Fitness-Tracker mit Datenschutz? Das schafft fast kein Hersteller [Kommentar]

(Bild: flickr.com)

Fitness-Tracker werden in Zukunft wichtig. In den USA können Versicherte bei den Krankenkassen schon heute Boni durch das Tragen dieser Wearables erzielen. Doch wie sicher sind die Wearables eigentlich in punkto Datenschutz?

Eine Studie des IT-Sicherheits-Insitutes AV-Test bietet aktuell viel Inhalte, die mich zu diesem Kommentar bewegt haben. Dabei geht es vor allem um eines: Fitness-Tracker geben viel zu häufig bereitwillig ihre Daten an Drittpersonen weiter. Und das darf nicht sein.

Neun Wearables hat AV-Test unter die Lupe genommen. Die Fitness-Armbänder wurden nach der Verfügbarkeit in Deutschland und nach der Kompatibilität mit Smartphones verschiedener Hersteller ausgewählt. Produkte wie das Microsoft Band (in Deutschland nicht erhältlich) und Samsung-Wearables ( grundsätzlich nur mit Samsung Smartphones nutzbar) wurden also nicht getestet.

Im Fokus lagen folgende Fitness-Tracker:

Acer Liquid Leap
FitBit Charge
– Garmin Vivosmart
Huawei TalkBand B1
Jawbone Up24
LG Lifeband Touch FB84
– Polar Loop
Sony Smartband Talk SWR30
Withings Pulse Ox

All diese Wearables funktionieren über eine Verbindungs-App auf beliebigen Android-Smartphones. Demnach können sie auch von einer breiten Masse an Menschen gehackt werden, so zumindest die Theorie.

Fitness-Daten sind relevant für Krankenkassen

Fitness-Daten sind, zumindest hier in Europa, bisher nur für den Privatgebrauch relevant. Schaut man in die USA, stellt man aber fest, dass dort schon heute Krankenversicherungen eng mit den Fitness-Trackern zusammenarbeiten. Hier werden beispielsweise günstigere Tarife an Versicherte ausgegeben, die nachweislich etwas für ihren Körper tun. Der Nachweis erfolgt demnach über Fitness-Apps und Wearables.

Und auch wir in Deutschland sind von diesem System nicht mehr allzu weit entfernt, kein Wunder, lassen sich so doch für Krankenkassen ökonomisch perfekte Bedingungen schaffen. So wird Geld gespart und die Versicherten werden gezwungen sich zu bewegen, wollen sie weniger zahlen – oder nicht noch mehr zahlen.

Doch auch hier in Deutschland wird auf einen Fitness-Nachweis hingearbeitet. Aktuelle Beispiele wären hier die Barmer GEK oder die AOK, welche noch auf freiwilliger Basis die Apps ihren Kunden anbieten. Andere Krankenkassen wie die BKK-Achenbach geben zeitweise sogar kostenlose Fitness-Tracker an ihre Kunden aus.

Das Ziel solcher freiwilligen beziehungsweise kostenlosen Aktionen dürfte klar sein. Auf kurz oder lang werden wir vielleicht auch in Deutschland „gezwungen“ sein Fitness-Tracker zu nutzen, wollen wir Kosten sparen. Doch trage ich schon eine Fußfessel zum Kostensparen, dann doch bitteschön mit Datenschutz und allem drum und dran, möchte man meinen.

Wenn deine Fitness-Daten geklaut werden

Warum Fitness-Daten klauen? Hier hat AV-Test ein verständliches Beispiel gebracht. Stellt euch vor, eure Krankenkasse gibt euch einen günstigeren Tarif, wenn ihr euch auf einen Fitness-Tracker einlasst. Und natürlich müsst ihr dann auch den vorgeschrieben Sport pro Tag machen.

Nun, wir Menschen lassen uns ungerne etwas vorschreiben. Laut AV-Test ist es demnach in den USA so weit gegangen, dass Teilnehmer eines Bonusprogramms sich einfach in die Wearables beliebiger Personen gehackt haben. Dann schnell die Daten vom fremden Tracker auf das eigene Smartphone laden und schon ist der Sport für den Tag getan.

Bei manchen Wearables konnte AV-Test sogar die Smartwatches anderer Kunden manipulieren und Daten verfälschen. Denkbar wäre aber auch, dass Krankkassen gezielt ihre Kunden tracken, um unabhängig an die Fitness-Daten zu gelangen.

Wirkt vielleicht alles etwas an den Haaren herbeigezogen, könnte aber gut möglich sein. Und gerade deshalb sollten auch Fitness-Tracker vernünftig verschlüsselt und abgesichert sein, so möchte man meinen.

Einige Fitness-Tracker geben die Daten ohne Einschränkung einfach weiter

Das Sony Smartband Talk SWR30 und die Polar Loop hätten laut AV-Test die solidesten Sicherheitskonzepte. Diese würde sowohl ihren Code effektiv verschleiern als auch ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken ablegen. Und auch in Bezug auf eine unsichtbare Bluetooth-Verbindung wären die Tracker von Sony und Polar, aber auch Withings Pulse Ox die besten Produkte.

Eine unsichtbare Bluetooth-Verbindung ist insofern wichtig, als dass Fremde ansonsten nach Lust und Laune sich im jeweiligen Fitness-Tracker einloggen können. Hier verliert klar das Jawbone UP24, welches, wenn es die Verbindung zum Smartphone getrennt wird, mehrere Stunden ein Bluetooth-Signal öffentlich sendet.

 

Die komplette Studie von AV-Test findest du hier

Wesentlich unsicherer sind aber die Daten der User des FitBit Charge. Dieses verbindet sich allem Anschein nach mit jedem bluetoothfähigen Smartphone. Die benötigte App für das Charge ist kostenlos und auf sämtlichen HTC One M8 und M9 sogar schon vorinstalliert.

Und auch das kostengünstige Acer Liquid Leap hat anscheinend eine große Schwachstelle. So wurde von AV-Test eine einfache App programmiert, welche die Codes des Armbandes trug. Liquid Leap erkannte die Fake-App nicht und übertrug alle Daten freiwillig an das Smartphone. Das ist dann zusätzlich bedenklich, wenn man weiß, dass das Acer Liquid Leap auch von den Firmen Striiv (Touch), Tofasco (3 Plus Swipe) und Walgreens (Activity Tracker) unter einem anderen Namen vertrieben wird.

Fazit: Fitness-Tracker müssen wesentlich sicherer werden

Mir graut es etwas, wenn ich mir vorstelle, dass meine Krankenkasse mir so ein Wearable aufdrückt. Noch viel mehr habe ich aber Bedenken vor den Fitness-Trackern selbst. Ich kann mir nicht vorstellen, dass User ihre Daten mit Drittpersonen oder Hackern teilen möchten.

Und daher sollte dringlichst an der Sicherheit dieser Wearables seitens der Unternehmen gearbeitet werden. Es kann nicht sein, dass Smartphones, E-Mail Clients und Co. verschlüsselt und abgesichert werden und dann gibt es ein neues Spielzeug und der Datenschutz scheint vergessen. Gerade in Hinblick auf FitBit und Acer könnte man hier wohl mehr erwarten.

Doch letztendlich hätte keines der getesteten Produkte laut AV-Test die höchste Sicherheitsstufe erreicht und das ist ein Armutszeugnis. Macht euch also beim Kauf eures zukünftigen Wearables Gedanken, lest darüber und vor allem: Lest bei übergizmo. ;-)

(Titelbild: kris krüg via flickr.com)

Tags :Quellen:av-test.org

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising