Fitness-Tracker: Boom, kritische Sicherheitslücken und Überwachung durch Krankenkassen

Every Step You Fake: Das ist der Titel einer Studie der Non-Profit-Organisation Open Effect und der Universität von Toronto. Bei der sorgfältigen Untersuchung von 8 gängigen Fitness-Trackern und den dazu gehörenden Gesundheits-Apps haben die kanadischen Forscher beträchtliche und gefährliche Sicherheitslücken entdeckt. Getestet wurden die Produkte: 

• Apple Watch
• Basis Peak
• Fitbit Charge HR
• Garmin Vivismart
• Jawbone Up 2
• Mio Fuse
• Withings Pulse O2
• Xaomi Mi Band

Die Forscher fanden heraus, dass Anwender bei mehreren Modellen möglichen Angriffen von Hackern ausgesetzt werden. Und das selbst, wenn die Wearables gerade nicht verwendet werden oder ausgeschaltet sind. Fitness-Armbänder zeichnen sehr viele persönliche Daten auf. Neben Vitaldaten sind das beispielsweise auch Bewegungsdaten, die in manchen Fällen auch ohne Wissen des Nutzers durch Dritte abgegriffen werden können. Selbst das Ändern respektive Löschen und sogar das Übertragen von komplett gefälschten Daten (Fake-Daten) ist den Forschern gelungen.

Die wichtigsten Ergebnisse der Studie zur Sicherheit von Fitnesstrackern: 

• 7 von 8 Fitness-Trackern senden kontinuierlich eindeutige Kennungen (Bluetooth Media Access Control Adresse), womit es möglich ist, die Träger durch eine langfristige Standortüberwachung zu lokalisieren, wenn das Gerät nicht gekoppelt ist und mit einem mobilen Gerät verbunden ist.
• Apps von Jawbone und Withings können genutzt werden, um gefälschte Fitnessband-Datensätze zu erstellen (Fake-Daten). Solche gefälschten Aufzeichnungen stellen grundsätzlich die Zuverlässigkeit dieser Fitness-Tracker-Daten bei Verwendung in Gerichtsverfahren und von Versicherungen in Frage.
• Die Garmin Connect Anwendungen (iPhone und Android) und Withings Health Mate (Android) Anwendung haben Sicherheitslücken, die es unberechtigten Drittanbietern ermöglichen, zu lesen, zu schreiben und Benutzerdaten löschen.
• Garmin Connect verwendet keine Sicherheitstechniken zur grundsätzlichen Datenübertragung für seine iOS oder Android Apps und macht die Fitnessdaten daher anfällig für Überwachung oder Manipulation durch Dritte.

Im Hinblick auf die eklatanten Sicherheitslücken und dem grundsätzliche problematischen Umgang mit diesen sehr persönlichen Daten gießt nun die Techniker-Krankenkasse noch mehr Öl ins Feuer. Wie die Süddeutsche Zeitung berichtete, will Jens Baas als Chef der Techniker-Krankenkasse den Versicherten gratis Fitnesstracker anlegen. Die Absicht dahinter ist klar: Baas will die elektronische Patientenakte mit brisanten Fitness-Tracker-Daten anreichern. Laut Baas könne damit die Krankenkasse künftig die Krankheiten, den Puls, das Ausmaß der Bewegung und so weiter analysieren, zitiert die SZ.

Passend zu diesem Thema gab heute der Digitalverband Bitkom auch eine Zusammenfassung der Konferenz von Bundesministerium der Justiz und für Verbraucherschutz (BMJV) und Bitkom zum Thema "Am Puls der Zeit? - Wearables und Gesundheits-Apps" bekannt. Eine im Rahmen des Safer Internet Day vorgestellte Verbraucherbefragung des Markt- und Meinungsforschungsunternehmens YouGov hat ergeben, dass viele Verbraucherinnen und Verbraucher Risiken bei der Nutzung von Wearables sehen: 32 % der Befragten befürchteten falsche Messwerte, 31 % falsche Gesundheitsratschläge und 39 % sahen die Verwendung der Daten durch Dritte als Problem; nur 28 % der Befragten sahen keine Probleme.

Besonders sensibel reagierten die Verbraucherinnen und Verbraucher beim Datenschutz: 32 % stimmten der Aussage zu, dass die persönlichen Gesundheitsdaten niemanden etwas angingen, weitere 49 % wollten selber bestimmen, wer die Gesundheitsdaten erhält, nur 5 % der Befragten war es egal, wer auf die persönlichen Gesundheitsdaten Zugriff hat.

Quelle(n)