einschaltet und alle Licher ausschaltet ? na also.
    Die sollen weiter ihre guten Produkte machen UND DER STAAT UND ALLE IT-FIRMEN UND DIE DATEV haften und sorgen für die digitale und SICHERE Steuerung. Die Glühbirnen und Lampen und Möbel kauft man ja auch separat obwohl sie aneinander befestigt sind... Also auch die digitalen Steuerungen die per Gesetz (Hue ist gemeint) KOMPATIBEL wie USB, HDMI usw. sein müssen...
    Aber 10-50 verschiedene Hausbus-Systeme ohne Nachkaufgarantie (Aussteuerwaren haben 20-30 Jahre !!! Nachkaufgarantie) sind anscheinend ja viel besser... Rot-Grün hat seine Fortschritts-Förder-und-Verbreitungs-Fähigkeit 2000 schon bewiesen...

    Aber sowas würde ja funktionieren und wäre wohl zu einfach und der Bürger hätte voll die Vorteile... weil er sieht wo die Schalter im Haus an sind oder welche Temperaturen herrschen...
    Also lieber die kleinen Kunden im Regen stehen lassen.
    Und wenn man Prominente, Großverdiener, Politiker, Cashburner, Insolvenzbetrüger, Bilderberger oder Bonzen beim Vorbeigehen oder ihre Autos beim Vorbeifahren an ihren Mac-Adressen oder Body-Trackern oder Wearables erkennen würde, wird man abgemahnt...

    Das man mit RFIDs die Leute beim Reingehen in Kaufhäusern die Produkte (Rolex oder Fälschung, Adidas oder Fälschung, welche Unterwäsche: Marke oder Discounter, Handtasche Marke oder Discounter oder Fälschung...) erkennt und im preislich passenden Stockwerk rauslässt und passende Berater hinschickt und den Kunden beim Herumlaufen wie Klickstrecken im Onlineshop trackern kann und Kunden erkennen könnte die was suchen habe ich schon vor 10 Jahren vorhergesagt...
    MAC-Adressen überall machen dasselbe... Die totale digitale Erkennung von Produkt, Preis, Identität... Und das gibts wohl auch bei IPV6...

    Man kann die iPhone-User und ihren Reichtum also digital erkennen und gezielt von Räuberbanden am Flughafen "abziehen" lassen...
    Vielleicht ist Apple aber auch die einzige Firma wo das nicht geht weil man nur weiss das es ein (evtl ur-altes) Apple-Gerät ist und nicht mal ob es ein Tracker, die Watch, die VR-Brille oder natürlich ein iPhone oder iPad oder nur ein iPod oder eine Bluetooth-Tastatur ist.
    Apple ist mal wieder besser...
    Warum hat Linux seine Überlegenheit nicht bewiesen ?

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Studie
Studie: Die bestbezahlten CEOs performen am schlechtesten
Studie: Die bestbezahlten CEOs performen am schlechtesten

Gut bezahlte Chefs erbringen die besten Leistungen? Nein. Eine neue Studie attestiert vor allem Unternehmen mit geringen CEO-Gehältern großen Erfolg. » weiterlesen

Studie: Nicht Anonymität sondern Klarnamen machen Trolle so richtig aggressiv
Studie: Nicht Anonymität sondern Klarnamen machen Trolle so richtig aggressiv

Viele Menschen glauben, dass gerade die geschützte Anonymität ein Nährboden für die schlimmsten Internet-Trolle ist. Eine neue Studie kommt jedoch zu einem gänzlich anderen Ergebnis. » weiterlesen

Studie: Hyperloop-Strecke zwischen Helsinki und Stockholm kostet 19 Milliarden Euro
Studie: Hyperloop-Strecke zwischen Helsinki und Stockholm kostet 19 Milliarden Euro

Hyperloop One, einer der beiden Entwickler von Elon Musks Schnellzug-System, ließ eine Machbarkeitsstudie für die Strecke durchführen. Die Fahrtzeit zwischen beiden Städten wäre demnach sehr kurz. » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?