02.05.2017 Datenschutz bei Smartwatch und Fitness-Tracker

Wie hoch ist das Sicherheitsrisiko bei Wearables?

Von: Ina Schlücker

Mit den von Wearables generierten Werten sollen Ernährung, Wohlbefinden und sportliche Ausdauer verbessert werden. Zugleich bietet sich ein attraktiver Angriffspunkt für Cyber-Kriminelle.

Sicherheitsrisiko Wearable

Sie kennen den Bio- und Schlafrhythmus ihrer Träger, ihre Pulsfrequenz und ihren Cholesterinspiegel: Mit den von Wearables wie Smartwatches oder Fitnessarmbändern generierten Werten sollen die Ernährung, das Wohlbefinden oder die sportliche Ausdauer verbessert werden. Im Zuge dessen wandern permanent sehr persönliche Daten von den tragbaren Devices auf Smartphones und fließen weiter in diverse Mobile-Apps oder Web-Portale ein. Für Cyber-Angreifer ergeben sich so gleich mehrere attraktive Angriffsziele.

Sich einen Überblick über das aktuelle Angebot an Smartwatches, Fitnessarmbändern, Laufuhren oder anderen Trackern zu verschaffen, gestaltet sich aufgrund unzähliger Anbieter und Produkte recht schwierig. Denn neben den Smartwatch-Marktführern Apple und Samsung tummeln sich weitere Hightech-Anbieter wie Huawei mit der Watch 2 oder Sony mit der Smartwatch 3 am Markt. Darüber hinaus warteten zuletzt auch Citizen, Fossil, Tag Heuer oder Tissot und Edeldesigner wie Michael Kors mit smarten Uhren oder anderweitigen tragbaren Devices auf. Hinzu kommen die Geräte von Fitnessexperten wie Fitbit oder Jawbone, und nicht zu vergessen die von ausgewiesenen Laufuhrspezialisten wie Garmin oder Polar.

„Durch Wearables gesammelte Daten sind sehr persönliche wie Gewicht, Ernährungsweise oder Herzfrequenz. Dementsprechend sind Angriffe darauf auch als Angriff auf die Privatsphäre zu sehen“, betont Christian Funk von Kaspersky Lab.

In der Regel synchronisieren alle Datenuhren und Fitnessarmbänder die erhobenen Messwerte mit dem Smartphone entweder automatisch oder – insbesondere, wenn man die Akkuleistung seines Mobilgeräts schonen möchte – manuell. „Die Mehrheit der Wearables nutzt für die Datenübertragung mit dem Mobilgerät des Nutzers den Bluetooth-Standard“, berichtet Bogdan Botezatu, Senior E-Threat Analyst bei Bitdefender. Manche Geräte ermöglichen überdies auch Wireless-LAN-Verbindungen oder einen Anschluss per USB. Der Hersteller Garmin etwa nutzt für seine Wearables – darunter Fitness-Tracker oder Laufuhren – Bluetooth-, WIFI- und ANT+-Verbindungen, berichtet Jörn Watzke, Director Global B2B Sales and Mobile Business bei dem Anbieter. Bei Ant+ handelt es sich um ein Funkprotokoll für Messinstrumente wie Körperwaagen, Pulsmessgeräte oder Trittfrequenzmesser.

Unsicherheitsfaktor Bluetooth

Trotz der weiten Verbreitung gilt Bluetooth nicht per se als allersicherste Übertragungstechnologie. „In der Tat gab es bei Wearables Sicherheitslücken sowohl in der Implementierung von Bluetooth als auch der Cloud-Kommunikation durch die verwaltende App. In beiden Fällen ist es möglich, persönliche Daten der Nutzer abzugreifen“, berichtet Christian Funk, Leiter des deutschen Forschungs- und Analyseteams bei Kaspersky Lab. Vor einiger Zeit hat der Sicherheitsanbieter in einem Fitnessband eine Sicherheitslücke gefunden, die es zuließ, dass sich jedes Gerät mit dem Device verbinden ließ und Informationen erhielt – ohne dass der eigentliche Besitzer etwas davon mitbekam. Desweiteren lassen laut Bogdan Botezatu einige Geräte auch Raum für Angriffe, da sie bei der erstmaligen Verbindung nicht nach einem Pincode fragen.

Dies ist ein Artikel aus unserer neuen Print-Ausgabe. Bestellen Sie ein kostenfreies Probe-Abo frei Haus.

Nicht nur die Verbindung zwischen Wearable und Smartphone ist kritisch. Vielmehr kann auch der jeweilige Speicherort der persönlichen Daten zum Sicherheitsrisiko werden. Zumeist werden die erhobenen Fitness- oder Gesundheitswerte in einer App oder einem dahinterstehenden Web-Portal gespeichert und analysiert. Aufgrund der eingangs erwähnten schieren Masse an Wearable-Herstellern lassen sich auch die Apps und Portale nur schwer überblicken. Bogdan Botezatu skizziert die Problematik wie folgt: „Die meisten Wearables sind nicht einmal auf nur einen Dienst geeicht und wissen im Prinzip nicht, wohin sie senden dürfen und wohin nicht.“ Überraschenderweise sei diese Art von Geräten gar die beliebteste Sorte, da es sich meist um billige Produkte ohne Qualitätsmarke handelt, die man für wenige Euro in Asien bestellen kann. „Am Ende könnte der Nutzer jedoch mit seiner Privatsphäre bezahlen, falls das Unternehmen im Hintergrund gehackt wird, oder wenn die Daten an Marketing- und Dritt-Unternehmen weiterverkauft werden“, warnt Botezatu.

