Studie zu Fitness-Trackern: Sicherheitsmängel bei sieben von acht Anbietern

Wie sicher sind unsere Fitness-Daten? | CC BY-NC-ND 2.0 by dalioPhoto

Fitness-Tracker sollen ihre Träger_innen motivieren, aktiver und gesünder zu leben – dafür überwachen sie die Herzfrequenz, zählen Schritte, erstellen Schlafanalysen und errechnen den Kalorien­verbrauch. Student_innen der Oral Roberts University, einer privaten Hochschule im US-Bundesstaat Oklahoma, sind sogar verpflichtet, die Fitnessarmbänder zu tragen, um ihre Bewegungen aufzuzeichnen. „Früher mussten sie auf einem Zettel festhalten, wie viel Sport sie machen. Mit dem Tracker geht das jetzt viel einfacher“, so die Leiterin Kathaleen Reid-Martinez. Doch welche Daten werden von den Fitnessarmbändern plus dazugehörigen Apps eigentlich gesammelt und wie gehen die Hersteller damit um? Andrew Hilts von der kanadischen Non-Profit-Organisation Open Effect hat in Kooperation mit Christopher Parsons und Jeffrey Knockel vom Citizen Lab der University of Toronto acht beliebte Fitness-Tracker daraufhin untersucht, welche Daten von den Herstellern als „persönliche Daten“ eingestuft und wie diese geschützt werden.

Gestern veröffentlichten Open Effect und das Ciziten Lab erste Ergebnisse ihrer Untersuchung (Every Step You Fake. A Comparative Analysis of Fitness Tracker Privacy and Security, pdf). In den veröffentlichten Teilen 1 und 2 werden einerseits die Forschungsfragen näher erläutert sowie erste technische Resultate vorgestellt. Untersucht wurden acht Fitness-Tracker – sieben von ihnen aufgrund ihrer Popularität (Apple, Basis, Fitbit, Garmin, Jawbone, Withings, Xiaom) sowie zusätzlich ein Tracker der kanadischen Marke Mio.

EU-Datenschutzbeauftragter: Fitness-Daten sind persönliche Daten

Sorgen um die Sicherheit der Daten seien hinsichtlich einer fehlenden Regulation meist legitim, so die Wissenschaftler. Viele der Hersteller behalten sich die Rechte an den Daten ihrer Nutzer_innen vor, sie etwa kommerziell zu nutzen, an staatliche Behörden weiterzugeben, Analysen durchzuführen oder im Falle von Insolvenz oder Fusionen weiterhin darüber zu verfügen. Die Daten können zudem in individueller oder aggregierter Form weitergegeben werden, wobei die Hersteller sie meist anonymisieren – darauf wird im dritten Teil der Untersuchung eingegangen. Während in den USA und in Kanada kaum klare Richtlinien existieren und Daten aus Fitness-Trackern teilweise nicht einmal als Gesundheitsdaten gelten, definierte der Europäische Datenschutzbeauftragte Giovanni Buttarelli im Mai 2015 „Lifestyle“ Daten als persönliche Daten, wenn sie Rückschlüsse über die Gesundheit einer Person zulassen, „vor allem wenn es die Absicht einer Anwendung ist, die Gesundheit oder das Wohlergehen eines Individuums zu überwachen (unabhängig davon ob es sich um einen medizinischen oder anderweitigen Kontext handelt)“ (Mobile Health. Reconciling technological innovation with data protection, pdf, S. 5).

Nur Apple besteht die Sicherheitsüberprüfung

Technisch prüften die Forscher, ob die Fitness-Daten verschlüsselt hochgeladen werden, wie anfällig sie während der Übertragung für Manipulationen sind und ob Bluetooth LE Privacy implementiert ist – diese Funktion wechselt die spezifische MAC Adresse eines Geräts regelmäßig, um eine andauernde Überwachung zu erschweren. Außer dem Tracker von Garmin übertragen alle Fitnessarmbänder ihre Daten verschlüsselt. Bei Garmin und Whithings fanden sich zudem Sicherheitslücken, die es Dritten erlauben, Nutzer-Daten einzusehen, zu erstellen und zu löschen. Bei Jawbone and Withings ist es Nutzer_innen möglich, eigene, falsche Datensätze hochzuladen – dies stelle die Glaubwürdigkeit von Fitness-Tracker-Daten etwa für Gerichtsprozesse oder Versicherungsprogramme infrage, so die Wissenschaftler. Da nur die Apple Watch Bluetooth LE Privacy nutzt, senden die sieben anderen Tracker permanent eindeutige Zuordnungsmerkmale, durch die unter Umständen etwa die Position ihrer Träger_innen überwacht werden kann.

Die Forscher kontaktierten im November die sieben Hersteller, bei denen Sicherheitsmängel gefunden wurden – nur Fitbit, Basis und Mio reagierten darauf und zeigten Dialogbereitschaft. Hilts, Parsons und Knockel fordern in einem ersten Fazit, dass Konsument_innen besser über die Sicherheitsvorkehrungen und den Datenschutz bei Fitness-Trackern in Kenntnis gesetzt werden sollen. Nur so können sie entscheiden, ob sie sich mit der Nutzung ihrer Fitness-Daten wohl fühlen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Wenn ich schon sehe, dass von 15 Fitness-Tracker 14 nur richtig funktionieren wenn man die Daten schön in eine Cloud des Herstellers hochlädt, damit eine noch so tolle Grafik erstellt werden kann, dann muss ich wundern das die Teile überhaupt gekauft werden. Am besten dann noch schön die Daten der Nutzer an Firmen oder besser Versicherungen weiter verkaufen. Nein, würden die natürlich nie machen…

  2. So ging es schon immer: Mit Sensor messen, Gerät mit PC verbinden und Daten am eigenen PC speichern. Mit lokalem Programm Auswertung und Grafik erstellen.

    Nun die eine Million-Dollar-Frage an die dümmsten aller User:
    Warum nur soll man plötzlich dafür eine Internetverbindung brauchen und die Daten auf einem fremden Server (=Cloud) speichern?

    1. Die potenziellen Nutzer (Rechtschreib_verdrehungen hier einsetzen) haben keine Ahnung von Computern. Die wissen nicht was lokal ist, interessiert die leider auch nicht. Überhaupt hat in den Augen der „Fitnessarmband“-Käufer dieses Gerät wahrscheinlich keinen Daten- oder Computerbezug. Es ist irgendein Lifestyle-Produkt wie früher die Statement-Armbänder aus Gummi. Allgemein sind Computer für viele dieser Menschen Lifestyle-Produkte. Früher war es auch möglich, mit dieser Herangehensweise ein Gerät zu verwenden – doch durch die Internetisierung ist es eigentlich fatal und naiv geworden. Bis das bei den Käufern ankommt, wird leider noch viel Zeit vergehen, die von der Wirtschaft zum Datenmissbrauch und kurzatmigen Weiterentwickeln neuer vollendeter Tatsachen genutzt wird.

  3. Danke für den Artikel!

    Ist es nicht eine politisch vollkommen ignorierte/vernachlässigte Frage, dem Besitzer/Eigentümer eines Gerätes *prinzipiell* zuerst den Zugang zu den Rohdaten inkl. Format-Beschreibung zu geben und dann erst das mögliche Hochladen zu einem Anbieter *optional* zu ermöglichen?

    Ist es nicht ein Zeichen von Freiheit im Sinne unserer freiheitlich demokratischen Grundordnung, hier nicht von den Geräten des IoT bevormundet und regelrecht entmündigt zu werden?

    Wenn das Hochladen der Daten dieser Fitness-Tracker optional wäre, dann könnten die Nutzer z.B. bei der Sorge um ihre Daten auf den Upload leicht verzichten – und anderen Dienste- oder Software-Anbietern die Chance geben, Lösungen im Sinne der Kunden zu entwickeln. Wenn die Macht über die Daten wieder beim Erzeuger bzw. Besitzer/Eigentümer liegt, dann kann er sich frei entscheiden, was damit geschehen soll.

    Und wird mit einer klaren rechtlichen Trennung von Produkt und „vom Produkt erfasste Daten“ nicht ein Dienstleistungs-Markt für die Verarbeitung dieser Produkt-generierten Daten geschaffen, der eine viel größere Wertschöpfung besitzt, als wenn man es den Herstellern erlaubt, die erzeugten Daten kostenlos und in proprietären Formaten abzugreifen?

    Es wäre IMO eine (Netz-)politische Diskussion notwendig, um die Interessen der Geräte-Eigentümer, der Geräte-Hersteller und auch von Dienste- und SW-Drittanbietern abzuwägen. Vor allem wäre klar zu stellen, wer die Macht darüber soll, was mit den Daten geschieht: Der Besitzer kann sich ja entscheiden, sie dem Hersteller zu schenken – er sollte aber in jedem Fall gefragt werden und auch eine realistische Option haben, die Daten selber zu verarbeiten oder Dritten zur Verarbeitung und z.B. zur Beratung zu übermitteln.