Vorsicht vor Datendieben

Sollten Unbefugte Zugriff auf persönliche Daten wie Gewicht, Essgewohnheiten oder Herzfrequenz Zugriff nehmen können, kann dies für die Betroffenen böse Folgen nach sich ziehen. Eine mögliche Konsequenz ist das sogenannte „Doxing“, wobei der Nutzer mit dem Veröffentlichen seiner Daten erpresst wird. „Durch die Bluetooth-Verbindung zwischen Wearable und Smartphone ist auch eine Identifizierung möglich, sodass ein Träger bei der täglichen Joggingrunde überwacht werden könnte“, führt Christian Funk ein weiteres Szenario an.

Werden die verbreiteten smarten Uhren von Apple und Samsung künftig verstärkt für mobiles Bezahlen oder andere Zahlungsvorgänge eingesetzt, werden tragbare Devices noch stärker in den Fokus von Cyber-Kriminellen rücken, prognostiziert Josef Meier, Manager Sales Engineering Germany bei Fortinet. Attackiert wird dabei vor allem die für das mobile Bezahlen genutzte Near Field Communication (NFC).

„Bluetooth birgt sicherlich Risiken, sofern keine Authentifizierungsmethoden genutzt werden. Daher sollte jede Bluetooth-Verbindung zumindest mit einer PIN abgesichert werden“, rät Josef Meier von Fortinet.

Zunehmend tragen auch immer mehr Führungskräfte und Manager eine Smartwatch am Handgelenk. Und es gibt Unternehmen, die Fitness-Tracker gezielt für ihre Angestellten entdeckt haben. „Durch Incentive-Programme werden diese sportlich angespornt, wobei sich diese Informationen auch anderweitig auswerten lassen“, ergänzt Christian Funk. In diesem Zusammenhang sind laut Josef Meier bereits Attacken bekannt, die das Wearable Device als Brücke nutzen, um auf Firmendaten zugreifen zu können. Je nach Angriffsszenario könnten damit nicht nur Gesundheitsdaten der Mitarbeiter ausspioniert werden, sondern auch sensible Informationen über das Benutzerverhalten bis hin zu Authentifizierungsdaten wie Fingerprints oder Login-Daten für etwaige Unternehmens- oder E-Mail-Zugänge.

Auf Datenschutz achten

Die angeführten Beispiele zeigen auf, wie schnell persönliche Daten an die Falschen geraten können. Um seine Gesundheitsdaten in sicheren Händen zu wissen, sollte man sich laut Bogdan Botezatu daher nur Geräte von Herstellern mit gutem Ruf anschaffen, die gleichzeitig hohen Wert auf Datenschutz legen. Im Zuge dessen rät Josef Meier, vor der Anmeldung oder gar der Preisgabe privater Daten die diversen Apps oder Web-Portale auf ihre Seriosität hin zu überprüfen. „Weiterhin sollte man sich die Datenschutzrichtlinien durchlesen und auf verschlüsselte Verbindungen achten. Sofern hier Zweifel bestehen, besser einen anderen Anbieter auswählen“, so Meier weiter. Darüber hinaus sollten die tragbaren Devices stets die Eingabe eines Pincodes verlangen oder zumindest einen Button zum Verbindungsaufbau mit der App auf dem Smartphone besitzen.

Doch Meier nimmt nicht nur die Endnutzer in die Pflicht, vielmehr seien auch die Hersteller von Wearables gefragt. Denn sie tragen die Hauptverantwortung dafür, Sicherheitsmaßnahmen zu implementieren und entsprechend sichere Plattformen zur Verfügung zu stellen. Ein Anliegen, welches man sich beim Hersteller Garmin zu Herzen nimmt. „Wir geben keine Daten an Dritte inklusive Web-Portale weiter, wenn der User nicht explizit zustimmt. Diese Freigabe erfolgt durch eine Bestätigung auf eine Einladungs-E-Mail von dem Anbieter und kann jederzeit widerrufen werden“, sagt Jörn Watzke. Der Betreiber der Web-Portale sollte eine offizielle Webseite mit einer veröffentlichten Datenschutzerklärung haben, in welcher die Bedingungen genau beschrieben sind. Grundsätzlich arbeite der Hersteller nur mit Partnern zusammen, die eine solche Datenschutzerklärung veröffentlichen.


Bildquelle: Thinkstock/iStock

©2017 Alle Rechte bei MEDIENHAUS Verlag GmbH