    1. Eine derartige Produktpolitik wurde lange Zeit von vielen Branchen ausprobiert. Eine App oder ein Gerät erzeugt irgendwelche Daten, die dem Nutzer dienen. Weil jede Herstellerfirma sich als fortschrittlich empfand, musste „irgendwas mit Internet“ dazuentwickelt werden. Meistens war das Ergebnis eine sinnlose Upload- und Online-Vergleichsfunktion. Ich habe keine Zahlen, es kam mir aber immer wie ein erfolgloser, ungeliebter Kostenaufwand vor. Nun ist die „Cloud“ in und Firmen wollen wieder Trendsetter sein … sie möchten die Daten nun wirklich haben. Und wie bekommt die recht rationalen Kunden dazu, die uninteressante, unnötige Uploadfunktion zu nutzen? Ausschließlich durch Zwang … und einen Automatisierungsgrad, der die Bequemlichkeit und mangelhaften Computerkenntnisse der Kunden ausnutzt.

      Ich bin ihrer Meinung, aber vermute nicht, dass das vorgeschlagene Vorgehen bei irgendeiner Partei auf Interesse stoßen würde. :(

      1. Im Grunde fängt das Problem für mich schon damit an das man sich seinen Cloud Dienst nicht selbst aussuchen kann wenn man einen nutzen will. Backups und diverse Daten landen dann leider doch immer bei Google, Apple oder Microsoft wenn man denn ein Smartphone im normalen Umfang und normaler Kenntnis nutzt.
        Auch bei Fitness-Trackern muss man sich als Konsument und Hochleistungsdatenkuh überlegen was man will. Fängt damit an ob GPS im Armband sein muss.

        Offline Funktionen usw. werden sicher wenig genutzt weil im App-Zeitalter ja 98% der User zu eingeschränkt wären etwas außerhalb der Klick and get it installed Vorgehensweise auf ihrem Computer zu installieren. Je einfacher es ist und je weniger Hirn man braucht umso leichter wird es auch den Konsumenten auszuquetschen.

  4. Wann kann ich endlich detaillierte Daten über die tägliche Beschaffenheit meines Stuhlgangs auf einen US-Server schicken?! Wann kommt die „smart toilet“, die mir auch noch beim Scheißen, nun ja, hinterher schnüffelt?

  5. Für Automatikuhren gibts Aufbewahrungssysteme, die irgendwie wackeln, damit sie aufgezogen werden. Sowas wirds wohl auch bald für solche Arm(uts)bänder geben.
    Wer hat son Ding und legt es mal auf ne Küchen- oder Waschmaschine, den Vibrator oder…

  6. It’s not a bug, it’s a feature!

    Diese Dinger werden gerade dazu geschaffen, ein großes Loch in die spärliche verbliebene Privatsphäre ihrer Benutzer zu reißen. Freue mich schon auf Version 2.0: Zwei Armbänder mit einer stylischen Kette dazwischen.

    1. Ich finde es gar nicht so schlimm, daß solche Dinger entwickelt werden. Das ist primär wohl die gleiche Kundschaft, wenn wohl auch generationsverschoben, die nicht freihändig durch den Wald rennen kann, sondern sich an Stöckern festhalten muß, wenn die nur nicht Skistock heißen, sonder Norditsch Working dransteht.
      Blödheit ist das erste Menschenrecht!!!
      Daß diese Dummheit dann ausgenutzt wird,… mag ich schon fast nicht mehr anprangern.
      Übel wirds natürlich beim Zwang, sich solchen Kram umbinden zu müssen. Daher ja meine idee mit der Fakeplatte für die Dinger. Leider hat sich ja noch keiner getraut, sich zu outen, sowas zu besitzen. ;-)) Mal sehen, ob ich mir sowas besorge und auf meine alten Tage noch zum Hacker werde. :D

  7. Leider hat sich bis heute nichts daran geändert. Ich habe festgestellt, dass die Käufer dieser Fitness-Tracker / Uhren an diesen Umstand nicht interessiert sind. Z.B. Bei Amazon und der neuen Fitbit-Ionic gibt es keine Kundenrückmeldung zum Thema Datensicherheit / nur lokale Datenspeicherung und -Auswertung. Ist der Otto-Normalverbraucher so ahnungslos, vertrauensselig, desinteressiert und unmündig bez. seiner Daten?
    Ich finde, hier müsste der Datenschutzbeauftragte der Bundesregierung die Firmen dazu zwingen eine rein lokale Lösung bereitzustellen oder der Verkauf dieser Produkte müsste eingestellt werden!
    Nur so ändert sich etwas, der Kunde selbst ist zu blöd um hier entsprechend zu reagieren.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.